La Oficina Europea de Policía (Europol) es el órgano encargado de facilitar las operaciones de lucha contra la delincuencia en el seno de la Unión Europea. Su principal objetivo es servir de enlace entre los diferentes países y organismos a la hora de combatir el cibercrimen, una labor imprescindible en delitos que no conocen fronteras.
El uso masivo de Internet ha provocado que los ciberdelitos no hayan parado de crecer con los años. Si bien estos delincuentes atacan tanto a individuos como empresas, son estas últimas el principal blanco, ya que pueden afrontar pagos más elevados y sufrir más las consecuencias de no hacerlo que un particular. Para conocer más en profundidad las actividades de este organismo, hemos hablado con el madrileño Fernando Ruiz, jefe de Operaciones del EC3 de la Europol, situado en la Haya.
Fernando era inspector jefe de la Policía Nacional en Madrid, trabajando en áreas relacionadas con la ciberdelincuencia, pero lleva ya más de 13 años en el organismo europeo, como uno de sus principales responsables. Él mismo nos cuenta su trayectoria y primeros pasos en la Europol.
MuyPymes: ¿Cómo pasas de una comisaría a un organismo europeo de la talla de la Europol?
Fernando Ruiz: Casi desde que comencé mi carrera profesional como inspector jefe de la Policía Nacional, me centré en áreas relacionadas con la cibedelincuencia. Así, trabajé en la unidad de investigación TIC de la policía donde, entre otras cosas, coordiné a un grupo relacionado con la protección al menor, el abuso sexual online y el apoyo a otras actividades, como el análisis forense.
De mi experiencia en todos estos años, una de las cosas que más me llamó la atención fue la necesidad de la colaboración internacional. En todas las áreas era necesaria, pero especialmente en la ciberdelincuencia es una obligación contar con ella. Hay muy pocas investigaciones (al menos, de relevancia) en la que no haya conexiones internacionales y en la que no tuviera que recurrir al apoyo de otros países.
Esto me hizo comenzar a trabar con la Interpol, con la Europol o de forma bilateral con otros países… abriéndome una perspectiva nueva de la colaboración internacional. Finalmente, orienté mi carrera a esto mismo, y uno de los puestos que ocupé, en primer lugar, fue el de oficial de enlace en la Europol. Este organismo es el canal a través del cual, organizaciones como Policía Nacional, Guardia Civil, policías autonómicas, etc… conectan y mandan sus peticiones en el transcurso de una investigación internacional.
También estuve de responsable de grupo dentro de la EC3, que coordina las investigaciones de abusos sexuales a menores y posteriormente, conseguí la plaza de responsable que coordina todas las áreas de delincuencia y ofrece apoyo operativo, que es donde estoy ahora mismo.
MuyPymes: ¿Qué hacéis exactamente en la Europol?
Fernando Ruiz: Europol es una agencia que, fundamentalmente, ayuda y da apoyo. Nosotros no investigamos ni tenemos poderes para solicitar una entrada o un registro. Nuestra función es ayudar a las autoridades competentes, tanto estatales como autonómicas, en el caso de que tengan la necesidad de colaboración internacional o las investigaciones que hay en marcha en otros países.
Nos piden ayuda para coordinar entre varios implicados proyectos donde es necesario saber más sobre una ciberamenaza (ransomware, botnet, etc), si hay otros países implicados, conexiones internacionales, etc… Nosotros vemos toda la información que tenemos, la cruzamos, reunimos todos los datos y lo compartimos, con sugerencias sobre líneas de investigación y estrategias conjuntas.
MuyPymes: ¿Habéis notado un aumento de las ciberamenazas, tras los últimos acontecimientos sanitarios y económicos?
Fernando Ruiz: En términos generales, la amenaza relacionada con la ciberdelincuencia siempre está creciendo. Para que te hagas una idea: en 2013, cuando el EC3 fue creado, el número de operaciones de relevancia que apoyamos fue de 57. Este año pasado (2020), hemos apoyado a 430 operaciones. Es un crecimiento que ha sido muy estable en los últimos años y que no esperamos que se vaya a reducir.
Tras el Covid, lo que hemos visto es que los cibercriminales han aprovechado esta circunstancia para adaptar su modus operandi y ser más efectivos. Al comienzo de la crisis, hubo una gran demanda de información relacionada con la pandemia y esto fue usado por los delincuentes para lanzar ataques de spam masivos y más efectivos. Por ejemplo, se hacían pasar por la OMS, por la agencia mundial del medicamento, por instituciones nacionales o internacionales que daban datos…
Al haber tanta necesidad de información, la gente estaba más dispuesta a abrir esos correos porque querían saber qué estaba pasando, aunque, en circunstancias normales, no se hubieran fiado.
