Carlos Otto: “La ciberestafa perfecta no existe, pero sí la ciberestafa rentable, fácil y barata”

En 2019, más del 65 % de los ciberdelitos fueron estafas. Luego están las amenazas, las coacciones, la pornografía infantil o el acoso, según la Memoria de la Fiscalía General del Estado. El coste en España del cibercrimen asciende a casi 7.000 millones de euros. Y el problema es que solo el 15 % de las denuncias se esclarecen, tal y como refleja el Estudio de Cibercriminalidad del Ministerio del Interior. Hace cuatro años, del total de delitos cometidos en nuestro país, el 4,6 % eran ciberdelitos. Hoy, son ya el 10 %. En este contexto de mafias organizadas y cibervillanos ha aparecido un personaje que nada tiene que ver con un súper héroe, pero cuya labor quizá sea más importante: explicar de forma clara y documentada qué es la cibercriminalidad y concienciar al usuario de internet –a todos– de sus riesgos.

Detrás de El enemigo anónimo, de ese hombre con sombrero, está el periodista freelance Carlos Otto, experto en tecnología de 36 años, que ha preparado 20 capítulos sobre ciberseguridad. En septiembre comenzó la emisión del serial y la media de visionados de cada capítulo supera los 3.500. Hasta comienzos de 2021, más de cincuenta especialistas hablarán de la ciberguerra y del auge de los delitos informáticos, del uso de la tecnología en la violencia de género y de por qué el empleado de una empresa es el eslabón más débil en la cadena del cibercrimen, de fakenews, ciberacoso y voto electrónico, y de cómo podemos proteger mejor nuestra privacidad. “Ha sido una locura, pensé en la idea en diciembre de 2019, empecé a grabar en marzo, llegó una pandemia y lo paró todo, monté un tráiler que funcionó muy bien y, de repente, llegaron muchas empresas que se han convertido en patrocinio de la serie”, comenta Otto. En Levanta la cabeza hemos charlado con Otto sobre El enemigo anónimo.

¿Por qué una serie documental sobre ciberseguridad?

La ciberseguridad va mucho más allá de los ciberataques. Nos han metido la idea de que el ciberdelincuente es un chico joven, encerrado a oscuras en su habitación, con varias pantallas y ataviado con una capucha. La imagen del malvado que se tira horas programando es un mito. Por ejemplo, muchas veces hablamos de que los usuarios no protegemos nuestros datos, que esparcimos datos en Facebook, Instagram o Google, y es verdad, pero podemos dar la vuelta al argumento y preguntarnos por qué estos gigantes tecnológicos ganan dinero con mis datos y mis fotos. La serie va dirigida al sector de ciberseguridad pero también al usuario de internet que quiere reflexionar.

¿Son más los ciberdelincuentes o los delincuentes comunes tradicionales?

Todos los expertos coinciden en que los ciberdelincuentes son los delincuentes de toda la vida, no son personas que saben de ciber y se vuelven delincuentes. Hacer un retrato fiel es muy difícil. Para establecer el perfil del delincuente cibernético hay que acudir al Estudio sobre Cibercriminalidad 2019 del Ministerio del Interior, donde se destaca que el 79,6 % de los detenidos o investigados por ciberdelitos son de nacionalidad española, más del 70 % son hombres y la mayoría tienen entre 26 y 40 años. Francamente me cuesta creer que el ciberdelincuente español sea diferente al de otros países. Nunca he estado de acuerdo con la versión tremendista de que los engaños solo pasan en España o de que los españoles son más pícaros.

¿Y como usuarios somos más confiados?

Creo que no. Hay dos perfiles, el que no es consciente de los riesgos de ciberseguridad que corre cada día y el que sí es consciente pero le merece la pena. A muchos les escandaliza que la gente entregue sus datos a Instagram todos los días y que con ellos Instagram se forre, pero muchas veces esas personas ponen en la balanza las ventajas y desventajas de hacerlo y deciden. Hay que gente a la que le compensa dar sus datos a Facebook o Instagram, o tener un correo Gmail en lugar de otro más privado. Siempre se regaña al usuario. Está claro que tenemos que ser más cuidadosos con nuestra ciberseguridad, aunque todo cambiaría si no hubiera empresas que se dedican a hacer negocio con nuestros datos, con nuestra privacidad.

