Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

Cuando pensamos en un cibercriminal todos tenemos una imagen más o menos fija en la cabeza: la de un chico joven, encerrado en una habitación a oscuras (porque delinquir con luz natural no tiene gracia), con varias pantallas (quién quiere programar con un monitor cuando puede hacerlo con siete) y ataviado con una capucha, un pasamontañas o incluso una máscara de Anonymous (por eso los ciberdelitos bajan en verano).

Aparte de que esta imagen no se ajusta en absoluto a la realidad, lo cierto es que el cibercrimen se ha profesionalizado hasta tal punto que es absurdo pensar en un ‘lobo solitario’: a día de hoy, la ciberdelincuencia es un crimen perfectamente organizado y con muchísimos más recursos de los que casi nadie puede pensar.

Pero ¿cómo es ser un cibercriminal en España a día de hoy? Eso es lo que nos hemos preguntado en el segundo capítulo de El Enemigo Anónimo, tras hablar con más de 50 especialistas y hacer un completo rastreo de toda la información disponible para trazar un perfil del cibercrimen en nuestro país. Spoiler: puede que la realidad nos cabree un poco, porque, a día de hoy, ser un cibercriminal en España es mucho más sencillo de lo que se cree, es barato, es rentable… y los castigos penales, en la mayoría de ocasiones, son irrisorios.

1.- Cometer un cibercrimen es fácil…

Evidentemente, cometer un ciberdelito no está al alcance de cualquiera, pero lo cierto es que en ningún caso es tan complicado como en principio podría parecer. De hecho, como nos reconoce la criminóloga Patricia Martín, en según qué delitos “no es necesario tener un perfil técnico muy elevado”.

Patricia Martín, criminóloga.

Incide en lo mismo Borja Pérez, country manager de Stormshield: “Cada vez es más sencillo: tienes hasta menús gráficos de ‘Pincha aquí para lanzar una denegación de servicio’, o puedes tener una campaña de ‘phishing’ y parametrizarla”. Por tanto, la imagen del malvado informático que se tira horas programando desde cero es un mito: el ‘cibercrimen as a service’ es totalmente real y está a disposición de quien quiera usarlo para saltarse la ley.

2.- … es barato y muy rentable…

En función de la barrera que quieras derribar, el cibercrimen puede ser incluso muy barato. Borja Pérez nos insiste en que, en el caso de un phishing, “si cae 1 de cada 1.000 afectados y paga, ya ha salido rentable… Si es que cuesta 100€ lanzarlo…”.

Porque todos damos por hecho que los ciberdelitos son rentables, pero ¿cuánto exactamente? ¿De verdad compensan los gastos que haya habido que hacer antes? A Román Ramírez, que asegura que “ahora mismo el cibercrimen factura muchísimo más que cualquier otro esquema criminal”, un día le dio por hacer una sencilla fórmula de la rentabilidad del cibercrimen en comparación con otros delitos tradicionales. Metió en la coctelera los siguientes ingredientes:

  • Dinero que ganas
  • Dinero que te gastas
  • Años que vas a la cárcel

Estos ingredientes los aplicó a tres delitos distintos: robar un banco, robar una tienda y hacer un asalto cibernético. ¿El resultado? “La rentabilidad en el cíber era monstruosa. Cualquiera que tenga dos neuronas valora costes y beneficios y lo sabe perfectamente”.

“Si en un phishing cae 1 de cada 1.000 afectados y paga, ya me ha salido rentable… Si es que me ha costado 100€ lanzar la campaña…”

Borja Pérez (stormshield)

Y es que, de nuevo, tenemos que olvidarnos de la figura del ‘lobo solitario’, ya que “el cibercrimen se ha convertido en una industria, y como toda industria, lo que busca es beneficio económico”, nos cuenta César Lorenzana, de Guardia Civil. De hecho las mafias “suelen venir apoyadas por un entramado financiero para poder blanquear todo el beneficio que se genera”. Los delincuentes, en definitiva, “están perfectamente organizados, porque los ataques están tirando bancos enteros, están tirando empresas de ‘software factory’ muy grande o empresas que trabajan con robots. Esa profesionalización nos está haciendo daño”, reconoce Chaume Sánchez, CEO de Geekshubs.

