En el tiempo que lleva leer el titular de esta historia, ciberdelincuentes repartidos por todo el mundo habrán intentado concretar más de 3.000 ataques informáticos. Arremeterán contra usuarios famosos y anónimos en todo tipo de plataformas. También contra pequeñas empresas, radicadas desde en Buenos Aires hasta Mérida, y contra compañías gigantescas en San Francisco o Hong Kong. Tampoco se salvarán las instituciones públicas, como hospitales o ministerios. Y habrá tres grandes fuerzas que motivarán a los criminales: espionaje, ideología y recompensa financiera.

En 2024, el cibercrimen ha alcanzado su pico histórico y ha provocado pérdidas de 10.000 millones de euros, el doble que en el año anterior. Ya en 2023 se convirtió en la tercera economía del planeta, ubicándose cómodamente después de EE UU y China. Pero en el año que termina se ha consolidado como una imparable máquina del crimen que hace que uno de cada cinco delitos que se cometen a nivel global sean a través de la red. A lo largo de 2024, en España, el 25% de todas las infracciones que se denunciaron sucedieron en internet, donde ocurren más de ocho de cada diez estafas que se ejecutan. Esta modalidad irá a más y la Coordinación de Ciberseguridad de la Guardia Civil prevé que crezca en 2025, hasta alcanzar las 150.000 denuncias.

Estas cifras han convertido a España en el quinto país más afectado a nivel mundial, con un total de 58 grandes ataques de ransomware —programas informáticos maliciosos, destinados al secuestro de datos y acceso a servicios online— en los primeros seis meses del año, un 38% más que en el mismo período de 2023, según un informe de la compañía de ciberseguridad S21sec.

Este 2024 también ha arrojado otra cifra récord. Se registró el mayor pago jamás realizado en la historia por una empresa a ciberdelincuentes para recuperar el control de sus sistemas. Fueron 72 millones de euros, casi el doble del pago más alto que hasta entonces se conocía, al menos públicamente, según un informe de ThreatLabz, que no detalla cuál fue la compañía que sufrió el ataque. Y aunque no existen estadísticas fiables sobre cuántas entidades pagan los rescates que se les exigen, la compañía de seguridad Veeam calcula que un 76% de los afectados abona las cantidades reclamadas. Nadie parece estar a salvo.

“Los ciberatacantes se van reinventando cada año y ajustándose a nuevas tendencias”, explica Ángela García, técnica de la línea de ayuda del Instituto Nacional de Ciberseguridad (INCIBE). Es un canal de comunicación telefónico (017), gratuito y confidencial, que resuelve dudas de la población relacionadas con seguridad digital, tanto a nivel preventivo como reactivo. “El tipo de ataque que registramos depende de la época del año. Ahora en diciembre, en un contexto de fiestas, vemos mucho fraude vinculado con compras en línea o tiendas virtuales fraudulentas”, añade la experta.

García detalla que la ingeniería social sigue siendo el mecanismo más común para cometer delitos en la red. Es una técnica que manipula a las personas para que revelen información confidencial o realicen acciones que pueden ser perjudiciales, como hacer clic en un enlace malicioso o descargar un archivo infectado. Los piratas informáticos se aprovechan de la confianza, de la curiosidad o del miedo, para robar información que, tarde o temprano, les dará un rédito económico. El ejemplo más usual quizá sea el phishing, donde a un usuario le llegan correos falsos de personas que se hacen pasar por empresas legítimas —como Google o un banco—, o por amigos o familiares, y así logran robar contraseñas o, en algunos casos, directamente dinero.

Un sector que se reinventa

Marc Rivero, investigador principal en la empresa de seguridad digital Kaspersky, señala que el 2024 también se ha caracterizado por el robo de credenciales: “Lo más habitual es que los delincuentes utilicen una pieza de malware que se encarga de robar contraseñas almacenadas en el navegador o en el equipo del usuario”. Luego, meses más tarde, se utilizan esos mismos datos para orquestar ataques más fuertes a organizaciones más grandes. “Pensemos en un empleado que utiliza en su ordenador personal una credencial del ámbito corporativo. Se la roban sin que se dé cuenta y la utilizan más tarde para golpear a su empresa”, explica.