¿Existe la ciberestafa perfecta?

Por mi experiencia no hay una ciberestafa perfecta. Aunque podíamos matizar. En el phishing –ciberestafa donde se suplanta una persona o empresa para robar información–, lo esperable es que la mayoría de gente no caiga, pero si cae un 1 %, igual esa campaña fraudulenta ya es rentable. Como decía antes, la imagen del ciberdelincuente en una habitación oscura picando códigos no existe. Hoy te puedes descargar programas en internet y planificar una campaña de phishing. No hay que tener grandes conocimientos. Te puede costar 100 euros mandarla a millones de personas. No es una ciberestafa perfecta porque solo ha caído un porcentaje muy pequeño de usuarios, pero es una ciberestafa muy rentable, fácil y barata. Y los castigos penales son muchas veces irrisorios.

Y si se hace pública, echamos la culpa a la víctima del timo…

Los que sabemos un poco de esto tendemos a mirar con cierto clasismo tecnológico a las víctimas. Solo hay que recordar el timo del príncipe nigeriano: te llega un correo electrónico informándote de que has recibido una herencia y que para acceder a ella tienes que entregar una suma de dinero por adelantado. Todos nos reíamos con este engaño. Si sigue existiendo esta estafa es porque la gente cae. Ahora, en lugar de una fortuna de un príncipe nigeriano, el que escribe es un supuesto trabajador de la Tesorería General de la Seguridad Social. Es un flaco favor pensar, cuando salen estas noticias, que esa persona se lo tiene merecido. Si partimos de esta soberbia y superioridad moral frente a las víctimas, no vamos a conseguir que la gente aprenda más sobre ciberseguridad. Vale, la ciberestafa perfecta no existe, pero las ciberestafas rentables, fáciles y baratas sí, y son la mayoría.

¿Cuál es la más rocambolesca que has conocido?

En el último capítulo que hemos publicado analizamos un caso de ciberespionaje industrial. Una empresa acude a un concurso público con otras empresas y queda en segundo lugar. El primero lo ocupa una empresa con un presupuesto similar al suyo, un pelín inferior, y una propuesta muy parecida a la suya. La empresa que ha quedado en segundo lugar decide recurrir a una empresa española para investigar y descubre que ha habido un envío de información confidencial. Una persona del equipo comercial había enviado a la competencia lo que ellos iban a presentar a cambio de dinero.

¿Cómo puede aprender el usuario a velar más por su ciberseguridad?

No tengo la fórmula. Lo que está claro es que no podemos culpabilizar a la víctima ni podemos reírnos del que sufre phishing, ciberacoso u otros ciberdelitos. Lo primero que hay que hacer para que la gente aprenda es no ridiculizar al que haya caído en esto. Todo el mundo habla de concienciación, pero cómo se hace. Prefiero darle la vuelta, no solo es cuestión de concienciar, hay cosas que se pueden evitar. Una entrevistada me decía que el empleado de una empresa es el eslabón más débil en cuanto a ciberseguridad. Casi todos los ciberataques empiezan en un trabajador que ha pinchado en un link que no debería. Vamos a dejar de cargar las culpas en el empleado, una empresa bien protegida no debería permitir que un phishing llegue a un empleado. En vez de decirle a la gente no subas tus datos a Facebook, tendríamos que tener leyes que impidan a Facebook hacer determinadas cosas con nuestros datos.

Se echa la culpa de gran parte de los más famosos ciberataques a rusos y chinos ¿Se lo han ganado a pulso?

El concepto de cibervillano es muy relativo. Para unos, los cibervillanos están en Rusia, Ucrania o China, y para otros están en EE. UU. o Israel. Con China y Rusia pasa algo curioso. En mi opinión, se les echa la culpa de todo, pero es verdad que muy lejos no andan. Los dos países tienen ciberejércitos alucinantes. Ahora bien, todos los países son cibervillanos. En el capitulo 8 expondremos cómo España ha espiado a otros países. Esta muy bien hablar de rusos e iraníes, pero todos hacen ciberinteligencia. El CNI (servicios secretos españoles) no solo se dedica a evitar ciberataques. Los expertos me dicen que el CNI también se dedica a espiar a empresas extranjeras para beneficiar a empresas españolas. Rusia, China y demás son la mejor excusa, pero todos espían.

