Cómo se unen la industria y el sector público para hacer frente a la ciberdelincuencia

Se estima que los fraudes cibernéticos afectaron a más de un cuarto (25,5%) de la población mundial en 2023. El impacto de los lucros que esto genera para los delincuentes va más allá de las víctimas inmediatas. En 2023, las Naciones Unidas informaron de que al menos 220 000 personas habían sido víctimas de la trata en el Sudeste Asiático — algunas procedentes de lugares tan lejanos como África y América Latina — y obligadas a realizar estafas cibernéticas.

Un nuevo informe del Foro Económico Mundial, Disrupting Cybercrime Networks: A Collaboration Framework (Desarticular las Redes de Ciberdelincuencia: Un marco de colaboración), explora cómo aprovechar el éxito de las alianzas existentes para acelerar la desarticulación de las bandas. A continuación, examinamos algunas de sus conclusiones y recomendaciones.

La convergencia de la ciberdelincuencia y el crimen organizado violento ha provocado un cambio cultural entre los cibercriminales: a los nuevos participantes en este mercado no les importa causar daños físicos a escala. En junio de 2024, un ataque de ransomware a un proveedor de análisis de sangre británico obligó al Servicio Nacional de Salud del Reino Unido (NHS) a solicitar urgentemente donaciones de sangre y a reagendar más de 800 operaciones porque no pudo utilizar algunos de sus sistemas esenciales para realizar análisis de sangre de los pacientes.

Las bandas de ciberdelincuentes han aumentado el volumen y el impacto de sus actividades, colaborando y copiando estrategias empresariales para lograr mayor eficiencia. Ahora, es el momento de que los agentes en favor de la ciberseguridad unan sus fuerzas y trabajen juntos para avanzar en la lucha contra la ciberdelincuencia. El Centro de Ciberseguridad del Foro Económico Mundial ha publicado un marco para apoyar colaboraciones operacionales para desbaratar el cibercrimen a escala.

Varias iniciativas de éxito realizadas en 2024 podrían servir de modelo para abordar el problema. En Tailandia y Filipinas, las autoridades rescataron a cientos de personas de trabajos forzados en granjas de ciberdelito, colaborando con el sector privado para recuperar el dinero obtenido por los delincuentes. En África Occidental y América Latina, la cooperación con Interpol ha resultado en detenciones coordinadas. En Europa y Norteamérica, las colaboraciones entre la industria y las fuerzas de seguridad lograron un éxito sin precedentes en la desarticulación de la infraestructura técnica de los ciberdelincuentes, creando nuevos niveles de riesgo para las bandas que proveen 'servicios de ciberdelincuencia', así como para los que los utilizan.

Las ciberbandas han evolucionado y se convirtieron en empresas transnacionales altamente lucrativas, vinculadas por complejas redes de relaciones comerciales y cadenas de suministro. Esto les permite operar a escala, pero crea oportunidades para la disrupción de las actividades y la captura de los ciberdelincuentes, alterando significativamente el cálculo de riesgo-recompensa para los criminales.

La colaboración operacional aumenta la dificultad, los costos y los riesgos asociados a la ejecución de actividades ciberdelictivas. Las alianzas intersectoriales permiten aunar esfuerzos, lo que se traduce en una mejora de las capacidades en un nivel que las organizaciones individuales no podrían alcanzar por sí solas.

Una investigación desarrollada por la Alianza contra la Ciberdelincuencia (Partnership Against Cybercrime) del Foro Económico Mundial destaca tres pilares principales para construir y sostener este tipo de cooperación: incentivos para colaborar, estructura, y gobernanza y recursos.

Para ser exitosa, la cooperación operacional necesita una misión clara, que mantenga a los participantes involucrados y trabajando en pos de objetivos comunes. La evaluación constante y el reconocimiento público son fundamentales para mantener el impulso, mostrando a individuos, organizaciones y partes interesadas cómo sus contribuciones marcan la diferencia. Aprender entre iguales también es un factor clave, proporcionando a los expertos los conocimientos técnicos necesarios para combatir la ciberdelincuencia, generar confianza y fomentar colaboraciones personales a largo plazo entre las partes interesadas.

