Informe global sobre ciberdelincuencia: ¿Qué países corren mayor riesgo?

¿Cómo varía la amenaza de la ciberdelincuencia en todo el mundo?

Hay innumerables formas en que la ciberdelincuencia varía de un país a otro, pero también hay ciertos factores que pueden observarse a escala internacional, como los casos de phishing y las filtraciones de datos. Aquí analizamos cómo se puede clasificar a cada país por sus niveles de ciberseguridad y, en última instancia, consolidamos los datos de diversas autoridades de seguridad para concluir cómo le va a cada país en sus intentos por mantenerse seguro en el mundo digital.

En efecto, la frontera digital de la que disfrutamos hoy abre un mundo de riesgos y oportunidades. Con todos los habitantes del planeta a un solo clic de distancia, nunca ha sido tan fácil para los estafadores y otros delincuentes encontrar víctimas desprevenidas.

Esto ha dado lugar a un nuevo y floreciente sector para los delincuentes, que pueden acosar a usuarios inocentes de internet desde la comodidad y seguridad de sus propios hogares.

De hecho, el trabajo a distancia y el aislamiento observados durante la pandemia de COVID de 2020 han reforzado el panorama de los ciberataques, que han desempeñado un papel importante en el empeoramiento de la seguridad del software en línea y de los sistemas financieros, todo lo cual ha conducido a una nueva década de mayor incertidumbre económica.

La amenaza no se limita a los particulares, ya que los gobiernos y las empresas multinacionales también están en la mira de los ciberdelincuentes.

El Centro de Estudios Estratégicos e Internacionales (CSIS) hace un seguimiento de estos ciberataques a organismos gubernamentales, agencias de defensa y empresas de alta tecnología, así como de los delitos económicos que suponen una pérdida de al menos un millón de dólares. 

El CSIS informó de que en enero de 2023 se emitió una advertencia conjunta de tres autoridades estadounidenses de ciberseguridad -la CISA, la NSA (Agencia de Seguridad Nacional) y el MS-ISAC (Centro Multiestatal de Análisis e Intercambio de Información)- sobre el aumento del phishing y otros ataques contra ramas civiles del Gobierno estadounidense.

Para contrarrestar estas crecientes amenazas cibernéticas, los países han desarrollado sólidos programas de ciberseguridad y promulgado leyes destinadas a frenar la ciberdelincuencia y protegerse de los peligros digitales.

Además, el sector privado ha estado a la vanguardia del desarrollo de soluciones innovadoras de ciberseguridad, desde programas antivirus hasta software de prevención del fraude.

Por ejemplo, las empresas pueden reducir enormemente el riesgo utilizando productos antifraude como el enriquecimiento de datos y la huella digital del navegador para bloquear inicios de sesión sospechosos, impedir el robo de cuentas y detectar si alguien utiliza varias cuentas.

Aunque la combinación de los esfuerzos de los sectores público y privado para domar la era digital ha dificultado las cosas a los estafadores en línea en algunos aspectos, la ciberdelincuencia sigue siendo una amenaza persistente para los usuarios de internet.

Pero, ¿cuáles son las formas más comunes de ciberdelincuencia? ¿Y está esta amenaza repartida por igual por todo el mundo?

La ciberamenaza en el mundo

Para averiguar si los peligros de la ciberdelincuencia están repartidos por igual por todo el planeta, hemos echado un vistazo a 93 países para ver qué localizaciones tienen picos de fraude, cuáles tienen mínimos y por qué.

Combinando datos de tres importantes autoridades de ciberseguridad, a saber, el Índice Nacional de Ciberseguridad (NCSI) (actualizado en tiempo real), el Índice Global de Ciberseguridad (GCI) (2020) y el Índice de Exposición a la Ciberseguridad (CEI) (2020), hemos creado una clasificación global para presentar los diez países que son, respectivamente, los menos y los más arriesgados para los usuarios de internet.

