El cibercrimen es uno de los mayores riesgos para la economía alemana. Desafortunadamente, todavía se reportan muy pocos casos. Esto contribuiría positivamente a la tasa de resolución de incidentes cibernéticos. La policía depende de la ayuda de las empresas para poder detener a los hackers.

En conversación con Peter Vahrenhorst, jefe de detectives superintendentes de la Oficina Estatal de Policía Criminal en Renania del Norte-Westfalia. En este cargo, también es responsable de la prevención del ciberdelito.

¿Cómo evalúa la amenaza actual de ciberdelincuencia para las empresas alemanas?

No existe un sistema clásico de calificación del 1 al 6 que pueda usarse para la evaluación. La economía es muy diversa. Hay muchos grandes actores que tienen su propio departamento de TI y, por tanto, ya están bastante bien posicionados. Además, hay muchas pequeñas y medianas empresas que, por supuesto, son de gran importancia para la economía alemana, pero que suponen un pequeño problema. Estas empresas se centran en su negocio principal y también deben encargarse de tareas de TI. Sin embargo, en muchas empresas esto funciona muy bien, pero en otras estas habilidades de TI son escasas. Por tanto, agrupar es casi imposible, ya que las condiciones son muy diferentes. Es casi como estar en una tienda general. Algunas empresas medianas ya están muy bien posicionadas, mientras que otras definitivamente aún necesitan hacer algo.

¿Existe una tendencia sobre qué industrias o empresas se ven especialmente afectadas?

No nombraría ninguna industria explícitamente. Sin duda, puede ocurrir que los ataques a una industria sean más frecuentes. Sin embargo, como empresa, nunca deberías quedarte de brazos cruzados y contar con que no encajas en la cuadrícula. El reciente ataque al hospital universitario de Düsseldorf es un buen ejemplo de ello. Originalmente, el ataque iba dirigido a la universidad y, debido al mismo nombre, los hackers atacaron el hospital. Por tanto, las empresas no deberían depender de que otras industrias se vean afectadas. Eso sería una falsa sensación de seguridad.

¿Se pueden detectar fluctuaciones estacionales? ¿Hay vacaciones de verano para ciberdelitos?

No, el cibercrimen no es un negocio estacional. Hubo una especie de «ruptura por el coronavirus» si se observa la propagación del malware Emotet. Aquí, sin embargo, el periodo de la Corona se utilizó principalmente para mejorar los sistemas y volver a la red con más fuerza. Por otro lado, sin embargo, hubo ciberdelincuentes que aprovecharon precisamente este periodo del coronavirus o la fase de la oficina en casa. Hay una variedad de agresores que actúan de forma completamente diferente. Cuando algunos hacen una pausa, otros continúan. No notamos una «pausa de verano» ni una fase en la que haya un estancamiento.

¿Cómo ha cambiado la situación en general en los últimos años? ¿Hay un aumento en los delitos económicos cometidos por hackers o está disminuyendo?

Esta es una pregunta difícil, porque nosotros, como policía, solo podemos evaluar lo que se nos informa. Hay un gran campo oscuro. El comportamiento de denuncia de las partes implicadas no refleja la realidad. Así que si solo miramos los anuncios que realmente se reportan, no estamos lo suficientemente cerca de la situación real. Hay muchas empresas que tienen razones —o creen tenerlas— por las que no acuden a la policía. Puedes apoyar esto o no, pero el número de anuncios no corresponde a la realidad, así que tienes que tener en cuenta otros factores para responder a esta pregunta.

¿Debería una empresa que ha sido víctima de un ciberataque informar a la policía en cualquier caso?

Recomendamos que las empresas informen de cualquier incidente de este tipo. Al final, las empresas solo perciben su propio caso. Sin embargo, supuestamente varias otras empresas piensan igual. El individuo no lo ve, pero para nosotros hay contextos importantes entre los crímenes. Un ejemplo para ilustrarlo: hace unos días, se envió un correo electrónico a una empresa amenazando con que se había instalado un artefacto incendiario en el edificio de la empresa y que no se detonaría si se pagaba una cantidad X en Bitcoins. Sin embargo, varias otras empresas también han recibido este correo. Se desalojaron edificios y se registraron artefactos incendiarios, pero no se encontró nada. Al examinar los correos, se mostró que la misma cartera estaba almacenada en todos ellos. El autor no habría podido determinar qué empresa había pagado la cantidad. En detalle, esta información no se pudo obtener. Sin embargo, debido a que varias empresas informaron del incidente, se podría determinar que el correo carece de sustancia. Por estas razones, recomendamos que las empresas contacten con la policía en caso de incidentes.

¿Marco el 110 de la manera clásica?

Se ha demostrado que el clásico 110 no es la forma adecuada para que las empresas comerciales informen a la policía. Los guardias de seguridad están haciendo un buen trabajo, pero no son expertos en ciberdelitos. En NRW, existe una línea directa 24/7 desde 2011. Utilizando el número 0211 / 939 4040, las empresas pueden contactar con la policía y denunciar tu emergencia cibernética. Los especialistas se pondrán en contacto contigo para coordinar las medidas necesarias.

¿Cómo procede la policía en la investigación? ¿Se examina la escena del crimen en detalle, como ocurre con cualquier otro delito?

