Radiografia de la cibercriminalitat

El 16 de juliol Andorra va patir el pitjor ciber­atac de la història i un dels 100 més potents que hi ha hagut mai a Europa. Era la quarta escomesa virtual en mig mes i la més virulenta que s’havia viscut fins al moment al país des de l’arribada d’Internet. La magnitud de l’assalt va ser de 40 gigabytes per segon, quatre vegades el trànsit que hi ha habitualment, fet que va col·lapsar la xarxa, afectant milers de persones. Uns atacs massius que van posar en guàrdia Andorra Telecom. Aquella experiència va portar la companyia a activar un seguit de mesures per enfortir el sistema, de tal manera que si avui dia es produís una agressió de les mateixes característiques “no hi hauria problema”. Ho assegura César Marquina, l’home que va veure com les seves vacances s’escurçaven per culpa d’uns pirates internacionals que segons es va desprendre de la investigació –que encara no ha conclòs– formarien part del grup txetxè Kadyrovtsy.

El director de seguretat d’Andorra Telecom assegura que “si ara es reproduís la mateixa metodologia d’atac podria tenir uns minuts d’afectació, però seria cosa de tres, quatre o cinc minuts mentre es posen en marxa els equips”. El mètode utilitzat pels pirates informàtics que van actuar contra el Principat va ser un dels més agressius que hi ha: la denegació de servei (DoS), que consisteix a activar centenars de milers de dispositius al mateix moment perquè demanin informació d’un servidor simultàniament com si d’un assalt es tractés. Això provoca un trànsit de­sorbitat que el sistema no pot absorbir. Fins que cau. “Que ens va posar a prova, segur. Va ser una cosa excepcional que no ens havia passat mai”, manifesta Marquina, alhora que indica que “sabíem que un dia o altre ens passaria”, i sosté que “humilment ens va permetre aprendre de l’experiència”. Tant és així que el succés va provocar que es “posessin al dia procediments que havíem establert per a atacs molt més petits, que funcionaven però no eren suficients per a un atac així”. Andorra Telecom –que inverteix cada any entre 700 i 800.000 euros en seguretat, sobretot en man­teniment– va revisar els protocols amb els proveïdors de comunicacions dels estats espanyol i francès per tal de poder mitigar casos similars de manera més ràpida. “Ens va obligar a ser més rigorosos i ara la xarxa és més segura que abans dels atacs perquè estem més entrenats”, conclou el responsable, que té clar que un fet com aquell hauria afectat qualsevol país.

Malgrat que milers d’usuaris van patir els efectes d’aquell fet, les víctimes reals van ser encara no una desena d’empreses del país –entre les quals la mateixa parapública– que van ser víctimes de l’extorsió dels hackers, que van amenaçar els afectats de bloquejar-los els servidors si no pagaven 20 bitcoins (12.000 euros). Andorra Telecom i algunes de les companyies que van ser objecte de les extorsions no van cedir a les amenaces del grup –no es van pagar els rescats exigits– i van denunciar els fets a la policia, malgrat que “a Andorra quasi ningú denuncia”, confessa Marquina. No obstant, tot i la col·laboració amb altres països per investigar els fets, no s’ha pogut arribar a l’origen. La mateixa unitat de delictes tecnològics de la policia admet les dificultats d’investigar aquest tipus d’accions i fa palès el buit legal que hi ha a escala mundial per facilitar que es persegueixin uns fets que tenen una dimensió global. “És un procés molt llarg i hi ha un bloqueig important. S’ha de fer una petició d’un país a un altre i això és temps, perquè cada país té una llei diferent”, narra Àlex Estalés, de la unitat de delictes tecnològics de la policia. Luis Jurado, especialista en delictes telemàtics, sentencia que “moltes vegades els temps s’eternitzen i es perd el sentit de justícia que es reclama per arribar massa tard”. A més, recalca que “la innovació delictiva va per davant en anys respecte a les lleis de cada país”, i això és un obstacle addicional, ja que cada indret té un nivell de protecció diferent o n’hi ha que ni tan sols tenen normativa legal referida al món digital. En aquest context, opina que “faria falta una regulació a escala mundial que equiparés legislacions i protocols d’actuació judicials”, perquè “si Internet és global, per què la justícia no ho és?”.

