¿Puede haber un ciberdelincuente en mi empresa?

En los últimos años el estudio de las Tecnologías de la Información y Comunicación (TIC) se ha convertido en un elemento fundamental en el área empresarial. Como consecuencia, el análisis de los cambios que han generado las nuevas tecnologías en las diferentes áreas empresariales es algo imprescindible para comprender la transformación que se vive actualmente en la estructura organizativa de muchas empresas, incluso en las relaciones que se establecen en la jerarquía de las mismas.

Rawpixel.com / Shutterstock
Rawpixel.com / Shutterstock

En este contexto, las TIC y de forma más concreta el desarrollo de Internet hacen del ciberespacio un nuevo lugar para la perpetración de distintas figuras delictivas relacionadas con el fraude, la estafa o la manipulación indebida de datos. Según la Encuesta Mundial sobre fraude y delito económico 2014, el 50,6% de las empresas españolas fue víctima de algún ciberdelito durante los años 2012 y 2013, hecho que hace necesario dar respuesta a una nueva realidad empresarial donde cuestiones como el desconocimiento pueden suponer un alto coste personal y grupal.

Siguiendo esta línea argumental, es fundamental, además, valorar las consecuencias de lo que se ha conceptualizado como ciberdelincuencia. Para ello, una de las claves está en conocer el perfil psicosociológico del ciberdelincuente, con el objeto de poder trazar un mapa de comportamiento como única vía para conseguir prever sus movimientos en la red, y adquirir un mejor entendimiento del delito que se comete a través de Internet.

En este sentido, tendríamos que partir de la base de que todos tenemos una forma de hacer las cosas que nos caracteriza. Tenemos nuestras propias “manías” (obsesiones en psicología) y de forma generalizada hablamos de esa “forma de ser” que nos hace únicos y diferentes. Esta forma de ser, nuestra personalidad, es la que define nuestro comportamiento. Pero, realmente, ¿qué es la personalidad?. En líneas generales podríamos decir que la personalidad es una forma de ser consistente y perdurable que conlleva un comportamiento que se repite ante las mismas situaciones. Es, además, muy probable que el factor de aprendizaje y/o la experiencia vivida hayan intervenido en su desarrollo, por lo que el comportamiento puede predecirse.

Aún así, cuando nos referimos a los ciberdelincuentes es importante tener en cuenta que el perfil de este tipo de personas evoluciona continuamente y que el joven de clase media, obsesionado por el medio, que buscaba reconocimiento y sin fines de lucro ha dado paso, a una variedad de perfiles cuyos objetivos van desde el ataque a la propiedad privada hasta la estafa.

Además, el modus operandi de este tipo de delincuentes no es estático, sino dinámico, y no sólo porque el entorno en el que se mueven puede influirles, sino porque son delincuentes que mejoran sus estrategias con el aprendizaje, y conscientes de ello van refinando su método para no ser capturados.

En principio podemos distinguir dos tipos de ciberdelincuentes en las empresas, por un lado hablaríamos del experto, que utiliza de forma reiterada la red para cometer delitos, que es un gran conocedor del medio, y que encajaría perfectamente con aquel que perfecciona su técnica a medida que aumenta su número de delitos, y por otro, el delincuente puntual que simplemente utiliza la red para cometer un delito menor, pero que puede ser muy peligroso para la empresa, y que podríamos identificar con el ejecutivo que al cambiar de trabajo se lleva en un USB los datos de sus clientes.

La terminología relacionada con el ciberdelito nos lleva a clasificar ambos tipos de delincuentes en:

  • Hackers: perfiles informáticos especialistas en programación, sistemas operativos, etc. No tienen por qué atacar dentro de la empresa, pudiendo hacerlo desde fuera y por encargo de algún empleado. El hacker es muy peligroso, ya que normalmente utiliza técnicas muy sofisticadas, y no deja rastro.
  • Crackers: en el caso del cracker hablamos de un hacker que utiliza el ataque en beneficio personal y con la única finalidad de hacer daño. Diríamos que su objetivo final es la venganza. Este tipo de delincuente es el más común dentro de la empresa, sin embargo su técnica no suele ser tan buena como la del experto informática, y la posibilidad de rastrearlo es más alta, ya que las emociones invitan a cometer errores.
  • Sniffers: este tipo de ciberdelincuente actúa con programas de rastreo que descifran mensajes que circulan en la red. Generalmente se dedican a obtener información sobre cuentas bancarias o de correo electrónico, para ello comienzan por conseguir contraseñas, que les permitan realizar estafas de menor a mayor escala.
  • Spammers o Scammers: utilizan las listas de correo electrónico para enviar emails cuyo contenido se orienta a la consecución de estafas de carácter económico. Las bases de datos de las empresas son para ellos una fuente importante de alimentación, se han dado casos de empleados que las han vendido.
  • Lamers: personas sin apenas conocimientos informáticos, cuyo perfil puede asemejarse al de los sniffers. Estos delincuentes pueden hacer mucho daño, ya que el desconocimiento se convierte en un arma de doble filo.

Independientemente de la identificación del tipo de ciberdelincuente que nos podemos encontrar, lo que las empresas deben tener en cuenta es que cuando un ciberdelincuente, sea empleado o no, decide atacar su empresa, normalmente comienza a recoger datos sobre la organización, tales como el número de trabajadores o los históricos contables. Detectar un ataque en esta fase inicial es prácticamente imposible. Sin embargo lo que sí se puede hacer es ponérselo difícil, por ello no debemos en ningún caso infravalorar lo que puede significar un buen plan de seguridad preventivo. Pensemos que la vulnerabilidad de nuestro software y del sistema operativo es directamente proporcional a la posibilidad de sufrir un ciberataque, y que cuantos más datos tengan de nuestra empresa más fácil es el acceso.

Por último, no se debe pensar que el tamaño de la empresa influye en el ciberataque, el objetivo del ciberdelincuente no está relacionado con facturaciones ni cuentas de resultados, más bien con el valor de los datos que puedan obtener y de cómo los puedan utilizar. No olvidemos que en estos momentos la venta de los mismos es un negocio en auge.

Luisa Fanjul. Profesora Grado de Criminología (ESERP Business School).

Imágenes: Rawpixel.com / Shutterstock