Calcular el tamaño de esta industria criminal es muy complicado, pero hay muchos ejemplos de su rentabilidad. Según un informe de Accenture, el coste medio de un ciberataque para una gran empresa es de 13 millones de dólares y la industria podría generar unos daños de 5,2 billones de dólares en los próximos años. En España, por ejemplo, el coste del cibercrimen ya supera los 8.000 millones de dólares.

Fuente: Accenture.

Y si pensamos que el gran negocio solo está en los focos de ataque tradicionales (banca, grandes empresas, instituciones públicas…) nos equivocamos. Sirva un botón como muestra: un estudio de Forbes asegura que un cibercriminal especializado en videojuegos podría ganar entre 5.000 y 25.000 dólares a la semana con un beneficio anual de hasta un millón de dólares.

3.- … y es (casi) impune

Hace apenas un año, el teniente coronel y jefe del Grupo de Delitos Telemáticos de la Guardia Civil, Juan Rodríguez de Sotomayor, soltó una bomba en una entrevista a El Mundo: la impunidad del cibercrimen es “casi del 100%”. ¿Es cierto esto? Román Ramírez está de acuerdo: “El cibercrimen no tiene violencia porque no tienes que ir a pegar a nadie con un palo en la calle, ni asaltar ni generar sangre, no genera alarma social. ¿Las condenas? Bueno, ya veremos si te pillan, pero si lo hacen y te condenan, ¿qué van a ser, dos años? Porque raro será que te condenen a más de dos años y un día, ya que es un delito que no parece muy peligroso”.

Román Ramírez, cofundador de la RootedCON.

Esto dicen ellos, pero ¿qué dicen los datos oficiales? El Estudio sobre la cibercriminalidad en España 2019, elaborado por el Ministerio del Interior, reconoce que “solo se esclarece el 15,1% de las denuncias”.

Esta confesión también la asume la Fiscalía General del Estado en su Memoria de 2020, presentada hace apenas unos días: “Un volumen muy importante de ilícitos no llega a conocimiento ni de las Fuerzas y Cuerpos de Seguridad ni de los órganos de la jurisdicción penal o porque no son denunciados o porque no son detectados por los cuerpos policiales en el desempeño de sus labores de prevención de la delincuencia”. Es más, “la cifra oculta de criminalidad en el ciberespacio es hoy por hoy difícilmente calculable, dada la complejidad y la propia e insondable dimensión del ciberespacio”.

El Ministerio del Interior reconoce que solo se “esclarece el 15,1% de las denuncias” y la Fiscalía General del Estado asegura que “la cifra oculta de criminalidad es difícilmente calculable”

Vayamos más allá y hagamos un experimento: busquemos los ciberdelitos más comunes en España según la Fiscalía, comprobemos su tipificación en el Código Penal y analicemos si sus penas condenatorias son o no elevadas.

El resultado podemos verlo más abajo: la mayoría de los ciberdelitos están castigados con penas que pueden ir desde apenas unos meses de multa a un máximo de cinco años de cárcel.

Ahora bien, conviene aportar un par de matices en este análisis, uno en favor de la dureza del castigo y otro en contra:

  • A favor de la dureza del castigo. Cuando alguien comete algún tipo de ataque es probable que no cometa un solo delito, sino varios: una interceptación en los sistemas también puede llevar consigo una revelación de secretos o una estafa, con lo que las penas se acumularían.
  • En contra de la dureza del castigo. Parece difícil que un ciberdelincuente, al cometer un delito, caiga en el máximo de gravedad y, por tanto, se le aplique la pena más alta. Lo más probable, por tanto, es que su acción se castigue con unos meses de multa o, como mucho, con una pena que ni siquiera le haga entrar en la cárcel.

