El inspector jefe de la Policia Nacional, José Manuel Araújo, destaca la importancia de la prevención.
La Confederación Empresarial de Ourense ha celebrado este jueves en su sede una Jornada de Ciberseguridad para Empresas, en la que los asistentes han descubierto los conceptos y líneas de actuación más importantes relativas a seguridad online. El evento fue presentado por la presidenta de la institución, Marisol Nóvoa, que se encargó de introducir a los ponentes: el presidente de la Audiencia Provincial de Ourense, Antonio Piña, el inspector jefe de la Policía Nacional, José Manuel Araújo Fernández, y el socio fundador de EYESIGHT Forensics, José Antonio Cigüenza. Los tres expertos compartieron su conocimiento y experiencia sobre cómo las empresas pueden fortalecer su defensa contra los crecientes ataques cibernéticos. Al evento se podía asistir de forma presencial, o de forma online a través de la plataforma Zoom.
En su intervención, la presidenta de la CEO afirmó que «hoy en día la ciberseguridad ha de ser un elemento imprescindible en la gestión diaria de nuestras empresas y nuestras vidas porque, aunque la tecnología nos ha facilitado las tareas y gestiones, es también una fuente de peligros constantes y crecientes que hay que evitar». Con ese fin, el de conocer esta tipología delictiva para poder evitarla, intervinieron expertos de la empresa privada, la policía y el sistema judicial con el triple objetivo de identificar y abordar los delitos informáticos más comunes; comprender de manera clara qué medidas son esenciales en caso de un ciberataque, e identificar los desafíos legales asociados a la ciberdelincuencia.
Estrategias esenciales para la prevención y el manejo de ciberataques.
En primer lugar, José Manuel Araújo, inspector jefe de la Policía Nacional y experto en delitos informáticos, explicó cuáles son las primeras actuaciones ante un ciberataque, sobre todo desde la empresa, así como la prevención y los riesgos que lleva aparejados. Destacó en su intervención dos delitos como los más comunes en la provincia de Ourense en los últimos tres años: la estafa del CEO y el fraude de facturas o pagos pendientes. En el primero de ellos, se reciben correos electrónicos combinados con llamada de teléfono para solicitar el envío de dinero en nombre de un directivo de la empresa. Según Araújo, detalles que deben alertar del fraude es por ejemplo establecer comunicación directa con un superior con el que normalmente no se está en contacto, o la presión y el carácter de urgencia además de la petición de confidencialidad. Desde el lado del empresario o autónomo, para evitar ser víctimas hay que tomar medidas como concienciar a los empleados impartiendo instrucciones claras y pautas por escrito de las medidas de seguridad para la cadena de pagos mediante un protocolo interno estricto. Igualmente, recomendó la protección y actualización de la seguridad de los sistemas e invertir en ciberprotección, ya que detectar un ataque a tiempo puede evitar una quiebra de la empresa. El empleado tiene que cumplir estrictamente los protocolos para pagos y compras y ante la duda, siempre tiene que consultar con un superior o con otros compañeros de trabajo. También recomendó la verificación de solicitudes de pago recibidos por mail, sobre todo peticiones de cambios de cuenta corriente e identificar las cabeceras de los correos.
El fraude de facturas o pagos pendientes es otra estafa muy habitual y la que más está sucediendo en Ourense, según José Manuel Araújo. A partir de una llamada a la empresa, el delincuente se identifica como proveedor, empresa de transporte o de energía y tras confirmar la ausencia del responsable asegura haber recibido instrucciones de éste y solicita pagos urgentes bajo amenazas de cortes de suministros, devolución de mercancía o cualquier contratiempo para la empresa.
Araújo realizó también un repaso de las características de este tipo de delitos en la provincia, con cantidades de dinero estafado que oscilan entre los 400 y los 52.000 euros, y así como los establecimientos más habituales en las denuncias como hostelería, estancos, floristerías, gasolineras, librerías, distribuidoras de alimentación.
Para finalizar, hizo referencia a las consecuencias para la empresa y los empleados de ser víctimas de un delito informático, que puede ir desde el despido del trabajador estafado -que una reciente sentencia ha declarado como procedente- hasta la quiebra de la empresa.
