En el verano de 1998, cuando comenzó a trabajar en el Grupo de Delitos Informáticos, todavía no se hablaba de ciberdelincuencia. Se hablaba de delitos informáticos. Juan Antonio Rodríguez Álvarez de Sotomayor era muy joven y se subió a ese tren porque le encantaba “cacharrear” en los ordenadores. Lo que no imaginaba entonces es que sería el jefe del Departamento de Delitos Telemáticos de la Guardia Civil – desde 2016 – y que aquellos primeros delitos, estafas y extorsiones a través de Internet eran sólo el inicio de lo que hoy llama “la globalización del cibercrimen”.
¿Por qué se especializó en este tipode delitos?
A finales de los ochenta buscaban unteniente al que le gustara el mundo de la informática. Y a mí me gustaba“cacharrear” con los ordenadores. Pasaba por delante de mí ese tren y me subí,como se podía haber subido otro. Entonces, la unidad se llamaba Grupo de DelitosInformáticos.
Veinte años después, la ciberdelincuenciaha pasado a convertirse en uno de los grandes retos para los cuerpos y fuerzasde seguridad del Estado.
Hemos pasado, efectivamente, de un chavalillo que de cuando en cuando cometía un delito a lo que yo llamo “mercado global del cibercrimen”. Se ha creado un ámbito nuevo delincuencial, con un grado de especialización y madurez muy alto. El cibercrimen es totalmente global.
Aquí no hay fronteras y los malos pueden actuar desde cualquier lugar del planeta…
El phishing que sufrió el año pasado la Empresa Municipal de Transporte de Valencia, que pagó más de cuatro millones de euros a una estructura de cibercrimen, es un ejemplo de ello. A lo mejor los cibercriminales eran el uno de Taiwan, el otro de Nigeria, o rumano, estadounidense, británico, español… Las mafias delincuenciales pueden atacar a la vez al Ayuntamiento de Valencia, al de Roma, al de Baltimore y al de Londres. Todo a la vez.
"En el ámbito de la ciberdelincuencia – y en el de la delincuencia, engeneral – hay tres motivaciones: el dinero, el espionaje y el sexo"
¿Los ciberdelincuentes van pordelante de quienes trabajan en combatirlos?
El problema es que en el ciberespaciono hay territorialidad y, por tanto, no se pueden utilizar los mismosinstrumentos legales para investigar esos delitos. Un señor de Nigeria da de altaun correo con tu nombre y apellidos, suplanta tu identidad y pide unatransferencia de dinero.
¿Y cómo consigue suplantar miidentidad?
No es complicado. Porque has escrito unartículo y has puesto tu correo electrónico y luego aparece en Facebook queeres amigo de otra persona. Imagínate que ese ciberdelincuente se entera de quetu amigo de Facebook está en México y, entonces, te pone un correo diciéndoteque ha perdido sus tarjetas de créditos, que necesita dinero para volver a Españay que te lo reembolsará cuanto regrese. Esto ha pasado y sigue pasando. Lo haceun tío desde cualquier rincón del planeta.
¿Existe un exceso de confianza a lahora de manejar y compartir datos?
Se habla de educar a nuestros hijos,pero ¿cómo los vamos a educar, si a nosotros nadie nos ha educado en el uso delciberespacio de forma segura? No hay normas. A nivel internacional, hay unaguerra entre los países que defendemos los valores fundamentales de la libertadde expresión y la intimidad y aquellos que dan prioridad a la seguridad delEstado sobre esa libertad individual. Existe el Convenio de Budapest sobreciberseguridad, aprobado en el año 2000, pero Rusia, China e Irán han votado enla ONU en contra de esa resolución.
¿Está pidiendo más cooperación internacionalpara conseguir los objetivos?