L’1 de març entrarà en vigor el Conveni sobre la cibercriminalitat signat a Budapest el 23 de novembre del 2001 i que el Principat va fer seu el 23 d’abril del 2013. Segons Estalés, això significarà “un pas endavant” que posa de manifest la necessitat de formar la població i els professionals del dret i la justícia i d’avançar en una millor col·laboració internacional. Ruth Sala, advocada penalista especialitzada en delictes tecnològics, considera que és “problemàtic” que “hi hagi països amb els quals l’auxili judicial és pràcticament nul”, i és del parer que això provoca mancances pel que fa a “la velocitat d’investigació vers la velocitat amb la qual es produeixen els fets”.

Jurado assenyala que “un delicte informàtic té la complexitat que pot cometre’s de forma simultània i a distància”. “Si la tecnologia permet comunicar-nos de forma simultània i a escala mundial, les lleis penals només regeixen en el teu propi país”, i els estats “volen seguir mantenint les seves pròpies normes, fet que dificulta i allarga els processos judicials”. Carlos Fragoso, enginyer de seguretat que es dedica a la detecció i resposta d’incidents, es mostra contundent a l’hora de sentenciar que “avui dia la legislació és una de les grans limitacions” perquè “el sistema judicial encara no ha evolucionat per contemplar el paradigma que suposen els atacs virtuals”.

Petits estats

Pel que fa als estats petits, Fragoso argumenta que “no poden comptar amb els mateixos recursos d’intel·ligència i investigació que altres potències”, fet que “limita la seva capacitat preventiva i reactiva”. A més, puntualitza que el Principat pot ser un objectiu llaminer per l’arrelament del sistema financer i la presència d’empreses i residents apoderats.

Sala creu que tots els estats “estan exposats per igual”, si bé als petits “la dificultat que es podria trobar és la manca de recursos”. Jurado fa referència també a la falta de recursos econòmics i personals, i Marquina creu que “estem una mica per darrere del que estan fent altres països però ni de bon tros d’altres estan preparats”. Així, considera que “podríem ser més àgils a l’hora de desenvolupar una seguretat jurídica al voltant dels cibercrims”.

Malgrat les dificultats per trobar l’autor d’un atac informàtic –element crucial per perseguir un delicte– els experts insisteixen en la importància de denunciar. Segons Sala, “si som víctimes d’un atac informàtic és important denunciar-ho” per si una assegurança pot assumir l’impacte dels anys causats. “Hauríem de denunciar per tal que la policia faci una valoració sobre la necessitat o possibilitat d’iniciar una investigació”, remarca l’advocada, que dona fe que “les investigacions es converteixen en un ardu camí de paciència atesa la possibilitat d’amagar la pròpia connexió o crear perfils d’identitat falsos”. Les empreses són els principals objectius dels hackers, tot i que els particulars són qui més en pateixen les conseqüències. Sala relata que “la suma dels centenars de particulars estafats per una mateixa organització fa que els fets tinguin entitat suficient per ser judicialitzats”.

Fets que en la seva majoria són estafes, robatori de dades bancàries, amenaces, assetjament, violència masclista digital o sextorsions, mentre que les cor­poracions solen patir robatori de dades i ransomware, segrest d’informació, per la qual es demana un rescat. Fragoso assevera que “sense cap mena de dubte l’últim any el segrest d’informació ha estat la principal amenaça tant per a usuaris com per a empreses”, tot i que també enumera el robatori d’informació personal i destaca l’increment de les extorsions basades en la difusió d’informació falsificada.