El debate puede tener todas las aristas que queramos, pero el enfoque está claro: si eres un cibercriminal y estás preparando un golpe con el que puedes ganar decenas de miles, cientos de miles o incluso millones de euros, ¿te compensa arriesgarte a una pena de –como mucho– cinco años de cárcel? Es probable que sí.

Así se ciberdelinque en España

Dejemos la rentabilidad a un lado e indaguemos más en el auge del cibercrimen. En España hay dos informes principales que sirven para calibrar el estado de la cuestión; por un lado, el Estudio sobre la cibercriminalidad en España 2019, del Ministerio del Interior, que cosecha un recuento de todas las denuncias; por otro, la Memoria de la Fiscalía General del Estado, que se limita a los procesos ejecutados en sede policial y judicial.

Veamos, para empezar, la evolución de los ciberdelitos desde 2011 a 2019 que registra la Fiscalía:

Un momento, ¿a qué viene ese bajón desde 2015? ¿No habíamos dicho que el cibercrimen estaba en auge? ¿Significa que estamos siendo capaces de detenerlo? No tan deprisa, porque esto tiene una explicación: desde la aprobación del artículo 284 de la Ley de Enjuiciamiento Criminal en octubre de 2015, los casos en los que no consta un autor conocido no son trasladados a la autoridad ni al Ministerio Fiscal, con lo que a partir de ese año dejaron de contar en las estadísticas. Hecha esta salvedad, como vemos, el cibercrimen está verdaderamente en auge, algo que demuestra también la evolución de denuncias recogidas por el Ministerio del Interior:

De hecho, el cibercrimen está creciendo hasta tal punto que ya representa el 10% del total de los delitos cometidos anualmente en España:

¿Y qué delitos son los más frecuentes? Aquí la estafa gana por goleada, tanto por el amplio abanico de delitos que abarca como por ser el que más beneficios económicos puede llegar a generar. Le siguen, muy de lejos, las amenazas y coacciones:

Ahora bien, si miramos con la perspectiva de los años podemos comprobar que las estafas siguen siendo las ganadoras, pero hay otros delitos que empiezan a crecer de manera muy preocupante: entre ellos, el ciberacoso en general, el acoso a menores, los ataques contra la propiedad industrial e intelectual y, en general, todos los delitos contra la libertad sexual.

Retrato robot del ciberdelincuente español: hombre, estafador y de 26 a 40 años

¿Y qué pasa con los ciberdelincuentes? ¿Guardan algún patrón? ¿Hay una serie de características que englobe a la mayoría? Lo cierto es que sí.

Los datos del Ministerio del Interior señalan claramente a los hombres, que representan el 74,3% de los delitos, frente a las mujeres, que acusan el 25,7%. Lo podemos comprobar si nos fijamos en los dos parámetros estudiados:

1.- El grupo penal:

2.- La tipología penal:

¿Hay alguna circunstancia en la que hombres y mujeres tengan cifras algo más parejas? Más o menos: al recopilar datos sobre las víctimas vemos que ellos son el 53,3% y ellas el 47,7%. En cuanto al tipo de delito cometido, como vemos arriba, las estafas sigue estando muy por encima del resto, seguida por las amenazas y coacciones y los delitos sexuales.

Si nos fijamos en las edades, los que van de los 26 a los 24 años encabezan el ránking. Sorprende, eso sí, que los que tienen entre 18 y 25 años superan a los de entre 41 y 50.

El análisis completo, por tanto, nos deja algunas conclusiones. Combatir el crimen nunca ha sido fácil, sea del tipo que sea, pero en el caso del cibercrimen parece todavía más difícil. Y lo peor es que ya no se trata de delitos al alcance de unos pocos muy cualificados tecnológicamente: a día de hoy, cualquier persona que quiera cometer un cibercrimen lo tiene más fácil que nunca.

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture