Europol ha publicat el seu informe sobre la valoració de l’amenaça que suposen les activitats de la delinqüència organitzada a Internet (The Internet Organised Crime Threat Assessment – IOCTA 2015, en la versió anglesa).
La primera constatació de l’informe és que la delinqüència cibernètica (cybercrime) continua sent una indústria en creixement. El model del “delicte com a servei” (producció i venda de productes cibernètics que faciliten la comissió de delictes) capacita delinqüents amb poca formació tècnica per dur a terme atacs d’una envergadura desproporcionada en relació amb les seves habilitats personals. Amb un risc baix poden assolir grans beneficis. Aquesta facilitat d’accés a eines d’atac cibernètic ha provocat canvis en el perfil dels delinqüents, que provoquen cada cop més danys amb els seus actes.
La millora de la legislació per tal de permetre la persecució adequada d’aquest tipus de delinqüència continua sent una necessitat. Però es constata que resulta molt eficient l’impuls de crear xarxes de col·laboració per motivar la participació del sector privat en la prevenció i el combat d’aquests delictes.
L’ús de malware (programari maliciós) és l’amenaça més important per als ciutadans. Els atacs amb ransomware (programes que infecten els dispositius), que bloquegen tota o una part de la informació continguda en un ordinador, tauleta o telèfon mòbil, sovint incorporant-hi encriptació, per tal d’extorsionar el propietari, han estat identificats com una amenaça molt rellevant, com també ho han estat els cavalls de Troia o troians utilitzats en l’àmbit bancari i els instruments d’accés remot. Els troians que s’han utilitzat fins ara (Zeus, Citadel o Spyeye) estan sent substituïts per una nova generació (Dyre o Dridex).
La gran quantitat de casos d’accés indegut, sostracció i, de vegades, publicació de dades sensibles per a empreses i institucions confirmen que les bases de dades continuen sent un objecte molt atractiu per als cibercriminals. Freqüentment utilitzen la informació obtinguda per cometre fraus o extorsionar.
La coneguda com a “enginyeria social”, consistent a trobar les vulnerabilitats humanes fora del sistema informàtic per suplantar o enganyar els directius i comandaments d’empreses (sovint financeres) en les xarxes en línia, amb l’objectiu d’aconseguir ingressos de fons que després són desviats, s’està consolidant com un mètode molt comú i efectiu en aquest àmbit. No requereix gaire coneixements tècnics i significa pèrdues econòmiques importants per a les empreses afectades.
Malgrat la constant innovació tecnològica, els ciberatacs continuen tenint com a mitjà d’actuació els instruments i les aplicacions ja conegudes (malware i enginyeria social), que s’acostumen a reelaborar i reconfigurar per crear noves amenaces.
L’element principal que facilita la ciberdelinqüència continua sent la manca d’higiene digital i de consciència dels riscos de la xarxa. Només així s’explica la llarga vida dels diversos kits criminals existents al mercat, que continuen, malgrat ser coneguts, produint grans beneficis als criminals que els utilitzen.
_____
Esta entrada en español / This post in English / Post en français