Por Sonia Ayuso, Consultora de Ciberseguridad en Bidaidea Ciberseguridad
La Criminología es una ciencia multidisciplinar que aborda el estudio del delito (delincuente, víctima, entorno…) desde una visión holística a través de la unión de diferentes perspectivas científicas: derecho, psicología, sociología, medicina, antropología…
Actualmente nos encontramos en un entorno en el que, cada vez más, observamos una amplia variedad de delitos cometidos a través de la red. Estos ciberdelitos se encuentran en auge debido a la transformación digital, sobre todo, en el ámbito laboral. La prevención es clave, y desde la perspectiva criminológica es posible abordar gran parte de la casuística que encontramos hoy en día.
El informe publicado por el Ministerio del Interior sobre cibercriminalidad en nuestro país, establece un incremento de alrededor del 32% de los delitos relacionados con las tecnologías de la información y las comunicaciones. Y es que los ciberdelincuentes aprovechan cualquier vulnerabilidad que puedan presentar los sistemas informáticos, incluyendo la confianza que tienen los usuarios en los mismos. Por eso es tan importante comenzar por fomentar el conocimiento y la concienciación sobre los riesgos derivados del uso de las tecnologías de la información, estableciendo una cultura de ciberseguridad que permita anticiparse y prevenir los distintos incidentes.
Las empresas y sus personas
Las empresas son, cada vez más, un objetivo de los ciberdelincuentes. Según el balance publicado por INCIBE, sólo durante el año 2021 se registraron alrededor de 109.000 incidentes de ciberseguridad, la mayoría de ellos dirigidos a empresas. El malware aparece como la categoría más destacada (con un 29,88% de los incidentes). Y, aunque se esté invirtiendo más en materia de ciberseguridad y en la sensibilización de los empleados, todavía queda un largo camino por recorrer.
En cuanto a sectores, podemos señalar que hay algunos como el de fabricación, entre otros, que demuestran aún un bajo nivel de madurez en ciberseguridad. Según un estudio de TrendMicro sobre el impacto de los incidentes en los entornos de tecnología operacional (OT), al menos el 40% de las infraestructuras industriales ha sufrido algún tipo de incidente que ha tenido consecuencias en el proceso de fabricación, llegando a producir la interrupción de sus operaciones, y en el 72% de los casos los ataques se repitieron. Si bien la mayoría de las organizaciones contempla la ciberseguridad como un componente clave a la hora de prevenir y reducir estos incidentes, a día de hoy muchas aún asumen una falta de preparación y recursos para poder afrontarlo.
Es aquí donde entra en juego la ciberseguridad industrial, entendida como aquella destinada a fortalecer a las empresas industriales y de servicios para la industria ante ciberataques. La evolución de la tecnología hace que estas organizaciones estén introduciendo cada vez más la digitalización en sus operaciones: convergencia entre IT y OT para que los entornos se encuentren cada vez más interconectados, despliegues de 5G, migración de información a la nube, etc. En muchos casos, incluso se está adoptando ya el término de “Smart factories” o industria 4.0.
Una de las principales vulnerabilidades que podemos encontrar en este entorno es el factor humano, considerado como el eslabón más débil de la ciberseguridad (y a la vez el más importante). En muchos casos, los empleados desconocen los riesgos a los que pueden exponer a la organización con sus acciones: usar el móvil corporativo para cuestiones personales, abrir archivos adjuntos de correos electrónicos sospechosos, etc.
Para evitar que este tipo de vulnerabilidades comprometan cada vez más el funcionamiento y los datos de la organización y minimizar los errores humanos, se debe hacer hincapié en la prevención.
Como se comentaba al principio, desde el enfoque de la criminología la prevención puede aportar mucho valor. Este se dividiría en prevención primaria (antes de que se produzca el delito), secundaria (in situ) y terciaria (a posteriori, centrándose en el delincuente para evitar la posibilidad de reincidencia).
En el presente artículo se hace referencia a la primera, que se centra en los factores de riesgo que aumentan la probabilidad de que se produzca el delito. Es decir, antes de que este tenga lugar. Un ejemplo de ello sería la ingeniería social que aplican los ciberdelincuentes para engañar al usuario y así obtener credenciales de acceso, infectar los sistemas mediante el envío de documentos adjuntos maliciosos, etc. En este caso, la protección comienza en la educación y formación de los empleados creando una cultura de ciberseguridad.
Es importante para la organización conocer y promover la formación en ciberseguridad de sus empleados, ya que, al fin y al cabo, son ellos quienes emplean los dispositivos tecnológicos de la empresa para gestionar el principal activo, con mayor valor: la información. No hay que olvidar que la concienciación mejora la seguridad, y ésta mejora la imagen y reputación de la organización.
