¿Cuánto gana un cibercriminal? 26.000 euros al año a base de cazar pardillos

Según el último informe del Foro Económico Mundial, la ciberdelincuencia costará a la economía mundial 445.000 millones de dólares (403.000 millones de euros) este año. Para hacernos una idea, esta cifra es mayor que el PIB anual de países como Argentina (404.000 millones) o Bélgica (400.000 millones) en 2014.

Traficar con datos confidenciales en la 'internet oscura' es una de las actividades favoritas de los cibercriminales. Expertos en seguridad informática de la firma Bitglass han analizado el recorrido de los datos personales en la 'dark web' después de filtrar unas referencias ficticias simulando un ataque de 'phishing'. En un solo mes, ya tenían 1.400 visitas a las credenciales y a la web del banco que habían diseñado a tal efecto.

Ahora bien, ¿a cuánto ascienden los beneficios de un cibercriminal cualquiera que perpetra un ataque con el propósito de revender datos personales o con otros lucrativos e ilícitos fines? El Instituto Ponemon se ha propuesto averiguarlo.

Aunque los grandes robos de datos se llevan los titulares, el atacante común se fija unos objetivos más modestos

Tras recibir las respuestas de varios centenares de encuestados que afirmaban tener experiencia penetrando en sistemas informáticos, ya fuera como 'hackers' éticos o como atacantes, y de los que un 79 % aseguraba estar ligado y un 21 % muy ligado "a la comunidad de amenazas", han determinado que un ciberdelincuente gana unos 28.744 dólares de media (26.000 euros) al año. Ahora bien, ¿cómo se embolsa esa cantidad más modesta de lo que seguramente pensabas?

Ataques sin complicaciones

El 69 % de los participantes en el estudio de este centro de investigación estadounidense defendían que a los ciberdelincuentes les mueve el dinero y no la reputación o las cuestiones geopolíticas. Eso sí, hay que tener en cuenta que los encuestados, a los que se ha garantizado el anonimato, solo residen en Estados Unidos, Alemania y Reino Unido, lo que deja fuera del informe a los famosos cibercriminales chinos y rusos.

Si pensabas ingenuamente que los atacantes se decantan por las grandes empresas para cometer sus fechorías, los expertos desmontan esa idea. Aunque los grandes robos de datos sean los que llenan los titulares, como los perpetrados a Sony, cuyos responsables siguen en activo según se acaba de conocer, o a Ashley Madison, el atacante común se fija unos objetivos más modestos.

El 72 % de los encuestados afirmó que no invertiría demasiado tiempo en ejecutar un ataque con el que no vaya a conseguir rápidamente información de alto valor y el 69 % renunciaría a diseñarlo si se percata de que la compañía ha creado una sólida muralla para intentar repelerle.

"El estudio demuestra que los atacantes son oportunistas. No perderán tiempo si la compañía tiene una estrategia para prevenir y detectar los ciberataques", explica a Teknautas Susan Jayson, directora ejecutiva y cofundadora del Instituto Ponemon.

Un ciberatacante corriente se lleva limpios unos 26.000 euros anuales, solo una cuarta parte del salario de un experto en ciberseguridad

Los participantes en el estudio también creen que se darían por vencidos si se percataran de que un ataque les está llevando mucho más tiempo del que habían previsto. Cuando la cosa se complica, comienzan a rendirse. El 60 % dejaría de intentarlo si le va a llevar 40 horas más de lo que esperaba y el resto abandonaría antes.

"Las compañías más pequeñas deben claramente estar en guardia porque los 'hackers' se dirigirán a aquellas empresas que no tengan una buena posición de seguridad. A menudo, las pequeñas empresas creen que por su tamaño no serán el blanco, y es el caso contrario", advierte Jayson.

De hecho, si la empresa cuenta con barreras de seguridad "típicas", el atacante tardará menos de tres días completos (unas 70 horas) en conseguir su objetivo, mientras que puede tardar más del doble (más de seis jornadas, 147 horas) en vencer a un sistema "excelente". Así que retrasar su labor contribuirá a reducir sus beneficios e incluso a quitarle las ganas de meter las narices donde no le llaman.

Escasas ganancias, pero en poco tiempo

Teniendo en cuenta el valor medio de cada ataque según las encuestas (14. 711 dólares, 13.339 euros), la media de ciberataques anuales (8,26) y factores como que solo el 42 % de las acciones acaban con éxito, que incluso de las exitosas no se llevan nada a la hucha en el 59 % de los casos o que un ciberatacante se gasta una media anual de 1.367 dólares (1.238 euros) en su kit de herramientas para delinquir, el Instituto Ponemon se ha puesto a echar cuentas y ha sacado algunas conclusiones interesantes.

Por ejemplo, han determinado que un ciberatacante corriente se lleva limpios a su bolsillo unos 26.000 euros anuales. Una cifra que, a juicio de los investigadores de este centro, demuestra que un malhechor común en realidad no gana tanto: solo una cuarta parte del salario de un experto en ciberseguridad experimentado.

Eso sí, esta rotunda afirmación varía mucho dependiendo del país y del puesto. Una reciente encuesta de la multinacional de recruiting Harvey Nash señalaba que mientras el responsable de seguridad informática de una empresa londinense gana unas 100.000 libras anuales (126.000 euros), un CISO (Chief Information Security Officer) en Estados Unidos puede percibir unos 225.000 dólares (204.000 euros). En España, la directora ejecutiva de Michael Page Tecnología explicaba recientemente que el sueldo de un CISO oscila entre los 80.000 y los 120.000 euros anuales.

De todos modos, un ciberatacante trabaja mucho menos que esos profesionales para ganarse el jornal. Según el Instituto Ponemon, un analista de seguridad con experiencia trabaja unas 1.918 horas al año -bastantes más que las 1.689 anuales de los trabajadores españoles según la OCDE-, mientras que un ciberdelincuente tan solo necesita pasar 705 horas anuales delante de su ordenador. ¿La conclusión? El experto en ciberseguridad cobra un 38,8 % más cara la hora que un cibercriminal del montón, aunque también acaba dedicando mucho más tiempo a su trabajo.

Cada vez hay más vulnerabilidades de las que sacar partido y 'malware' disponible en la Red. Cometer ataques informáticos es cada vez más sencillo

Pese a que los beneficios de un ciberdelincuente no sean escandalosos respecto a los responsables de seguridad informática de las empresas )a los que obviamente les cuesta su trabajo conseguir el puesto), tampoco se puede afirmar que viva nada mal cobrando 40 dólares (36 euros) por cada hora que dedica a sus ilegales quehaceres.

Además, el 53 % de los participantes en el estudio señalaban que se tarda cada vez menos en realizar el trabajo en la sombra, el 67 % afirmaba que hay un mayor número de vulnerabilidades de las que sacar partido y la mayoría aseguraba que hay más malware disponible en la Red a bajo coste. Todo ello indica que cometer sus fechorías les resulta, desgraciadamente, cada vez más sencillo y más rentable.

Por eso los autores de este estudio defienden que cuanto más tiempo logre resistir la embestida una compañía, mejor podrá salvaguardar sus secretos. Cada minuto es oro, sobre todo si hay malhechores dispuestos a robar datos confidenciales sin siquiera pretender hacerse ricos: a muchos solo les interesa hacerlo de manera fácil y rápida.