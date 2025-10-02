María Isabel Montserrat Sánchez-Escribano (Palma de Mallorca, 1988) es profesora de Derecho Penal en la Universidad de las Islas Baleares y Secretaría Académica del Instituto de Inteligencia Artificial de esa comunidad autónoma. Montserrat fue una de las ponentes del Congreso Internacional de Ciberseguridad: Empresas, Investigación y Sociedad, que finaliza hoy en Madrid, y en que colabora la Universidad de Oviedo y la Alfonso X El Sabio. En esta entrevista con LA NUEVA ESPAÑA habla de los riesgos del ciberataque y da consejos para poder evitarlos.

Dice que hay una guerra global del ciber crimen con una antes y un después, ¿dónde está?

Lo que demuestran tanto la realidad como los últimos informes es que la guerra de Ucrania ha puesto de manifiesto que la guerra no es solo física. No solo son ataques cinéticos, sino que el ciberespacio es un campo de batalla importante. Actualmente una de las guerras se está luchando en este ámbito. No solo a nivel de ciberataques dirigidos a instituciones gubernamentales o infraestructuras críticas que afectan al funcionamiento de instituciones estatales o empresas importantes para el movimiento del país.

¿Rusia es la reina del cibercrimen?

No es que Rusia sea la única. Hay diferentes focos repartidos a lo largo del globo en los que hay actores estatales que dependen de Rusia. Hay otros como Corea del Norte, que quiere conseguir muchos datos. También hay agentes que actúan en el ámbito del conflicto de Palestina, como Irán, con grupos que intentan atacar a Israel. Hay diferentes focos repartidos en los que las superpotencias se ven identificadas con los conflictos geopolíticos que estamos viviendo.

España es un país que sufre muchos ciberataques

Es un país muy ciberatacado. A lo mejor no es el más ciberatacado porque ahí estarían Estados Unidos o China. Pero es un país muy ciberatacado porque apoya a Ucrania y Rusia ya puso de manifiesto que iba a ciberatacar a España y así se ha hecho. También es pro-Palestino. A nivel de hackers y ataques gubernamentales está siendo víctima, por supuesto.

¿Están aumentado las contrataciones de expertos para apostar por ciberataques?

Una de las modas actuales en el ámbito del ciberespacio, sobre todo del cibercrimen, es poder contratar. Te conectas a la deep web (un lugar de internet que no es accesible mediante una búsqueda normal) y hay plataformas que venden paquetes cibercriminales para poder atacar. Hay personas que no tienen conocimientos técnicos para desarrollar un virus o un malware, pero pueden conectarse a estas plataformas y contratar a alguien que sí los tiene. Es como asesinos a sueldo, pero ciberdelincuentes a sueldo. Es una tendencia en auge en el cibercrimen profesional.

¿Las empresas pequeñas son las más vulnerables?

A día de hoy, las empresas más ciberatacadas son las grandes, pero tienen medios para defenderse. Tienen áreas de ciberseguridad, expertos, auditorías…. Las pequeñas empresas están indefensas porque la digitalización ya les cuesta y requiere inversión. Las pymes están vulnerables frente a muchas modalidades de cibercrimen.

¿Qué pueden hacer los ciudadanos cuando reciben un ataque particular?

El ataque por excelencia es el phishing. Los ciberdelincuentes te envían un mensaje con un enlace y te piden tus datos o un pago. Lo importante es saber que cuando nos meten prisa para hacer algo no es bueno. Los cibercriminales meten prisa en este tipo de estafas para crear ansiedad a la víctima. Es muy común recibir un mensaje en el que, supuestamente, te escribe un portal de reservas hoteleras y te dice: "Para garantizar tu reserva, haz una transferencia en 24 horas". Cuando nos meten prisa, cuidado.

La exposición es total.

Hay que tener clara otra cosa: es importante acudir a la fuente oficial. Si recibo un mensaje de un banco, o de un portal de internet, es mejor acudir directamente a la página web oficial, antes que hacer caso a ese mensaje. El problema es que cada vez hay más estafas que intentan suplir identidades. Está la del "hijo en apuros". Te envían un mensaje de "mamá, me he quedado sin móvil y necesito dinero o lo que sea". Dan donde duele y haces la transferencia. Aunque parezca real, siempre hay que cerciorarse. Si es mi hijo, le llamo a su móvil.

¿Puede haber un ciberataque o una intromisión en nuestros dispositivos sin necesidad de pinchar en ningún enlace?

Sí. Te pueden enviar un malware o virus que se mete en el móvil y envía datos. No tienes por qué ser tú quien haya dado los datos. Pueden haber accedido a la empresa que tiene tus credenciales. No te los han cogido a ti directamente, sino de otro sitio donde estaban almacenados.

¿Qué más ciberataques hay?

El phishing es el ataque por excelencia porque se dirige tanto a empresas como a ciudadanos. Con algoritmos se envían ataques masivos y automatizados. A nivel de empresa, además del phishing, también el ransomware.

¿Eso qué es?

Es un secuestro de datos. Te encriptan los datos o bloquean el acceso y piden un rescate por ellos. Si no pagas, utilizan técnicas de doble extorsión y publican los datos en la deep web. Algunas empresas pagan, otras no porque tienen buenas copias de seguridad.

¿Nos vamos a arrepentir de haber cedido tantos datos de forma voluntaria?

Es una cuestión social. La tecnología avanza tan rápido que no tenemos tiempo de adoptar normas sociales. Vamos aceptando cosas y dando nuestros datos. Esos datos se pueden utilizar. Se tendrá que crear una especie norma social que regule moralmente estas cesiones. Hay gente que se arrepiente porque le han hecho un deepfake (una manipulación a través de la inteligencia artificial), por ejemplo, pero la conducta incorrecta es de quien utiliza esos datos mal.

¿El marco legal está preparado?

Está preparado para muchas cosas. El cibercrimen tiene un convenio internacional desde 2001. En el Código Penal las últimas reformas son de 2010 y 2015 y muchas conductas están cubiertas. La cuestión es lo que plantea la inteligencia artificial, porque deja muy vulnerable a la persona. Los deepfakes sexuales requieren respuestas severas desde el derecho penal. Otras conductas como el phishing son estafas. El problema no es castigarlas, que podemos, sino encontrarlos, porque muchos están en paraísos informáticos.