Los resultados se han determinado hallando las puntuaciones de ciberseguridad, que debían expresarse en porcentajes, del NCSI, el GCI y el CEI, y asignando cada una de esas puntuaciones a los 93 países sobre los que hemos informado. A continuación, calculamos la media de esas dos puntuaciones para cada uno de dichos países. Esta media de las puntuaciones totales del NCSI y del GCI es lo que aquí denominamos Puntuación de Ciberseguridad.

Veamos ahora cuáles son los diez países de más bajo riesgo y los diez de más alto riesgo según este sistema de puntuación.

Los 10 países con menor riesgo de ciberamenazas

Estos son los países en los que la ciberseguridad es más sólida, y las personas están más protegidas de la ciberdelincuencia gracias a la legislación y la tecnología. 

Los tres primeros son Bélgica, Finlandia y España, que tienen una puntuación de ciberseguridad de 90,69, 90,16 y 88,61 respectivamente.

Las puntuaciones de ciberseguridad se calculan sumando las puntuaciones más recientes del NCSI, el GCI y el CEI y calculando después la media de esos tres datos.

Puedes obtener más información sobre cómo se asignaron estas puntuaciones consultando la sección Metodología más abajo.

Los 10 países con mayor riesgo de ciberamenazas

En el otro extremo de la escala se encuentran los países que ofrecen menos protección contra la ciberdelincuencia. Estos países tienen una legislación muy débil en materia de ciberdelincuencia -o incluso ninguna- y, por lo tanto, son los que más riesgo corren a la hora de procesar transacciones sensibles. Aquí hemos enumerado los diez países con la puntuación global más baja en ciberseguridad.

Los tres primeros países con una puntuación baja en ciberseguridad son Afganistán, Birmania y Namibia, con una puntuación de 5,63, 18,60 y 19,72 respectivamente.

Las formas más comunes de ciberdelincuencia

Aquí podemos ver los ciberdelitos más denunciados de 2022, y yendo hacia atrás hasta 2018. Estas cifras proceden del Centro de Denuncias de Delitos en Internet (IC3) de Estados Unidos, gestionado por el FBI, por lo que se limitan solo a los ciberdelitos cometidos en Estados Unidos y reflejan solo aquellos delitos que fueron realmente denunciados, probablemente una minoría de casos.

Sin embargo, permiten conocer las tendencias actuales seguidas por los ciberdelincuentes, mostrando las formas en que internet se utiliza más comúnmente para actividades ilegales.

Phishing y pharming – Recuento de víctimas en EE.UU en 2022: 300.497

Los datos centrados en 2022 revelan que el tipo de ciberdelincuencia más común en EE.UU es el phishing y el pharming. El phishing y el pharming se refieren a la práctica fraudulenta de engañar a las personas para que revelen información personal, como contraseñas, datos de acceso y números de tarjetas de crédito. 

Cuando se lleva a cabo por correo electrónico, esta práctica se denomina phishing, y se llama pharming cuando se dirige a la víctima a un sitio web falso disfrazado de legítimo.

Filtración de datos personales – Recuento de víctimas en EE.UU en 2022: 58.859

Los datos centrados en 2022 revelaron que el segundo tipo más común de ciberdelincuencia en EE.UU son las filtraciones de datos personales. Por lo general, las filtraciones de datos en línea se producen cuando un ataque de piratería informática accede con éxito a una base de datos de información confidencial, con mayor frecuencia datos personales, información de pago o credenciales de inicio de sesión. Las filtraciones de datos pueden dar lugar a que la información personal de las víctimas se venda en mercados digitales y, dependiendo de la naturaleza de los datos filtrados, pueden dar lugar a ciberdelitos comunes pero potencialmente devastadores, como el fraude de identidad sintética, el robo de cuentas y otras formas de fraude en los pagos.

