Por qué necesitamos normas mundiales contra la ciberdelincuencia

La ciberdelincuencia ocupa un lugar destacado en la agenda de los Estados nación, las empresas y las organizaciones internacionales de todo el mundo. Como mostrará el próximo Informe sobre Riesgos Mundiales 2023, el agravamiento de las tensiones geopolíticas ha aumentado la prevalencia de las denominadas amenazas persistentes avanzadas (APT, por su sigla en inglés), que se están volviendo tan sofisticadas como omnipresentes.

Las nuevas tecnologías están ampliando el alcance y el impacto de la ciberdelincuencia: los ataques de malware y ransomware (estos últimos amenazan con publicar datos o bloquearlos permanentemente a menos que las víctimas paguen un rescate) se dispararon más de un 350% y un 430%, respectivamente, en 2020. Las herramientas de nueva generación están eludiendo los programas antivirus, razón por la cual los ataques living off the land (LOtL), en los que los atacantes utilizan software y funciones legítimas para perpetrar acciones maliciosas, representaron casi dos tercios de todos los incidentes notificados en 2021.

Estos problemas se ven agravados por la escasez de expertos en seguridad, los malos hábitos de información y la falta de acuerdos mundiales sobre cómo regular las ciberamenazas.

La ciberdelincuencia es un gran negocio. Un grupo del sector estimó que los daños ocasionados por todas las formas de ciberdelincuencia, incluidos los costes de recuperación y reparación, ascendieron a US$ 3 billones en 2015, US$ 6 billones en 2021 y podrían alcanzar los US$ 10,5 billones anuales en 2025.

Pero el impacto de la ciberdelincuencia va mucho más allá de los costes económicos. También degrada la confianza entre los usuarios de Internet y daña la reputación de los proveedores de servicios públicos y privados. Los ataques en línea agravan las tensiones entre naciones, ya que los ataques son cada vez más dirigidos hacia gobiernos y las infraestructuras críticas. Sin embargo, a pesar de todo ello, sigue habiendo pocas normas, estándares y reglas mundiales claros para mitigar y prevenir la ciberdelincuencia.

A falta de una regulación mundial, los costes de la ciberdelincuencia se han disparado

A falta de una regulación mundial, los costes de la ciberdelincuencia se han disparado Image: Cybersecurity Ventur

Ver más: ¿De qué depende la construcción de una Ley de Ciberseguridad eficiente en México?

Gran parte del problema radica en que muchas de las autoridades públicas, empresas y grupos de la sociedad civil que son víctimas de ataques no están obligadas a notificar las violaciones de la seguridad de los datos y los ciberrobos. Muchos son reacios a hacerlo, por temor a los daños a su reputación. Esto está empezando a cambiar: la ley estadounidense de 2022 sobre la notificación de incidentes cibernéticos para infraestructuras críticas proporciona orientación específica de la industria para divulgaciones voluntarias, y la directiva de 2018 de la Unión Europea sobre redes y sistemas de información de seguridad, así como una serie de otras regulaciones obligan a los servicios de pago de telecomunicaciones, fabricantes de dispositivos médicos y proveedores de infraestructuras críticas a informar también de las brechas. Hasta que no se refuercen las normas mundiales y la notificación de las brechas sea obligatoria en la mayoría de los sectores, será imposible comprender la verdadera magnitud del desafío, y mucho menos desarrollar soluciones específicas.

Los ciberdelincuentes no solo hacen fortuna chantajeando a usuários de correos electrónicos con ransomware, sino también con la venta ilegal sus datos, como información de tarjetas de crédito, credenciales de acceso a cuentas financieras, credenciales de suscripción, números de la seguridad social y nombres de usuario y contraseñas. Los autores de la ciberdelincuencia van desde poderosas agencias de inteligencia hasta hackers adolescentes.

La ciberdelincuencia es difícil de detener precisamente por su naturaleza distribuida. Consideremos la banda Cobalt CyberCrime que en 2018 vulneró 100 instituciones financieras en más de 40 países, cosechando unos US$ 11 millones por ataque. Aunque su líder fue capturado en España en 2018, tres miembros detenidos por Estados Unidos en 2018 y otros tres condenados en Kazajistán y Ucrania en 2021, los expertos creen que esto hará poco para mellar sus operaciones.

Sin una cooperación mundial o un cambio estructural significativo en Internet, no hay mucho que las víctimas puedan hacer para defenderse. Los seguros cibernéticos no splo están cada vez más fuera del alcance de la mayoría de los compradores, sino que pueden agravar aún más un problema ya de por sí grave. Necesitamos urgentemente normas internacionales que se hagan cumplir, así como un enfoque más expansivo que fomente la resiliencia cibernética.

Las Naciones Unidas están debatiendo precisamente esto, tras haber votado la creación de un tratado sobre ciberdelincuencia en 2019. La primera reunión del tratado se celebró en 2022 entre temores de que también pudiera ampliar la regulación gubernamental de los contenidos en línea, criminalizar la libertad de expresión y socavar la privacidad. Por el momento, los Estados están negociando los parámetros de un tratado -denominado Convención Internacional Integral sobre la Lucha contra la Utilización de las Tecnologías de la Información y las Comunicaciones con Fines Delictivos-, y la mayoría de los gobiernos en el Occidente están decididos a que defienda la protección de los datos personales y los derechos a la privacidad.

Fuente: WEF