Eso depende mucho del caso. Hay problemas en los que no es necesario que estemos presentes en el lugar. Por ejemplo, si una empresa recibe un correo de chantaje, no tenemos que estar en el lugar. Si, por ejemplo, una empresa detecta un programa de cifrado, como fue el caso del Hospital Universitario de Düsseldorf, estamos en el lugar y apoyamos a la empresa con nuestro conocimiento para que el daño sea limitado. Esto es una parte esencial de nuestro trabajo policial. Sin embargo, no decidimos por nosotros mismos cómo proceder, sino siempre en consulta con la parte lesionada.

¿Trabajasestrechamente con proveedores de servicios informáticos y expertos forenses informáticos o traes a tus propios expertos contigo?

Tenemos nuestros propios expertos. Sin embargo, en la mayoría de los casos, un proveedor de servicios de TI ya está involucrado. Luego trabajamos juntos en equipo, aunque los requisitos varíen. Sin embargo, en los círculos especializados, la gente se conoce, conoce las habilidades de los demás. Así que es una buena cooperación.

¿Entonces les das consejos a las partes afectadas sobre cómo protegerse de un ciberataque en el futuro o esto excede su área de responsabilidad?

La prevención forma parte del ámbito policial. No asumimos ninguna prevención técnica, lo que significa que no damos consejos sobre qué ticks o filtros deben establecerse. Sin embargo, apoyamos a las empresas en la coordinación de procesos. Los procesos desempeñan un papel esencial en la digitalización y, por tanto, son una parte importante de la prevención. Por encima de todo, asesoramos a las empresas sobre cómo reaccionar de forma correcta y rápida en caso de una emergencia cibernética. En cualquier caso, esta es una zona preventiva que nosotros como policía cubrimos. En el mejor de los casos, acudimos antes de que ocurra un ciberataque, pero por supuesto también ofrecemos apoyo tras la emergencia, para que estés mejor preparado en caso de que ocurra un segundo incidente.

¿Las empresas pueden entonces contactar con la policía para informarse sobre los riesgos y la protección cibernética?

Sí, ofrecemos eso. Pero, por supuesto, hay que considerar el orden de magnitud: hay unas 860.000 empresas en Renania del Norte-Westfalia. No estamos organizados de tal manera que podamos asesorar a todas las empresas. Pero intentamos usar plataformas para llegar a un gran número de empresas.

¿Cuáles son las probabilidades actuales de aclaración?

Sería fatal si dijera que no tenemos ninguna oportunidad. Eso también sería incorrecto. Pero aquí también solo podemos referirnos a lo que se muestra. Según las estadísticas de criminalidad publicadas recientemente para 2019*, estamos por encima de la media general con una tasa de resolución del 26 por ciento en el ámbito de la ciberdelincuencia y, por tanto, en un buen rango.

*Estas estadísticas se refieren al estado de Renania del Norte-Westfalia

¿Así que los hackers dejan rastros en la red que se pueden rastrear?

Los hackers cometen errores y no siempre son tan diligentes en lo que hacen. Encontramos estos errores, y eso ofrece buenas formas de plantearlos finalmente. En la mayoría de los casos, los hackers buscan dinero; esta es otra pista a seguir para encontrar a los ciberdelincuentes. Estos son enfoques que seguimos, como en cualquier otro trabajo de investigación. El trabajo policial es una tarea sisífica, en la que conectas puntos individuales para acabar con el autor. Sin embargo, en el ámbito del ciberdelito, no se trabaja con rastros físicos, sino con huellas digitales.

¿Existe cooperación internacional para localizar a los ciberdelincuentes?

En casos individuales, también trabajamos junto con otros países. Hay un servicio europeo, hay otras áreas de cooperación internacional. También viajamos ocasionalmente al extranjero con nuestros propios investigadores y cooperamos con colegas locales para arrestar a un autor. Además, aquí en el recinto trabajamos colegas extranjeros. Sin embargo, la naturaleza y el alcance de la cooperación varían de un país a otro. Para algunos funciona mejor, para otros menos. Debido a la digitalización, se ha vuelto normal mirar más allá de los propios límites.

¿Es posible hacer afirmaciones sobre si los hackers de un determinado país están cada vez más activos?

No, no hay enfoque. Hay buenos hackers en Rusia, hay buenos hackers en Israel, en Sudamérica y, por supuesto, en Alemania. Por tanto, no es posible hacer una afirmación generalizada sobre de qué país provienen principalmente los ataques hackers. Aquí también se aplica lo siguiente: los perpetradores están en movimiento a nivel internacional.

¿Puedes nombrar un periodo de tiempo en el que se resuelve un incidente cibernético de media?

El rango es amplio, no hay una media válida que se pueda extraer. Puedes atrapar al autor en una semana, o puedes trabajar en un complejo de delitos durante tres años y aun así no resolverlo.

Por último, pero no menos importante, la pregunta de Tatort: ¿Es un rastro digital frío en algún momento?

Hay esta afirmación: «Después de 48 horas, las huellas están frías». Generalmente no funciona así. La realidad del trabajo policial es diferente. Incluso en el caso de delitos de asesinato, los tiempos de espera pueden ser más largos y, al final, el autor es capturado de todos modos.