Otro aspecto a destacar durante esta situación es que las empresas se han visto forzadas a una digitalización rápida. De hecho, parece que se ha producido un «acelerón» , haciendo en meses lo que hubiera costado cinco años. Muchas pymes han tenido que desarrollar y usar aplicaciones y sistemas para trabajar remotamente, comunicarse, vender, compartir información… y eso lo han tenido que hacer muy rápido. La velocidad y la ciberseguridad no son buenas amigas. Cuando las cosas se hacen rápido, no se suelen desarrollar adecuadamente y puede causar problemas de seguridad en los negocios que no hubieran sucedido de hacerlo de otra manera.
MuyPymes: ¿Cuál sería la mejor manera de abordar una estrategia de digitalización segura?
Fernando Ruiz: Con un estudio adecuado, dedicándole tiempo, valorando diferentes alternativas y eligiendo las mejores posibilidades, compartiendo información y haciendo una inversión adecuada. Hay que pensar en el futuro y no en parches para solucionar los problemas más inmediatos, que es entendible esta actitud pero puede repercutir gravemente en la ciberseguridad.
Otras cuestiones que ayudarían serían equipar bien a los trabajadores, que no usen sus ordenadores personales para acceder a recursos de la empresa, porque si no están bien protegidos pueden comprometer la seguridad de toda la organización. Al final, debido a la urgencia, estas cosas no son abordadas de la mejor manera.
Por otro lado, no debemos olvidar que hay más gente operando online y teletrabajando, esto significa una mayor superficie de ataque para los ciberdelincuentes y más cantidad de potenciales víctimas.
MuyPymes: En base a lo que publicáis en vuestro informe anual, IOCTA ¿cuáles son los delitos informáticos más dañinos para las pymes y empresas, en general?
Fernando Ruiz: La ciberdelincuencia es muy variada pero, algo muy recurrente que hemos visto en las últimas ediciones, es que una de las mayores amenazas sigue siendo el ransomware. Lo que hemos visto es una modificación de la conducta. En el pasado, estas amenazas se hacían de forma masiva, donde los cibercriminales atacaban, cuanto más mejor, porque tenían más posibilidades de que alguien cayera, pero se han dado cuenta que es más rentable ser más selectivos.
Si atacan a una empresa, ya sea grande o pequeña, saben que han lanzado un ataque con éxito porque el potencial daño que pueden hacer es muy grande, y los negocios pueden tener más recursos que un particular a la hora de pagar. Además, conocen que están comprometiendo enormemente la capacidad de esa empresa para seguir adelante, lo que les pone en una posición más ventajosa a la hora de hacer esa extorsión. Al fin y al cabo, el ransomware es una extorsión y las empresas, de todos los tamaños, son el objetivo principal.
Además, últimamente hemos notado que, estos cibercriminales, para ser más efectivos en sus amenazas, no solo se limitan a encriptar la información de los servidores o de la empresa, sino que primero, se infiltran en la red para robarla y, después, la encriptan. De esta manera, amenazan doblemente, primero para desencriptar los datos y, luego, amenazan con publicarlos si no se hace un segundo pago.
MuyPymes: ¿Qué debe hacer una empresa atacada por randsomware, pagar o llamar a la policía?
Fernando Ruiz: Esa empresa es una víctima, por tanto, debe denunciar a la policía y facilitarle toda la información del ataque. Puede que incluso sea parte de una investigación que ya esté activa, no siendo la única víctima y contribuyendo a saber quién se esconde detrás.
Por otra parte, nunca hay que pagar porque esto supone seguir alimentando las amenazas y no hay ninguna garantía de que vayan a recuperar la información. Si denuncian, la policía va a intentar buscar una solución. De hecho, nosotros creamos un portal hace unos años, NoMoreRandsomware, en colaboración con empresas privadas y agencias policiales de todo el mundo, donde facilitamos una serie de herramientas que pueden servir para recuperar los datos, en muchas ocasiones.
MuyPymes: Pero, en el transcurso de esa investigación, ¿los criminales llegan a publicar los datos?
Fernando Ruiz: Sí, en algunos casos si la publican, porque para ellos demostrar su capacidad de amenaza y llevar a cabo sus actos criminales es fundamental para ser tomados en serio. Utilizan foros para publicar información robada.