Por supuesto. Se han desarrollado algunos instrumentos de colaboración internacional, como la Unidad de Cibercrimen, en la Unión Europea, pero no es suficiente. Ahora mismo hay un proyecto de directiva o reglamento para que las pruebas electrónicas se puedan hacer fuera de la jurisdicción del país donde se ha producido el delito.
"No se va a invertir más en ciberseguridad, si no hay delitos denunciados que lo justifiquen"
¿Qué modalidad de estafas y delitos lesestán dando ahora más trabajo?
En el ámbito de la ciberdelincuencia– y en la delincuencia, en general – hay tres motivaciones: el dinero, el espionajey el sexo. En España, los delitos más frecuentes son las ciberestafas, porquemontar una estructura para llevarlas a cabo es lo más fácil del mundo.
¿Podría explicarlo con algún casoconcreto?
El de la Operación Lupin III, que llevamosa cabo en la Guardia Civil. Copiaban una página web, la instalaban en unservidor de Rumanía, con otro servidor de correo electrónico en Australia, ydesde este servidor de correo ponían en marcha una campaña de búsqueda de datosde e-mails en España para hacer ofertas de aire acondicionado. Hacer esto es lomás fácil del mundo. En otros casos compraban perfiles de Wallapop a chavalespor 500 euros o regalándoles un móvil para hacer nuevas campañas.
¿Qué número de ciberdelitos se producenanualmente en España y cómo estamos en comparación con otros países?
En el Reino Unido, por ejemplo, elnúmero de delitos a través de Internet es superior al número de delitos conocidosen la vida real o física. En España, los delitos conocidos en 2018, según datosdel Ministerio del Interior, fueron 117.000. En el último año – 2019 – lasciberestafas crecieron un 36%. Pero el sistema estadístico está montado paralos delitos de jurisdicción, contemplados en el Código Penal. ¿Cuántos casos dephishing tenemos, cuantos ransomware? Es difícil saberlo.
¿Habría que intensificar lainformación y la divulgación en los colegios sobre los riesgos de Internet?
Ya existe el Plan Mayor de Seguridad para colegios, donde se les habla a los alumnos de ciberseguridad. La Guardia Civil dio el año pasado 27.000 charlas, aunque los chavales no nos ven como actores válidos para este tema. Nos ven como perseguidores de los malos, pero no para hablarles de cómo deben utilizar las nuevas tecnologías.
"Conviene formarse en ciberseguridad y tener muy en cuenta que nadie regala nada"
¿Por qué no se denuncia una buenaparte de los delitos que se producen en el mundo digital?
Hay diferentes razones. Una de ellases que a las víctimas les da miedo reconocer que han sido engañadas. Otra razónes: “me han estafado 50 euros y cómo voy a ir a la Policía o a la Guardia Civilpara eso”. Pero, claro, en la Operación Rikati, que llevamos a cabo en 2017desde la UCO, fueron estafados un millón de españoles a través de los móviles.Y, a una media de 30 euros por estafado, son 30 millones de euros los que se llevaron.Una de las características que tiene la globalización es que, generalmente, noestás denunciando por ti. Estás denunciando por el de al lado. Cinco mil estafados,a quince euros, es mucho dinero. Si no hay denuncia, el delito no existe.Además, con la denuncia estás protegiendo a las víctimas del futuro. Y, sobretodo, no se va a invertir más en ciberseguridad si no hay delitos denunciadosque lo justifiquen.
¿Necesitarían más medios paraperseguir a los ciberdelincuentes?
Todo es mejorable, pero intentamosestar al día. En mi departamento tenemos un plan de formación continua. Luego,Europol ofrece un montón de cursos formativos. Nosotros participamos el añopasado en CEPOL (Escuela Europea de Policía), asistiendo a cursos vinculados alcibercrimen.
¿De qué operación se siente másorgulloso?
