“Tothom és susceptible de patir un ciberatac”

És un dels sis agents del grup de delictes tecnològics, una modalitat de delinqüència que trenca fronteres i que té múltiples vessants. El nexe és l’ús de la tecnologia per fer mal.

Un dels delictes tecnològic són els atacs de denegació de servei que van perjudicar seriosament el servei d’internet fa un any, com ara el frau que pateix un ciutadà que dona les dades bancàries. La dificultat per trobar el responsable és la mateixa?

Com més complex és el delicte més difícil és trobar-ne el responsable, com més especialitzat és l’objectiu, més difícil és trobar-lo. La tecnologia allibera les fronteres, som víctimes des de qualsevol punt del món i les col·laboracions entre països no sempre funcionen, no són prou àgils, hi ha qualificacions jurídiques que permeten fer certes accions i d’altres que no, i de vegades no es pot arribar a cert objectiu. No és només una qüestió d’Andorra, a Espanya l’estadística de resolució de casos també és baixa.

La pedagogia és essencial i, en el cas de les empreses, també ho és invertir-hi?

Més val prevenir que curar. I en aquests casos, com que no sabem si podrem curar, és millor prevenir. Tot i que de vegades costa de conscienciar. Si ets un administratiu d’una empresa i reps un correu amb un adjunt que és maliciós, probablement si t’ho miressis un minut en moltes ocasions podries descobrir que no ve d’un remitent legítim. Però t’agafa desprevingut i és del que s’aprofiten; ho fan així perquè saben que hi ha aquestes casuístiques.

Quin seria el rànquing de delictes més denunciats?

El que ha pujat més, que és el que afecta més la població, és l’augment de sextorsions. Les campanyes d’apropiacions d’Instagram o WhatsApp també afecten moltes persones. Quan hi ha una notificació com la que es referia el nostre director [sobre una suposada citació per un delicte], la gent ens ho notifica molt...

Era bastant matusser.

I la setmana següent va aparèixer el mateix amb el logo dels Mossos. Però va estar bé perquè hi va haver un moviment en què van fer servir el nom del director de la policia, i això va sobtar tothom i ens ho va notificar. Potser ara, com que estan passant més coses, rebem més notificacions o denúncies. Però creiem que hi ha més casos que no es denuncien i dels quals no sabem res, sobretot a nivell d’empreses.

Casos d’extorsió, per exemple?

Hi ha de tot, com una denegació de servei a una pàgina web o, per exemple, sabem que hi ha ramsonware, que és el xifrat de la informació que no es denuncia. Els hi passa: amb l’informàtic fan el que poden i alguns acaben pagant el rescat perquè tenen una mala configuració dels sistemes i no poden recuperar la informació, amb la qual cosa o paguen o han de tancar. Però pagar és un risc perquè ningú garanteix que et donin les claus per desxifrar i tampoc que ho tornin a fer. I encara que resolguin el problema, moltes vegades no miren com s’ha generat i al cap d’un temps els torna a passar la mateixa situació.

La recomanació és no pagar, esclar.

Sí, esclar. Recomanem que no, perquè si no és retroalimentar aquest sistema.

Els alts índex de seguretat d’Andorra estan reconeguts però amb la ciberdelinqüència s’entra en un nou paradigma.

Quan ataquen una empresa, si no ens ho comuniquen no ens n’adonem si no és que, fent recerques, trobem que hi ha a la venda la base de dades d’una empresa, per exemple. Ara, això ho fa més l’Agència de Ciberseguretat perquè és una de les seves funcions. Però quan es veu això és quan detectem l’incident. Les empreses han d’invertir en seguretat però ho veuen com una despesa, no com un actiu. A poc a poc suposo que s’anirà entenent. No cal tenir un empleat, pots tenir serveis contractats. Ara l’Agència desplegarà certs serveis i potser és interessant que ells aportin certes solucions o els guïin per protegir-se millor.

Sorprèn perquè una empresa bé que denuncia si algú li entra a robar. Per què no és el mateix quan es tracta d’un ciberatac?

Crec que es tracta de l’àmbit reputacional. Tothom té clar que ningú està exempt que t’encastin un cotxe a l’aparador i no crearà una crisi reputacional a l’empresa, però en canvi en un ciberatac entra aquesta part reputacional de pensar que la reacció de la gent serà que soc una empresa dèbil i se’n aniran a la competència. Però segurament a la competència la setmana abans també li ha passat. Hem de normalitzar que tothom és susceptible de patir un ciberatac i que l’important reputacionalment és com has reaccionat quan t’ha passat. Estava preparat, ho he pogut restablir tot bé?

I a nivell particular passa igual, com en el cas de les sextorsions.

Amb la sextorsió hi ha el problema de la vergonya. La sexualitat encara és tabú i si la víctima està casada i té fills, encara costa més.

És important acudir a la policia.

Almenys que ens ho notifiquin. Perquè així sabem quin tipus de casuística està passant en el moment, i podem vincular assumptes. Recordo que fa anys a una persona li van vulnerar el correu i com que tenia uns problemes en l’àmbit personal ell ho atribuia a això. Però quan ens va arribar la denúncia en teníem 25 iguals, era una manera de vulnerar un correu que havien trobat i s’havia fet d’una manera bastant massiva.

Hi ha delinqüència autòctona?

En la majoria dce casos ve d’un entorn proper. asos de parelles separades que un pot espiar l’altre, un empleat deshonest... D’això n’hi ha com a tot arreu. Però no hi ha res que ens digui que hi hagi bandes organitzades.

Lluitar contra la ciberdelinqüència requereix formació constant.

No només evolucionen. Troben noves maneres d’enganyar i també hi fa la tecnologia. Per analitzar dispositius o extreure informació s’ha de saber com van els nous sistemes operatius, les eines, les xarxes socials que abans no existien... Hem d’aprendre constantement.