Falta de pago/falta de entrega – Recuento de víctimas en EE.UU en 2022: 51.679

El segundo tipo de ciberdelito más común fue la falta de pago y la falta de entrega, que se denunció 51.679 veces en 2022. Aunque se encuentran en dos extremos de la relación cliente-comerciante, no están necesariamente vinculados. La falta de pago se refiere a un comprador que no paga por los bienes o servicios recibidos, a menudo un dolor de cabeza en el espacio del comercio electrónico, en particular para los mercados con políticas de no devolución.

Este tipo de fraude -a menudo denominado fraude de primera parte- va en aumento y es muy difícil de detectar. Por su parte, la falta de entrega se refiere a la no entrega de bienes o servicios por los que se ha pagado. En el ámbito de la ciberdelincuencia, la falta de entrega se asocia a menudo con escaparates fraudulentos creados en mercados en línea, phishing, anuncios clasificados publicados por estafadores y otras estafas de persona a persona, como el fraude de divisas.

La ciberdelincuencia afecta a las empresas estadounidenses

Las amenazas en línea se han convertido en un grave problema para las empresas estadounidenses. Actividades como el uso de ransomware para extorsionar a las organizaciones o la filtración de información personal de clientes y empleados son ahora amenazas mayores que nunca.

Según el informe «The financial cost of fraud report 2021», elaborado por Crowe LLP y la Universidad de Portsmouth, el fraude cuesta a empresas y particulares un total de £137.000 millones (aproximadamente el equivalente a 189.000 millones de dólares) cada año.

Ya se trate de fraudes en el comercio electrónico o con tarjetas de crédito, estos delincuentes disponen ahora de una plétora de herramientas para engañarte y hacerte entregar tu dinero. Esto pone en peligro tanto a los consumidores como a las empresas que realizan transacciones en línea, ya que los estafadores consideran ambos objetivos legítimos.

Según un estudio de Juniper publicado a mediados de 2022, el sector del comercio electrónico sufrió pérdidas por el valor de 41.400 millones de dólares debido al fraude en 2022. Y, a pesar de ello, solo el 34% de las empresas invierte en medidas de prevención y mitigación del fraude.

Esto sugiere que muchas empresas se beneficiarían de invertir en nuevos sistemas y tecnologías antifraude que les permitieran escalar para adaptarse mejor al mercado global en expansión, sin asumir la carga de las pérdidas por fraude y ciberdelincuencia.

Mientras que el fraude se ha convertido en una gran pesadilla para las empresas de comercio electrónico y sus clientes, las filtraciones de datos también pueden suponer una amenaza para sus empleados, clientes y consumidores. Las fugas de datos, es decir, la difusión de información confidencial como resultado de una filtración de datos, se han convertido en un grave problema en Estados Unidos, donde se producen miles de filtraciones de datos cada año.

Para profundizar en los riesgos, echa un vistazo al siguiente gráfico, basado en datos de Statista para 2023 y que cubre los casos de filtración de datos, las personas afectadas y los registros expuestos en Estados Unidos.

Aquí podemos ver que los riesgos de unas prácticas de ciberseguridad comprometidas son polifacéticos: lejos de ocurrir que los datos comprometidos, las personas afectadas y el número de registros expuestos solo aumenten con el tiempo, las líneas del gráfico fluctúan considerablemente a lo largo de esas tres métricas. 

Estas marcadas fluctuaciones pueden atribuirse en gran medida a las importantes filtraciones de datos que se han producido en los últimos años. El comentario sobre los datos de Statista, publicado en abril de 2023, subraya que los aumentos dramáticos de tales compromisos son en gran parte específicos de la industria. A partir de 2022, los enormes sectores de la sanidad, los servicios financieros y la industria manufacturera habrán sufrido las mayores filtraciones de datos.

Sin embargo, una cosa que es consistente es la tendencia general al alza que implica el número total de datos comprometidos. Se ha pasado de 785 millones en 2015 a 1.802 millones en 2022.

