Jefe del Departamento de Delitos Telemáticos de la Guardia Civil (UCO)

Juan Antonio Rodríguez: “De lo que más me siento orgulloso es de la persecución de la pornografía infantil en las redes sociales”

569
Juan Antonio Rodríguez

En el verano de 1998, cuando comenzó a trabajar en el Grupo de Delitos Informáticos, todavía no se hablaba de ciberdelincuencia. Se hablaba de delitos informáticos. Juan Antonio Rodríguez Álvarez de Sotomayor era muy joven y se subió a ese tren porque le encantaba “cacharrear” en los ordenadores. Lo que no imaginaba entonces es que sería el jefe del Departamento de Delitos Telemáticos de la Guardia Civil – desde 2016 – y que aquellos primeros delitos, estafas y extorsiones a través de Internet eran sólo el inicio de lo que hoy llama “la globalización del cibercrimen”.

¿Por qué se especializó en este tipo de delitos?

A finales de los ochenta buscaban un teniente al que le gustara el mundo de la informática. Y a mí me gustaba “cacharrear” con los ordenadores. Pasaba por delante de mí ese tren y me subí, como se podía haber subido otro. Entonces, la unidad se llamaba Grupo de Delitos Informáticos.

Veinte años después, la ciberdelincuencia ha pasado a convertirse en uno de los grandes retos para los cuerpos y fuerzas de seguridad del Estado.

Hemos pasado, efectivamente, de un chavalillo que de cuando en cuando cometía un delito a lo que yo llamo “mercado global del cibercrimen”. Se ha creado un ámbito nuevo delincuencial, con un grado de especialización y madurez muy alto. El cibercrimen es totalmente global.

Aquí no hay fronteras y los malos pueden actuar desde cualquier lugar del planeta…

El phishing que sufrió el año pasado la Empresa Municipal de Transporte de Valencia, que pagó más de cuatro millones de euros a una estructura de cibercrimen, es un ejemplo de ello. A lo mejor los cibercriminales eran el uno de Taiwan, el otro de Nigeria, o rumano, estadounidense, británico, español… Las mafias delincuenciales pueden atacar a la vez al Ayuntamiento de Valencia, al de Roma, al de Baltimore y al de Londres. Todo a la vez.

“En el ámbito de la ciberdelincuencia – y en el de la delincuencia, en general – hay tres motivaciones: el dinero, el espionaje y el sexo”

¿Los ciberdelincuentes van por delante de quienes trabajan en combatirlos?

El problema es que en el ciberespacio no hay territorialidad y, por tanto, no se pueden utilizar los mismos instrumentos legales para investigar esos delitos. Un señor de Nigeria da de alta un correo con tu nombre y apellidos, suplanta tu identidad y pide una transferencia de dinero.

¿Y cómo consigue suplantar mi identidad?

No es complicado. Porque has escrito un artículo y has puesto tu correo electrónico y luego aparece en Facebook que eres amigo de otra persona. Imagínate que ese ciberdelincuente se entera de que tu amigo de Facebook está en México y, entonces, te pone un correo diciéndote que ha perdido sus tarjetas de créditos, que necesita dinero para volver a España y que te lo reembolsará cuanto regrese. Esto ha pasado y sigue pasando. Lo hace un tío desde cualquier rincón del planeta.

¿Existe un exceso de confianza a la hora de manejar y compartir datos?

Se habla de educar a nuestros hijos, pero ¿cómo los vamos a educar, si a nosotros nadie nos ha educado en el uso del ciberespacio de forma segura? No hay normas. A nivel internacional, hay una guerra entre los países que defendemos los valores fundamentales de la libertad de expresión y la intimidad y aquellos que dan prioridad a la seguridad del Estado sobre esa libertad individual. Existe el Convenio de Budapest sobre ciberseguridad, aprobado en el año 2000, pero Rusia, China e Irán han votado en la ONU en contra de esa resolución.

¿Está pidiendo más cooperación internacional para conseguir los objetivos?