Además, el estudio muestra que las colaboraciones de éxito incorporan una gobernanza de datos y riesgo estricta, un enfoque preciso en medición del impacto y una flexibilidad considerable sobre cómo interactúan exactamente los expertos. El arte de apoyar las estructuras de gobernanza formales e informales de estas alianzas requiere un liderazgo sensible a la propensión al riesgo de las organizaciones participantes, y a su capacidad para adaptar su forma de trabajar a las necesidades de colaboración. Mientras que algunas partes de la gobernanza serán rígidas, otras necesitarán un espacio flexible en el que la colaboración pueda crecer. Construir una comunidad y una cultura de trabajo compartida requiere tiempo y un desarrollo gradual, de modo que los participantes tengan suficiente confianza entre sí para trabajar con eficacia.

Un buen ejemplo de esta estructura dual es la Cyber Threat Alliance (CTA). Los miembros de la CTA comparten información oportuna y accionable sobre ciberamenazas, lo que les permite mejorar sus productos, proteger mejor a los clientes y desbaratar ciberataques con mayor eficacia. La CTA utiliza una plataforma que permite a los miembros cargar y acceder a datos sobre ciberamenazas en un formato estandarizado. Este sistema organiza la información con base en patrones y técnicas clave utilizados por los atacantes, lo que facilita su comprensión y ayuda a los miembros a actuar en función de ello. El algoritmo puntúa cada dato que se carga, recompensando a los miembros por compartir información valiosa y oportuna. Esta puntuación crea un entorno de competencia sana, motivando aún más a los miembros a mejorar la calidad de la inteligencia que comparten. Con más de 12 millones de puntos de datos intercambiados mensualmente, esta iniciativa de colaboración asegura que los miembros de la CTA disponen de información oportuna y refuerzan colectivamente la ciberseguridad global.

Otro ejemplo de gobernanza dual es la iniciativa Atlas de la Ciberdelincuencia. Lanzado en 2023 y alojado en el Centro de Ciberseguridad del Foro Económico Mundial, el Atlas fomenta la colaboración entre los participantes, que construyen una comprensión compartida de las redes de ciberdelincuencia utilizando inteligencia de fuentes abiertas. Esta información se utiliza después para ayudar a los miembros de la comunidad a crear fricciones en las actividades de los ciberdelincuentes y apoyar la acción de las autoridades.

La información inicial debe provenir de fuentes abiertas y poder compartirse; ésta solo se vuelve sensible cuando a partir de ella se construyen evaluaciones de la actividad delictiva. Dado que la información en sí no es sensible, el Atlas de la Ciberdelincuencia pudo iniciar su investigación basándose en estándares de clasificación de la información ya aceptados, como el Protocolo de Luces del Semáforo. Esto permitió que las actividades contra la ciberdelincuencia se pusieran en marcha rápidamente, junto con el desarrollo de procedimientos operativos estándar por parte de la comunidad de expertos de Atlas. Como resultado, en tan solo un año desde su lanzamiento, el Atlas de la Ciberdelincuencia apoyó dos operaciones transfronterizas en 2024.

Por último, una colaboración operacional eficaz en la lucha contra la ciberdelincuencia requiere un despliegue de recursos bien coordinado. Las fuentes de datos crean un lenguaje común que facilita una comunicación clara entre diferentes organizaciones y sectores, garantizando que los datos procedentes de diversas fuentes se armonizan en formatos comparables. Los protocolos de seguridad de la información salvaguardan la inteligencia compartida frente a accesos no autorizados, infracciones y corrupción de datos.

Al mismo tiempo, el crecimiento exponencial de los datos sobre ciberamenazas ha aumentado significativamente la demanda de infraestructuras de almacenamiento y procesamiento de datos. A medida que se generan y comparten continuamente flujos de datos a través de ecosistemas de colaboración, la infraestructura de apoyo al almacenamiento y procesamiento de datos debe garantizar que se puedan generar conocimientos de forma rápida y eficiente. Los protocolos legales formalizan las relaciones entre entidades, aclarando funciones y responsabilidades, al tiempo que garantizan el cumplimiento de los estándares internacionales de privacidad. Estos marcos apoyan el intercambio de inteligencia accionable sin comprometer la confidencialidad o integridad de los datos sensibles.