Históricamente, se han llevado a caboimportantes operaciones. Podría destacar la Operación Rikati, pero todavía estáen fase de instrucción, o la que acabamos de hacer, desarticulando una red depederastia en Tarragona, con la colaboración de los Mossos d’ Escuadra. Una delas más famosas fue la Operación Mariposa. Sin embargo, de lo que más nossentimos orgullosos es de la persecución de la pornografía infantil, a travésde diferentes redes sociales, desde los años 2000.
¿Qué valoración hace sobre la polémicaque generó la aplicación Tsunami Democràtic?
Dependía de otros ámbitos de información, pero creo que, desde el punto de vista tecnológico, se le dio demasiado bombo y platillo a la aplicación Tsunami Democràtic. También Telegram es un canal donde nadie puede saber quién eres tú. A Tsunami Democràtic se le dio mucho pábulo, pero era una aplicación de las muchas que hay. Todas las modificaciones de Android y de iOS se basan en mejorar la seguridad, buscando la intimidad del usuario. Eso va en contra de los instrumentos de investigación y favorece a malhechores, como ocurrió con el tema de Tsunami Democràtic. Ya existen cantidad de herramientas orientadas a la protección de personas que viven en regímenes totalitarios.
"Sabemos que no llegamos a todo, pero hay nuevos actores que también hacen su labor"
¿Cómo pueden trabajar en esta especiede jungla, en la que se ha convertido el mundo de la ciberdelincuencia?
Te pondré un ejemplo. Hace unos díastuvimos una reunión con unos colaboradores de un Banco y nos decían: este finde semana no habréis parado de trabajar por los fraudes del “técnico deMicrosoft”, por el que te convencen para que instales un software que enrealidad es un troyano que acaba quedándose con la información de tus tarjetasde crédito. Y, a partir de ahí, te vacían la cuenta. Pues bien, esto que empezóen Estados Unidos y después pasó a Inglaterra, ya se ha extendido a Europa y aLatinoamérica. ¿Por qué sabían ellos lo que había pasado? Pues porque llegaronel lunes a la oficina y se encontraron con 5.000 hechos de riesgo. Llaman luegoal cliente y les dice: me llamó un chico muy majo y me arregló el ordenador,que según parece tenía un virus. Esta información del banco es ya una laborpolicial. Los bancos y las empresas pueden detectar campañas de phishing quenosotros no lo hacemos. Ellos tienen sondas por todos los lados e información ala que nosotros no llegamos.
¿No cunde entre los efectivos de sudepartamento una sensación de impotencia?
Sabemos que no llegamos a todo, pero hay nuevos actores que también hacen su labor. Si un ciudadano tiene un problema de ciberseguridad, puede también denunciarlo en INCIBE. Luego está el Centro Criptológico Nacional, adscrito al CNI, para casos que afectan a la Administración Pública. Imagínate cinco mil estafados en un fin de semana, con cien juzgados que conocerán el caso, con varios cuerpos de Policía y Guardia Civil actuando… Es casi imposible.
¿Qué recomendación daría al ciudadanopara prevenirle de los ciberataques?
Tiene que leer e informarse y, comodice el refrán, saber que en ningún sitio atan a los perros con longanizas. Sitú estás buscando una zapatilla Nike que valen 500 euros y las encuentras por100, no te creas que has encontrado el chollo de tu vida. Te están engañando.
¿Y qué se puede hacer cuando te dascuenta de ese engaño?
Recoger la información sobre elvendedor. Es probable que alguien ya haya sido estafado o que ese fraude hayasido denunciado y aparezca en las redes sociales de Guardia Civil y Policía. Yoaconsejo siempre utilizar el sentido común, que se ha utilizado toda la vida enel mundo real, para sentirse uno seguro por la calle. Conviene formarse enciberseguridad y tener muy en cuenta que nadie regala nada.
La verdad es que el panorama no esmuy alentador.
El problema de la seguridad en elmundo digital es muy complejo. En China puede haber un tío que está cometiendoun delito y sus víctimas residen en España, Francia o Alemania. Es tremendo.