Por supuesto. Se han desarrollado algunos instrumentos de colaboración internacional, como la Unidad de Cibercrimen, en la Unión Europea, pero no es suficiente. Ahora mismo hay un proyecto de directiva o reglamento para que las pruebas electrónicas se puedan hacer fuera de la jurisdicción del país donde se ha producido el delito.

“No se va a invertir más en ciberseguridad, si no hay delitos denunciados que lo justifiquen”

¿Qué modalidad de estafas y delitos les están dando ahora más trabajo?

En el ámbito de la ciberdelincuencia – y en la delincuencia, en general – hay tres motivaciones: el dinero, el espionaje y el sexo. En España, los delitos más frecuentes son las ciberestafas, porque montar una estructura para llevarlas a cabo es lo más fácil del mundo.

¿Podría explicarlo con algún caso concreto?

El de la Operación Lupin III, que llevamos a cabo en la Guardia Civil. Copiaban una página web, la instalaban en un servidor de Rumanía, con otro servidor de correo electrónico en Australia, y desde este servidor de correo ponían en marcha una campaña de búsqueda de datos de e-mails en España para hacer ofertas de aire acondicionado. Hacer esto es lo más fácil del mundo. En otros casos compraban perfiles de Wallapop a chavales por 500 euros o regalándoles un móvil para hacer nuevas campañas.

¿Qué número de ciberdelitos se producen anualmente en España y cómo estamos en comparación con otros países?

En el Reino Unido, por ejemplo, el número de delitos a través de Internet es superior al número de delitos conocidos en la vida real o física. En España, los delitos conocidos en 2018, según datos del Ministerio del Interior, fueron 117.000. En el último año – 2019 – las ciberestafas crecieron un 36%. Pero el sistema estadístico está montado para los delitos de jurisdicción, contemplados en el Código Penal. ¿Cuántos casos de phishing tenemos, cuantos ransomware? Es difícil saberlo.

¿Habría que intensificar la información y la divulgación en los colegios sobre los riesgos de Internet?

Ya existe el Plan Mayor de Seguridad para colegios, donde se les habla a los alumnos de ciberseguridad. La Guardia Civil dio el año pasado 27.000 charlas, aunque los chavales no nos ven como actores válidos para este tema. Nos ven como perseguidores de los malos, pero no para hablarles de cómo deben utilizar las nuevas tecnologías.

“Conviene formarse en ciberseguridad y tener muy en cuenta que nadie regala nada”

¿Por qué no se denuncia una buena parte de los delitos que se producen en el mundo digital?

Hay diferentes razones. Una de ellas es que a las víctimas les da miedo reconocer que han sido engañadas. Otra razón es: “me han estafado 50 euros y cómo voy a ir a la Policía o a la Guardia Civil para eso”. Pero, claro, en la Operación Rikati, que llevamos a cabo en 2017 desde la UCO, fueron estafados un millón de españoles a través de los móviles. Y, a una media de 30 euros por estafado, son 30 millones de euros los que se llevaron. Una de las características que tiene la globalización es que, generalmente, no estás denunciando por ti. Estás denunciando por el de al lado. Cinco mil estafados, a quince euros, es mucho dinero. Si no hay denuncia, el delito no existe. Además, con la denuncia estás protegiendo a las víctimas del futuro. Y, sobre todo, no se va a invertir más en ciberseguridad si no hay delitos denunciados que lo justifiquen.

¿Necesitarían más medios para perseguir a los ciberdelincuentes?

Todo es mejorable, pero intentamos estar al día. En mi departamento tenemos un plan de formación continua. Luego, Europol ofrece un montón de cursos formativos. Nosotros participamos el año pasado en CEPOL (Escuela Europea de Policía), asistiendo a cursos vinculados al cibercrimen.

¿De qué operación se siente más orgulloso?