MÉS DE 600 ATACS PIRATA AL DIA A ANDORRA TELECOM

Andorra Telecom pateix més de 600 atacs pirata cada dia. La majoria són accions de poca volada, imperceptibles als ciutadans i quasi cap es denuncia. La companyia només s’adreça a la policia si les conseqüències són importants i hi ha un gran nombre de damnificats. És el cas dels atacs patits l’estiu passat. La parapública va presentar una denúncia i diversos complements de denúncia, fet que va portar la policia a iniciar una investigació que en tractar-se d’un grup de hackers de caràcter mundial té un abast global. Això significa que es col·labora amb l’Europol i la Interpol en una tasca que encara no ha tingut fruits, ja que no s’ha localitzat l’origen ni els responsables de les accions de sabotatge i extorsió amb fins lucratius que es van dur a terme en el pitjor atac patit mai al país. En aquell cas menys d’una desena d’empreses van resultar afectades, i algunes van presentar denúncia. Un fet que és poc habitual ateses les dificultats per trobar els culpables. Marquina assegura que “devem ser de les poques, si no l’única empresa que denuncia”, ja que “hi ha molt poca consciència”. Amb tot, indica que “si no es denuncia no es percebrà mai la magnitud del problema real”.

Anabel López i Àlex Estalés, Org. del Conand i agents del grup de delictes tecnològics

“LA BANCA ÉS EL SECTOR MÉS PROTEGIT D'ANDORRA”

És la parella policial que persegueix els delictes digitals del país. A més de ser policies tenen formació en enginyeria de telecomunicacions –en el cas de López–, en informàtica forense i en resposta d’incidències tecnològiques. Han impulsat el congrés Conand de ciberseguretat d’aquest cap de setmana juntament amb Andorra Telecom.

Dues persones radiografien els ciberatacs del país.

A. E.: A Andorra ens ha arribat tot una mica més tard. El grup de delictes tecnològics de la guàr­dia civil existeix des del 95. A Espanya tenen milers de casos tecnològics i aquí en canvi no n’hi ha tants i la conscienciació és més lenta. Andorra és un dels països més segurs del món a nivell de seguretat pública, però ara entrem en un mercat al qual no estem acostumats...

La banca deu ser un objectiu principal.

A. L.: Un banc és un sistema molt gormand per a qualsevol delinqüent, però és el sector més protegit a Andorra. Si he de posar la mà al foc per un col·lectiu a nivell de seguretat informàtica és la banca. Són els que inverteixen més diners en seguretat.

Però també a nivell particular.

A. L.: Tots podem ser víctimes. Donem facilitats al de­linqüent per exemple no posant una clau Wi-Fi robusta. No hi ha una cultura tecnològica, ens han imposat material que sabem quin benefici dona però no sabem quines mesures hem de prendre per protegir-nos. Poden infectar la teva màquina i fer-la partícip d’una bullnet per poder atacar un govern.

És l’atac més habitual?

A. E.: Últimament extorsionen bastant amb això.

Costa molt d’investigar?

A. E.: A Espanya només es resolen un 1,5% dels delictes i aquí deu ser similar, però allà tenen l’avantatge que tenen delinqüència autòctona tecnològica. Aquí no hem detectat que tinguem ningú autòcton. Hi ha hackers però a nivell de frau.

La impunitat és generalitzada.

A. L.: Bastant. Per això s’ha de legislar millor, agilitzar les coses. Fer entendre que cal un codi penal tecnològic basat en les normatives tecnològiques.

I en el cas d’Andorra?

A. E.: El codi penal té alguna imprecisió que s’hauria de cobrir. Hi ha conductes que no estan clarament tipificades.

No estem preparats, doncs.

A. L.: Per combatre la ciberdelinqüència global, no, com no ho estan ni França ni Espanya. Però per la local, sí. La dimensió del país facilita que es puguin desenvolupar eines.