La armonización de los requisitos legales atenúa los retos relacionados con cuestiones jurisdiccionales, garantizando que la inteligencia y los recursos se movilicen de forma rápida y segura a través de las fronteras. Por último, los conocimientos humanos y el desarrollo continuo de habilidades son recursos críticos en la lucha contra la ciberdelincuencia. La colaboración fomenta un entorno de intercambio de conocimientos en el que se pueden compartir las mejores prácticas, lecciones y estrategias avanzadas entre toda la comunidad, mejorando las capacidades de defensa colectiva. La naturaleza compleja y global de la ciberdelincuencia exige que todos estos recursos se utilicen conjuntamente para garantizar una respuesta cohesionada.

Cuando estos tres pilares se ponen en marcha simultáneamente, la colaboración puede acelerarse para garantizar la disrupción sistémica de la ciberdelincuencia. Un claro ejemplo de ello es Operation Trust No One (Operación No Confíes En Nadie). Con el apoyo de los servicios de inteligencia del Departamento de Seguridad Nacional de Estados Unidos y de entidades del sector privado, como la bolsa de criptomonedas Binance, la Real Policía Tailandesa (RTP) desmanteló un importante grupo delictivo que había sido responsable de estafas cibernéticas de gran valor contra residentes tailandeses. Haciéndose pasar por personas de confianza, los estafadores utilizaban las plataformas de las redes sociales para engañar a las víctimas a largo plazo antes de persuadirlas para que invirtieran en planes fraudulentos. Gracias a esa colaboración, las autoridades lograron registrar más de 70 lugares, incautándose de vehículos de lujo, documentos de propiedad, dinero en efectivo y otros artículos por valor de miles de millones de baht tailandeses. Los datos compartidos por el sector privado permitieron a la policía rastrear el movimiento de activos digitales vinculados a actividades fraudulentas y facilitaron las detenciones.

Otro ejemplo que pone de relieve cómo la cooperación puede conducir a una disrupción sistémica es el desmantelamiento del proveedor de servicios de ciberdelincuencia LabHost. El origen de esa disrupción fue una colaboración del sector privado — la Cyber Defence Alliance (CDA), financiada por el sector financiero del Reino Unido y que tiene como objetivo generar información para desbaratar las redes de ciberamenazas y mejorar la ciberseguridad. La CDA compartió pistas con las fuerzas de seguridad británicas que, con el apoyo de Europol, compartieron la información con su red de colaboradores de Norteamérica y Europa, recabaron información sobre actividades delictivas y luego la utilizaron para desmantelar los servicios de ciberdelincuencia y efectuar detenciones de manera coordinada.

La operación LabHost tuvo gran repercusión porque utilizó las capacidades de todas las organizaciones afectadas. El conocimiento del sector privado fue recogido, mejorado y compartido a través de la CDA. Las fuerzas de seguridad pudieron utilizar este conocimiento a gran escala gracias a la facilitación de una organización internacional, en este caso, Europol. Tras hacerse públicas las detenciones y el desmantelamiento de la infraestructura técnica, los ciberdelincuentes que utilizaban LabHost recibieron breves vídeos personalizados titulados "LabHost Wrapped". En ellos se ofrecía un resumen de las pruebas reunidas por las fuerzas de seguridad contra cada uno de los delincuentes. Centrarse en la destrucción de la marca genera desconfianza e incertidumbre entre los delincuentes, lo que afecta gravemente a la reputación y al modus operandi del grupo.

Al reforzar la colaboración, las partes interesadas mejoran sus propias defensas y aumentan los costos de entrada en el mercado de la ciberdelincuencia para las ciberbandas. Una colaboración operacional eficaz entre los sectores público y privado eleva el costo personal de la ciberdelincuencia a través de la disrupción de la infraestructura técnica y de la mayor posibilidad de detención. Cuando son eficaces, estas colaboraciones imponen costos reales a los ciberdelincuentes, disminuyendo su capacidad de causar daño.

De cara al futuro, está claro que el éxito depende de que se sigan desarrollando estas colaboraciones, se integren nuevas tecnologías y se fomente una cultura de confianza e intercambio de conocimientos. Las colaboraciones operacionales no son meramente una opción sino algo esencial para mitigar las ciberamenazas crecientes a las que se enfrentan las sociedades de todo el mundo. Los avances logrados hasta ahora son testimonio del poder de la acción colectiva. Con un compromiso sostenido, es posible crear un futuro digital más seguro y resiliente.