Hace apenas dos semanas, la UADE acusó ante la Justicia a un hacker que modificaba calificaciones infiltrándose en los servidores de la universidad. La repercusión del caso es toda una rareza, no por su complejidad ni por la magnitud del daño ocasionado. Si bien los sabotajes, el robo de información, las estafas y los ataques extorsivos por vías tecnológicas están en auge y causan pérdidas millonarias, la mayoría de las empresas prefieren no denunciarlo y hacen lo imposible por ocultarlo. “Un fraude interno es una vulnerabilidad y no todos están felices de admitirlo”, argumentó Martín Elizalde, director de Forensenics, una de las firmas vinculadas al negocio de la seguridad informática.

El anonimato y el secretismo es el contexto en el que prosperan los ilícitos cometidos por computadora, por redes privadas y por Internet. En general, coinciden los expertos, los riesgos internos superan a los ataques desde el exterior. A un empleado infiel le resulta más fácil concretar un desfalco, robar datos sensibles y producir daños en un sistema informático que a un pirata, por más conocimientos que tenga. “Lo vemos todas las semanas”, comenta Diego Taich, director de Forensic de PwC.

Un estudio global de esta consultora, que por primera vez abarcó a la Argentina, reveló que después de la malversación de activos, los delitos informáticos es el segundo fraude más reportado para el informe, sin correlato judicial. “Un 33% del total sufrieron este tipo de ilícitos”, dice Taich, pero añade que “más del 60% de los directivos temen ser las próximas víctimas”. El relevamiento de PwC es uno de tantos que circulan en el ambiente empresario. Se elaboran en base a encuestas bajo estrictas reglas de confidencialidad y anonimato. “No todos los ataques se registran y muchos no se denuncian, por eso es difícil hacer una estadística. Sin embargo, existen indicios que marcan la tendencia”, dice Elizalde.

Más preciso es el dato del aumento de denuncias en la Justicia. El caso de la UADE, por ejemplo, recayó en la Fiscalía Especializada en Delitos Informáticos de la Capital Federal, que está a cargo de Daniela Dupuy. El acusado de hacker es Iván Cámara, un estudiante de 21 años que ya fue suspendido por la UADE y que afronta cargos por “daño informático” y “acceso no autorizado a sistemas”, que contempla penas de hasta 1 año de cárcel. Dupuy cree que aún “se pueden sumar la comisión de otros delitos a medida que avance la investigación”, lo que agravaría su situación.

La fiscalía, creada en noviembre de 2012, ya recibió en lo que va del año un total de 26 denuncias: 22 por hacking y las 4 restantes, por daños informáticos. “En general, la procedencia de los ataques es interna y externa. Y las denuncias abarcan a las amenazas, accesos ilegítimos, hostigamientos y daños informáticos”, enumera Dupuy. La fiscal coincide con la apreciación generalizada de que muchos incidentes no son denunciados y no quiso especular con la cantidad real. “Es la cifra negra. Evidentemente, las empresas tienen vulnerabilidades y no quieren revelarlas frente a sus clientes”, dijo.

En el ambiente admiten cierta lógica en el tema. Un banco, por ejemplo, preferiría mil veces reconocer que su gerente financiero es alcohólico antes que admitir que las bases de datos de clientes y claves fue infiltrada por extraños. “Investigamos varios casos de robo de información, con pliegos de licitación, bases de clientes y contactos”, explica Pablo Rodríguez Romeo, director de CYSI, una empresa que ofrece servicios de peritajes forenses informáticos para presentarlos en los tribunales.

Aunque se presume que son genios y muy hábiles en el manejo de la tecnología, los que perpetran delitos de esta naturaleza son básicamente descuidistas: los describen como ciberpungas. “La metodología no es muy sofisticada. Roban información y pasan dinero de cuentas corporativas a cuentas privadas”, describió Elizalde. “Por lo visto, la mayoría de los delitos se concretan más de adentro que de afuera de las empresas. La motivación directa (de los empleados desleales) es la oportunidad”, completa Taich, de PwC.

Otra de las grandes amenazas de la actualidad es la propagación del ransomware, tal como se denomina en la jerga a las variantes de troyanos que infectan y encriptan el contenido de una computadora para posteriormente pedir un “rescate”. Un relevamiento de ESET, una firma especializada en el análisis y la detección de virus, indica que en la Argentina el 29% de las computadoras resultaron infectadas por algún tipo de código malicioso el año pasado. Eso incluye el ransomware, pero también al phishing, tal como se llaman a los programas diseñados para engañar al usuario con el objetivo de sonsacarle claves bancarias y de acceso a los servidores corporativos “para acceder a documentos confidenciales, entre otras cosas”, subraya Pablo Ramos, jefe de Laboratorio de Investigación de ESET.

Una reciente investigación de Kaspersky Lab aporta un dato curioso: dice que el 45% de las empresas “reconoce la amenaza que representa el ransomware”. Sin embargo, destaca que entre los países más afectados por esta plaga informática está la Argentina. La “infección” llega principalmente por mail o links engañosos para que el usuario los abra. Son las nuevas trampas cazabobos.