Francisco Valencia lleva toda una vida luchando contra el cibercrimen. Al principio, desde una consultora, hasta que "un día decidí irme a trabajar a mi casa, yo solo, dar formación, algún hacking… para vivir más tranquilo".

Poco sospechaba que pasaría de ser “Paco Valencia, autónomo” a crear una empresa, Secure&IT, con más de 60 profesionales. “Ahora se ha hecho muy grande, no cumplí mi objetivo”, comenta entre risas.

Hemos hablado con él para que nos explique cómo está el panorama del cibercrimen. Spoiler alert: las perspectivas no son buenas. De hecho, Secure&IT protege a sus clientes frente a más de 100.000 ataques al mes.

Me pide que le ayude a “concienciar a empresarios y responsables dentro de las empresas a saber más sobre ciberseguridad”, porque “se mueve más dinero por cibercrimen que por tráfico de armas y drogas. Eso hace que muchos delincuentes se estén moviendo al mundo del cibercrimen”.

Es más fácil acceder a la ciberdelincuencia que a la delincuencia tradicional

¿Cómo está la situación?
La situación en la que estamos a nivel global hace que resurja la picaresca entre personas que necesitan ingresos. Y antes, hace una década, lo de ser hacker parecía muy difícil, reservado solo para unos pocos supercerebros en seguridad, muy informáticos. Pero hoy en día es tremendamente sencillo. Es más fácil acceder a la ciberdelincuencia que a la delincuencia tradicional.

¿En qué sentido?
Si quiero ser un camello en el barrio, necesito conocer a alguien, no es tan sencillo. En cambio, en el mundo ciber basta con entrar en Google y buscar y en seguida te dicen cómo acceder a la dark web, que es esta zona de internet que es oscura y, como no es trazable, permite hacer negocios sin que haya seguimiento por parte de los cuerpos y fuerzas de seguridad.

Entras con una aplicación que te instalas y ya está. En seguida hay foros y es fácil acceder a sitios en los que puedes comprar y vender contraseñas, fotografías, vídeos de menores o de mujeres, correos electrónicos, virus o malware para instalárselos a alguien o hacer una campaña de spam: toma este correo y mándaselo a 20 millones de personas.

Los precios son tremendamente asequibles

Pero, no será barato…
Los precios son tremendamente asequibles, porque estamos negociando con economías que están aún en vías de desarrollo, en las que 20 dólares es un dineral. Eso te permite contratar muchos servicios por muy poco dinero y es muy asequible y cada día más.

Esto supone una amenaza nueva, que antes no teníamos, porque la ciberdelincuencia estaba reservada a unos pocos.

¿Tan fácil es encontrar esos recursos?
Igual que tenemos Google en mundo normal, allí hay otros buscadores y programas que te permiten buscar desde armas, hasta drogas, pornografía, virus, contraseñas…

¿Qué está “de moda” en la ciberdelincuencia?
Ahora ha aparecido un nuevo mercadeo de command control, es decir, darte el control de una empresa que ha sido ciberatacada. Yo la ataco, no cifro sus datos, la empresa no sabe que tengo un virus en su red y, por tanto, el control. Y a ti te vendo ese control, para que tú cuando quieras le das a un botoncito, se cifra y tú puedes chantajearla. Te vendo algo así como el derecho de explotación del virus.

También contratar hackers. Es un auténtico marketplace.

¿Cómo podemos protegernos?
Lo primero es conocerlo, porque decimos en seguridad que el peor riesgo es no saber que lo hay. Las empresas y las personas tienen que ser conscientes de los riesgos y de que hay que solventarlos.

Para las personas es sencillo, tiene que ver con el sentido común. Si alguien te va a regalar una aplicación, piensa por qué la ha hecho. O te incluyen publicidad o el producto eres tú y lo que puede hacer es comprometer los datos.

Hay que tener la precaución de no compartir información que no quieras que se sepa y tener las mínimas defensas: un antivirus de mercado, comprado, porque si te lo regalan es que algo quieren. También tener cuidado con las páginas en las que entras y los correos que no estás esperando.

¿Y en las empresas
También es sentido común, pero hay poca formación. Lo que tienen que hacer es un ejercicio de identificar cuáles son sus riesgos interna y externamente; porque esto que estamos diciendo son riesgos externos, pero puede ser un empleado de la empresa, puede ser que no haya los medios suficientes en el departamento técnico, o que no sepan aspectos como la Ley de Protección de Datos o el Código Penal en la parte de prevención del delito cuando es tecnológico o informático.

En definitiva, conocer un poco la situación desde el punto de vista analítico y después buscar qué medidas tenemos que implementar para corregir el riesgo.

¿Hay algún tipo de guía?
Existen marcos de control que lo facilitan. Uno de ellos es el Esquema Nacional de Seguridad, que es un Real Decreto que te ayuda con 93 medidas que puedes implementar, según tú veas que te van a ayudar a reducir tus riesgos.

Alguien tiene que hacer ese ejercicio y luego, evidentemente, invertir recursos en implementarlas. Y son medidas que no son todas informáticas. Tienen que ver con la concienciación de las personas, el establecimiento de políticas y procedimientos internos… en definitiva, con poner orden.

¿Es solo para las grandes o también para pymes?
Aplica a todas las empresas, lo que pasa es que cuando afecta a las grandes se oye más. Pero también es verdad que el riesgo es menor: un virus contra una gran compañía del Ibex35, que tiene unas grandes medidas de seguridad, es difícil que entre. Pero, si entra, puede tener mecanismos para salir de esa situación.

Sin embargo, ese mismo virus en una gestoría de barrio o a un pequeño despacho de abogados, los lleva a cerrar. Seguramente porque habrá perdido su información. La mayor parte son pymes entre 10 y 50 o 100 empleados, que no tienen las medidas suficientes.

¿Cuáles son las consecuencias?
Si hablamos de una ferretería, en el día 0 no sabes qué proveedores tienes, cuánto debes, has perdido las facturas, igual la contabilidad y eso te genera un problema con Hacienda que te obliga a cerrar después.

Pero si hablamos de una asesoría jurídica, de un despacho de abogados, de una clínica o una consulta médica, les puede llevar a un problema mucho mayor, porque los datos de los pacientes se van a exponer. Puedes estar tratando a alguien de una enfermedad y, de repente, no sabes cómo se llama ni qué enfermedad tenía. Esa situación es muy peligrosa.

Pero, además, hay un daño reputacional que hace que nadie quiera trabajar con una empresa que ha sufrido un ataque, porque no dejas de pensar que ha sido una negligencia. El 60% de las empresas que sufren un ataque cierra antes de los 6 meses.

¿Y en términos económicos?
Ha habido casos de decenas de millones de euros. Para una empresa pequeña, salir de una situación de ataque -no recuperar la situación anterior, solo volver a abrir- le puede costar entre 20.000 o 60.000 y hasta 100.000 euros.