Las técnicas ofensivas se han sofisticado, la superficie de ataque se ha ampliado y los ingresos crecientes de los ciberdelincuentes han fortalecido su capacidad financiera.
En la jerga tecnológica anglosajona el término cyber trust se utiliza para designar la confianza digital que generan las compañías en los clientes. Probablemente, las escuelas de negocio acaben haciendo suyo el concepto, elevándolo a la categoría de activo intangible empresarial, como ocurrió en su día con las marcas registradas, las patentes o los derechos de autor. Al fin y al cabo, pensar que la confianza digital pueda contribuir a generar ingresos y fidelizar a los clientes de manera sostenida no parece una idea descabellada. El tiempo dirá, pero a día de hoy lo que sí podemos afirmar es que en un mundo donde la ciberdelincuencia es una amenaza en ascenso, que los ciudadanos puedan confiar en sus empresas e instituciones a la hora de interactuar en la esfera digital es una cuestión que trasciende la exigencia ética y se convierte en una condición indispensable de la vida moderna.
Es evidente que en la lucha contra la ciberdelincuencia hemos logrado avances significativos desplegando un sofisticado escudo protector de soluciones tecnológicas cada vez más sofisticadas y respaldadas por inversiones crecientes. Según Gartner, en 2024 la inversión mundial en ciberseguridad alcanzará los 251.000 millones de euros, el equivalente al PIB de Portugal.
Ahora bien, si la ciberseguridad ha avanzado en paralelo a la digitalización, también lo ha hecho la ciberdelincuencia. Las técnicas ofensivas se han sofisticado, la superficie de ataque se ha ampliado y los ingresos crecientes de los ciberdelincuentes han fortalecido su capacidad financiera. Y aunque nuestros recursos defensivos superen a la capacidad intrusiva de los atacantes – somos capaces de repeler la inmensa mayoría de las embestidas y hemos sabido escalar las soluciones tecnológicas adecuadamente – los ciberdelitos crecen año tras año. En 2022, según el Ministerio del Interior, el incremento fue del 22%.
Esta tendencia se explica sobre todo por el auge experimentado por los ciberataques mediante técnicas de ingeniería social. Es decir, los que utilizan el engaño para abusar de la confianza de la víctima y convencerla, con excusas creíbles, para que realice bajo apremio alguna acción en beneficio del ciberdelincuente; por ejemplo, descargar un fichero malicioso, efectuar un pago, revelar credenciales personales, o realizar una compra. El engaño se produce al usurpar el ciberdelincuente la identidad de una organización legítima, como un organismo público, una compañía conocida o una entidad bancaria, para contactar en su nombre con la víctima y ejecutar su plan malicioso.
CECA y sus entidades de crédito asociadas están destinando una gran atención y recursos a esta nueva modalidad de ciberataques. Por un lado, porque son fáciles de diseminar debido a la capilaridad de los canales de comunicación digitales convertidos hoy en la principal puerta de entrada del fraude. Según la última encuesta de Ciberseguridad realizada por Sigmados para CECA el 73% de los españoles reconoce haber recibido en el último año correos electrónicos, SMS, o mensajes de WhatsApp fraudulentos, el 43% una llamada telefónica engañosa y el 35% un contacto sospechoso vía redes sociales. En otras palabras, nos enfrentamos a una ofensiva de muy alta intensidad.
Por otro lado, el auge de la ingeniería social también preocupa porque se produce en un contexto de escaso conocimiento por parte de la población en cuestiones de ciberseguridad. 6 de cada 10 españoles reconoce saber poco o nada en la materia, y además, según se infiere de la encuesta referida, los ciudadanos que dicen tener mayor conocimiento adolecen de un sesgo de exceso de confianza, ya que son precisamente ellos quienes exhiben, en la práctica, comportamientos digitales más arriesgados.
Finalmente, los ataques de ingeniería social representan también una amenaza desconcertante para la ciberseguridad convencional, ya que su objetivo no es tanto explotar una brecha de seguridad informática como aprovechar una brecha arraigada en el error humano. Frente a esta nueva realidad, las medidas de prevención tecnológicas tienen claras limitaciones porque, aunque sean eficaces ante los ataques informáticos, no lo son ante el engaño psicológico.
Como respuesta a este nuevo escenario de la ciberdelincuencia, el sector bancario viene desarrollando de manera recurrente campañas para concienciar a los clientes sobre los ciberriesgos y las medidas para prevenirlos. El pilar esencial de este tipo de iniciativas es la colaboración entre los principales representantes del sector bancario y el sector público. El pasado abril CECA, junto a AEB, Unacc, ASNEF, Incibe, Guardia Civil y Policía Nacional, lanzaron la campaña ‘Protégete, evitar el fraude está en tus manos’, una iniciativa orientada a prevenir ciberestafas y fomentar la seguridad digital de los ciudadanos mediante programas de divulgación y formación. A través de contenidos audiovisuales difundidos en redes sociales, medios de comunicación y sucursales bancarias, el sector público y privado sumamos fuerzas para impulsar la formación en ciberseguridad y ayudar a los ciudadanos a operar con seguridad en el entorno digital.
6 de cada 10 españoles reconoce saber poco o nada en ciberseguridad y los que dicen tener conocimientos adolecen de exceso de confianza
Campañas de concienciación como esta demuestran sin duda el compromiso del sector bancario con la ciberseguridad de todos sus clientes, pero la responsabilidad es compartida. Así, aunque la gran mayoría de los españoles, el 85% según la encuesta de CECA, reconoce recibir comunicaciones divulgativas desde su entidad financiera y valora muy positivamente su utilidad, solo la mitad afirma ponerlas en práctica. Esta constatación debería servir para reflexionar sobre el papel que tiene que jugar la ciudadanía en la prevención de los fraudes digitales.
Quizás el concepto de cyber trust deba considerarse a partir de ahora desde una dimensión de reciprocidad. Porque, aunque las entidades bancarias sean las instituciones que más confianza generan en los españoles a la hora de protegerlos ante los ciberfraudes (y, según la encuesta de Sigmados por delante de los Cuerpos de seguridad del Estado, las Administraciones públicas o las empresas tecnológicas) es ahora más necesario que nunca que los ciudadanos actúen con corresponsabilidad, reforzando la diligencia y extremando la cautela a la hora de interactuar digitalmente. Es un imperativo colectivo. Basta con mirar a nuestro alrededor. ¿Quién no conoce a más de alguien de su círculo familiar, social y profesional que haya sido víctima de un ciberfraude en el último año?