García apunta que “al final, los objetivos que tienen los ciberdelincuentes son prácticamente dos: robar datos o robar dinero”. Según esta técnica en ciberseguridad, robar datos llevará finalmente a un beneficio económico: “Ya sea porque se van a vender los datos en el mercado negro, o bien porque los van a utilizar para otro tipo de fraudes en los que la víctima va a tener algún tipo de perjuicio financiero”.

La inversión en seguridad de las empresas españolas ronda los 1.200 millones de euros. Aunque hay un matiz: el 90% de este gasto lo hacen compañías grandes. Las pequeñas y medianas empresas realizan inversiones mínimas, ampliando así el campo de vulnerabilidades.

El informe de ThreatLabz señala que el sector de manufactura industrial ha sido el más atacado del año, seguido de sanidad y tecnología, áreas críticas que, en algunos casos, sufrieron interrupciones graves en sus operaciones hasta quedar paralizadas.

El sector energético fue el que más aumentó su número de ataques, tanto en Europa como Estados Unidos, convirtiéndose en un objetivo estratégico debido al valor de sus datos. Un ejemplo, sin ir más lejos, fue lo que sucedió en septiembre, cuando Repsol fue el blanco de un ciberataque a su base de datos de clientes de electricidad y gas en España. O en mayo, cuando una filtración en Iberdrola dejó al descubierto la información personal de 850.000 clientes en el país. Cruzando el océano, en abril, se conoció que el 39% de las ciberamenazas en México fueron a empresas de energía. La tendencia también se fortaleció en el resto de América Latina a lo largo del año.

El espaldarazo de la IA

La inteligencia artificial tenía que tener su propio capítulo en esta historia. “Su papel ha sido el de perfeccionar cómo el mensaje llega a la víctima”, dice Rivero. Es decir, esta herramienta ha ayudado a adecuar cada ataque a su público objetivo, volviendo las estafas más creíbles, casi personalizadas. “La IA ha depurado las técnicas ya existentes”, añade.

García detalla que la inteligencia artificial también ha ayudado a los ciberdelincuentes con la suplantación de identidad a través de la voz, usando una técnica conocida como vishing, que se volvió bastante frecuente este año. Se emplea para engañar a los usuarios y así darle a los piratas acceso a un entorno corporativo para extraer datos o infectar equipos con un software criminal.

La cuestión irá a más. Se espera que en 2025, la adopción de la IA generativa sea aún mayor. Esto permitirá a los autores de amenazas crear correo electrónicos con una gramática y una ortografía precisas y utilizar la clonación de voz, con acentos locales, para mejorar la credibilidad de sus estafas y aumentar la probabilidad de éxito. Un reporte de Zscaler advierte de otras tendencias para 2025. La firma cree que se popularizarán los ataques de ransomware dirigidos a empresas multimillonarias, objetivos específicos y de alto valor a los que pedirles rescates más significativos. El menudeo virtual irá a menos.

El sector de la salud también será un objetivo principal porque son organizaciones que manejan datos sensibles y, por lo tanto, valiosos. “Serán especialmente relevantes para estas empresas los zero days, nuevas vulnerabilidades que aparecen dentro del sistema y que no son conocidas por el fabricante, por lo que aún no tienen un parche que las solucione. De eso se han aprovechado mucho y lo seguirán haciendo”, detalla Rivero.

Si los ciberdelincuentes avanzan un casillero en el perfeccionamiento de sus técnicas de ataque, tarde o temprano, los ciberexpertos también lo hacen con sus defensas. “Lo más efectivo es mantener un control regular y actualizado en los parches de seguridad del sistema. El cambio y rotación de contraseñas también es un método efectivo para poder mitigar las amenazas; y la formación, eso es fundamental”, señala Rivero. Este especialista opina que falta mucho trabajo en prevención: “Es una asignatura pendiente para España. Cuidar nuestros sistemas informáticos es tan importante como cuidar el cuerpo haciendo deporte”.

García apela a algo mucho más básico, aunque parezca trivial: el sentido común. “Si nos paramos a leer la información que nos están mostrando o pensamos un segundo en lo que estamos escuchando o leyendo, se llegarían a evitar muchos fraudes. Debemos aprender a ser críticos con la información que recibimos”, concluye esta experta.