Históricamente, se han llevado a cabo importantes operaciones. Podría destacar la Operación Rikati, pero todavía está en fase de instrucción, o la que acabamos de hacer, desarticulando una red de pederastia en Tarragona, con la colaboración de los Mossos d’ Escuadra. Una de las más famosas fue la Operación Mariposa. Sin embargo, de lo que más nos sentimos orgullosos es de la persecución de la pornografía infantil, a través de diferentes redes sociales, desde los años 2000.   

Juan Antonio Rodríguez Álvarez de Sotomayor, jefe del Departamento de Delitos Telemáticos de la Guardia Civil (UCO)

¿Qué valoración hace sobre la polémica que generó la aplicación Tsunami Democràtic?

Dependía de otros ámbitos de información, pero creo que, desde el punto de vista tecnológico, se le dio demasiado bombo y platillo a la aplicación Tsunami Democràtic. También Telegram es un canal donde nadie puede saber quién eres tú. A Tsunami Democràtic se le dio mucho pábulo, pero era una aplicación de las muchas que hay. Todas las modificaciones de Android y de iOS se basan en mejorar la seguridad, buscando la intimidad del usuario. Eso va en contra de los instrumentos de investigación y favorece a malhechores, como ocurrió con el tema de Tsunami Democràtic. Ya existen cantidad de herramientas orientadas a la protección de personas que viven en regímenes totalitarios.

“Sabemos que no llegamos a todo, pero hay nuevos actores que también hacen su labor”

¿Cómo pueden trabajar en esta especie de jungla, en la que se ha convertido el mundo de la ciberdelincuencia?

Te pondré un ejemplo. Hace unos días tuvimos una reunión con unos colaboradores de un Banco y nos decían: este fin de semana no habréis parado de trabajar por los fraudes del “técnico de Microsoft”, por el que te convencen para que instales un software que en realidad es un troyano que acaba quedándose con la información de tus tarjetas de crédito. Y, a partir de ahí, te vacían la cuenta. Pues bien, esto que empezó en Estados Unidos y después pasó a Inglaterra, ya se ha extendido a Europa y a Latinoamérica. ¿Por qué sabían ellos lo que había pasado? Pues porque llegaron el lunes a la oficina y se encontraron con 5.000 hechos de riesgo. Llaman luego al cliente y les dice: me llamó un chico muy majo y me arregló el ordenador, que según parece tenía un virus. Esta información del banco es ya una labor policial. Los bancos y las empresas pueden detectar campañas de phishing que nosotros no lo hacemos. Ellos tienen sondas por todos los lados e información a la que nosotros no llegamos.

¿No cunde entre los efectivos de su departamento una sensación de impotencia?

Sabemos que no llegamos a todo, pero hay nuevos actores que también hacen su labor. Si un ciudadano tiene un problema de ciberseguridad, puede también denunciarlo en INCIBE. Luego está el Centro Criptológico Nacional, adscrito al CNI, para casos que afectan a la Administración Pública. Imagínate cinco mil estafados en un fin de semana, con cien juzgados que conocerán el caso, con varios cuerpos de Policía y Guardia Civil actuando… Es casi imposible.

¿Qué recomendación daría al ciudadano para prevenirle de los ciberataques?

Tiene que leer e informarse y, como dice el refrán, saber que en ningún sitio atan a los perros con longanizas. Si tú estás buscando una zapatilla Nike que valen 500 euros y las encuentras por 100, no te creas que has encontrado el chollo de tu vida. Te están engañando.

¿Y qué se puede hacer cuando te das cuenta de ese engaño?

Recoger la información sobre el vendedor. Es probable que alguien ya haya sido estafado o que ese fraude haya sido denunciado y aparezca en las redes sociales de Guardia Civil y Policía. Yo aconsejo siempre utilizar el sentido común, que se ha utilizado toda la vida en el mundo real, para sentirse uno seguro por la calle. Conviene formarse en ciberseguridad y tener muy en cuenta que nadie regala nada.

La verdad es que el panorama no es muy alentador.

El problema de la seguridad en el mundo digital es muy complejo. En China puede haber un tío que está cometiendo un delito y sus víctimas residen en España, Francia o   Alemania. Es tremendo.