Cada poco tiempo aparecen noticias de ciberataques muy complejos sobre todo en EE. UU. ¿Hay cibervillanos españoles famosos?

En España no hay grandes figuras criminales. Hace tiempo funcionó el colectivo Hispahack, sus activistas entraron en la web del Congreso y se comentó que estaban detrás de la entrada en una web de la NASA. No tenía un afán delictivo, sí de curiosidad tecnológica. Hoy mucha de esa gente trabaja en grandes empresas, en los departamentos de cibersguridad. La figura del lobo solitario no existe y es malo que no exista porque nos demuestra que la ciberdelincuencia la forman grupos organizados. Las mafias ahora se dedican a este mundo, contratan a gente que controle del mundo ciber. El cibercrimen es bastante cómodo, no tienes que moverte a ningún sitio, no estás en la calle. Son las mafias de toda la vida que ahora han elegido el ciberdelito.

¿Tampoco hace falta una gran inversión tecnológica?

Para estafas pequeñas no. Como he comentado antes, en internet tienes programas ad hoc donde metes una base datos de personas, que puedes comprar en distintas webs, y por 100 euros puedes mandar phishing a millones de usuarios. Otra cosa es que quieras entrar en Telefónica. Entonces sí necesitas dinero e inversión, talento y mucho dinero detrás. Para la ciberestafa de andar por casa no se necesitan ni conocimientos tecnológicos ni una gran inversión.

La crisis económica provocada por la pandemia está cambiando el tipo de estafa por internet. La última afectaba a la app Bizum. Los ciberdelincuentes no descansan.

Es evidente. Cuando empezó el estado de alarma, varias empresas de ciberseguridad alertaron de que estaban subiendo de manera exponencial los ciberataques, pero no ofrecían más datos. Pensamos que solo lo decían porque a ellas le interesaba que hubiese más ciberataques, pero no, simplemente ha cambiado el gancho para el timo: antes de la pandemia, era supuestamente tu banco quien te mandaba el mail para que cayeses en la estafa, y ahora es la Seguridad Social o el servicio de empleo para ofrecerte el Ingreso Mínimo Vital… Ahora están todas más vinculadas a la COVID-19. No es que haya más tipos, es que han cambiado de tema. El phishing va a ser el protagonista en estos tiempos.

¿Qué otros ciberdelitos son preocupantes?

Es muy preocupante el ciberacoso, incluyendo amenazas, coacciones y demás. Tenemos una visión muy tradicional o anticuada de lo que es el acoso. El ciberacoso te persigue todo el día, está siendo ejercido por personas que no conocen el Código Penal y no miden sus acciones, o no identifican que están ejerciendo ciberacoso. No le veo fácil solución. Personalmente me preocupan las amenazas y las extorsiones online.

¿La policía española está preparada?

Claro que hay gente preparada en las fuerzas y cuerpos de seguridad, pero suelen faltar recursos. Falta interactuar con los agentes que no están tan preparados. Hay delitos que en principio no parecen ciberdelitos y la policía tecnológica no suele aparecer por allí. Y también es importante que jueces y fiscales sepan de tecnología y ciberdelitos. El cibercrimen es un mundo híbrido, con su parte física y su parte ciber, y por eso la policía tecnológica va a tener cada vez más protagonismo.

¿Cuál es la responsabilidad de los gigantes tecnológicos en la ciberdelincuencia?

En mi opinión es mucha su responsabilidad. ¿Cuántas veces en los dos últimos años ha salido Mark Zuckerberg pidiendo perdón por algo malo que ha hecho Facebook, por no controlar bien lo de Cambrigde Analytica o por no proteger los datos de Instagram? Estamos hartos de que pida perdón. Claro que hay que pedir explicaciones a estas empresas, estamos empeñados en que la gran amenaza son hackers rusos o chinos que te roban la cuenta de Amazon, cuando el principal peligro se llama Google, Facebook, Instagram o WhatsApp. Vale que los usuarios no penalicemos tanto a estas plataformas porque nos gustan y las usamos, pero a nivel publico hay que pedirles muchas más explicaciones. Que Facebook diga que se va de Europa si no le dejan operar en EE. UU. con datos europeos es una amenaza. No pueden estar por encima del bien y del mal.