El análisis de la protección desde la empresa privada
A continuación, fue el turno de José Antonio Cigüenza, socio director de Eyesight Forensics, quien habló de los delitos informáticos más frecuentes a empresas y qué hacer ante ellos, además de abordar entre otros asuntos medidas de prevención y detección temprana. Comenzó dibujando los escenarios de fraude que más afectan a las empresas y que él denomina Las tribus de los ‘ish-ing’ que no son otros que los denominados con anglicismos como phishing, SIM swapping, smishing, vishing o spoofing, y advirtió de que los mensajes utilizados para hacer engañar a la víctima están cada vez mejor redactados y emplean expresiones más depuradas.
Cigüenza destacó que las estafas informáticas tienen tres puntos en común: la pérdida económica, la cesión de información y los intentos por recuperar el dinero y datos robados; y que los escenarios más habituales son la banca online, la contratación masiva de servicios en la nube y los pagos erróneos de facturas a proveedores. Ante estos ataques recomendó la detección temprana o medidas preventivas como los seguros específicos que incluyen una póliza de ciberprotección. También incidió en, una vez el fraude se ha producido, actuar con la mayor celeridad posible para denunciar a la Policía, recurrir a un buen asesoramiento legal y realizar análisis de ciberseguridad para detectar las debilidades y convertirlas en fortalezas, para finalizar con un examen forense e informe pericial que acredite lo ocurrido y aporte luz para la posterior reclamación o judicialización del caso.
En la misma línea, José Antonio Cigüenza ofreció recomendaciones para prevenir estos fraudes como no abrir correos de personas o empresas desconocidas, no responder a mensajes ni compartir información personal, y proteger los dispositivos utilizados, manteniéndolos actualizados en cuestiones como antivirus y antimalware, entre otras.
Los ciberdelitos en los tribunales
La última intervención de la jornada correspondió a Antonio Piña, presidente de la Audiencia Provincial de Ourense y experto internacional del Consejo Europeo de Ciberdelincuencia, que abordó la perspectiva de cuando el delito ya se ha cometido y el proceso que siguen las distintas denuncias, así como los ciberdelitos más habituales que llegan a los tribunales. Antonio Piña también reflexionó sobre los retos que la ciberseguridad y la ciberdelincuencia imponen a la administración de justicia. En este sentido, el magistrado habló sobre su trabajo en un proyecto que pretende establecer una legislación unitaria y homóloga en los distintos países para luchar contra la ciberdelincuencia, adecuando las distintas normativas y formando equipos de jueces, fiscales y policías que puedan aplicar esa legislación y colaborar.
Piña repasó casos concretos tras la comisión de la estafa y las posibles soluciones en los tribunales, donde se encuentran con la problemática para la investigación de este tipo de delitos: dificultad y coste excesivo, además de la necesidad de equipos formados, pues no hay suficientes policías destinados a este tipo de delincuencia. En este punto comentó también como dificultades para la investigación tecnológica la recolección de pruebas y convertir esos datos en elementos probatorios para presentar ante el juez.
El magistrado presentó estadísticas comparadas de estos delitos en varios países, mientras que Colombia registra 46.000 denuncias, en los últimos 10 años no ha dictado ninguna sentencia condenatoria; Perú sin embargo cuenta con 120 sentencias y en España, de 375.000 denuncias, (el 90% correspondiente a estafas informáticas) se han abierto 21.000 expedientes.
Destacó igualmente Piña la facilidad comisiva que hay en esta tipología delictiva a medida que los avances tecnológicos aumentan y son más patentes y accesibles para toda la población, y ejemplificó este hecho en la existencia de plataformas de asistencia a delincuentes que antes se ocultaban en la dark web y que ahora son más accesibles, o los dispositivos para copiar tarjetas de crédito al precio de 150 euros.
Antonio Piña terminó su intervención con la recomendación de establecer medidas de seguridad extremas e invertir en tecnologías de seguridad, y destacó que el Foro Económico Mundial establece el cibercrimen como la octava preocupación mundial hoy en día y para los próximos diez años, mientras desde Europol afirman que los delitos que utilizan la inteligencia artificial como vehículo serán los de mayor relevancia en los próximos años.