El gráfico también refleja el hecho de que la ciberdelincuencia no es solo un peligro para las grandes industrias y organizaciones con información altamente sensible, sino que también representa un riesgo significativo para las personas. Entre 2021 y 2022, de hecho, el número de individuos impactados aumentó de 298,08 millones a 422,14 millones. Las grandes incidencias parecen ser el mayor factor de estos individuos impactados. Por ejemplo, en marzo de 2018 se produjo la tercera mayor filtración de datos, cuando se expuso la base de datos de identificación nacional de la India, Aadhaar, lo que llevó a la exposición de 1.100 millones de registros.

Índice Global de Ciberseguridad completo

Este es nuestro Índice de Ciberseguridad completo, con datos de 93 países. Los países se clasifican de bajo a alto riesgo, según su puntuación global de ciberseguridad.

Esta puntuación se ha formulado combinando los resultados de cada país en una serie de índices relacionados con la ciberseguridad, el fraude digital y la ciberdelincuencia, así como la amplitud de la legislación y las estrategias gubernamentales en materia de ciberseguridad en cada lugar.

La puntuación global de la ciberseguridad se basa en la media a la que llegamos al calcular los resultados del NCSI, el GCI y el CEI para los 93 países observados. En el caso de cada punto de datos, la puntuación se ha presentado como porcentaje en aras de este informe (consulta la sección Comentarios para más información sobre la metodología empleada).

Comentarios

Este informe sobre ciberseguridad mundial se actualizó en el primer trimestre de 2023. En él se analizan los datos sobre ciberseguridad disponibles desde principios de 2020.

Las limitaciones del informe se deben a que utiliza un marco temporal amplio: Mientras que los datos del NCSI se actualizan en tiempo real, la otra autoridad en materia de ciberseguridad de la que se obtienen datos, el GCI, se publicó en 2020, y está previsto publicar un nuevo informe sobre el Índice de Ciberseguridad Global a finales de 2023 o principios de 2024.

Nuestra puntuación de ciberseguridad refleja un cálculo de la media de las puntuaciones obtenidas. Aunque hay algunas métricas que se cruzan entre los sistemas de puntuación, creemos que la puntuación que hemos calculado da una idea robusta del entorno general de ciberseguridad del país, basándonos en factores tenidos en cuenta por las respectivas fuentes de datos, como el nivel de compromiso con la ciberseguridad, la exhaustividad de cualquier marco legal existente y la tasa de implementación de medidas técnicas de seguridad.

En particular, para calcular esta puntuación media basada en la ciberseguridad, convertimos algunos datos para que todas nuestras fuentes de datos pudieran computarse de forma higiénica. A diferencia del NCSI y el GSI, que utilizan una puntuación basada en porcentajes (0 es el peor y 100 el mejor), el CEI (Índice de Exposición a la Ciberseguridad) 2020 utiliza una puntuación de 0 a 1.

En esta escala de puntuación de 0 a 1, 0 significa la menor exposición a ciberataques (es decir, la mejor puntuación posible), 1 es la mayor exposición a ciberataques (es decir, la peor puntuación posible), y 0,500 es un resultado completamente neutro. En consecuencia, cada una de las puntuaciones del CEI de 0 a 1 se convirtió en el porcentaje correspondiente. Esto significa, por ejemplo, que 0,300 se traduce en un 70,00%. La puntuación del Índice de Exposición a la Ciberseguridad de cada país se sometió a este proceso para que el cálculo de la media siempre estuviera compuesto por puntuaciones porcentuales en todos los datos internacionales del NCSI, el GCI y el CEI.

En última instancia, este informe, publicado en el primer trimestre de 2023, ha tomado datos fidedignos y recientes, todos los cuales pueden actualizarse en los próximos años de manera que, en última instancia, muestren las tendencias en las puntuaciones de ciberseguridad en todo el panorama de la ciberseguridad, en constante cambio.