En el dinámico mundo del cibercrimen, donde las amenazas evolucionan constantemente, contar con expertos cualificados y dedicados es esencial para la seguridad nacional e internacional. Alberto Redondo Sánchez, Comandante de la Guardia Civil y Jefe de Grupo de Ciberinteligencia Criminal de la Unidad Técnica de Policía Judicial, es uno de esos expertos. Con más de una década de experiencia en la lucha contra el cibercrimen, Alberto ha profundizado en la investigación y análisis criminal, destacando su participación en cooperaciones internacionales y representando a la Guardia Civil en importantes foros estratégicos y operativos a nivel mundial, como el Consejo de Europa, EUROPOL, EUROJUST, El PAcCTO e INTERPOL.
Su carrera le ha otorgado una visión única sobre la evolución del cibercrimen y las tácticas para combatirlo efectivamente. En esta entrevista para Tecfuturo, exploraremos su perspectiva y experiencia para entender mejor los desafíos y soluciones en el campo de la ciberseguridad.
Pregunta: ¿Cómo comenzó su carrera en el ámbito del cibercrimen y qué le motivó a especializarse en este campo?
Mi carrera en la Guardia Civil empezó en seguridad ciudadana, como jefe de un Puesto Principal, donde pasé todo el empleo de teniente. Con el ascenso a capitán me apetecía especializarme en algo concreto y siempre me ha gustado el ámbito “ciber”. Es un mundo complejo, que cambia el paradigma de la investigación tradicional, y por lo tanto, un auténtico reto.
Me surgió la oportunidad en el año 2012 de crear el grupo de delitos tecnológicos, embrión del grupo de ciber inteligencia criminal, dentro de la Unidad Técnica de Policía Judicial y poco a poco se ha ido construyendo hasta lo que tenemos hoy.
Pregunta: Como Jefe de Grupo de Ciberinteligencia Criminal, ¿cuáles son sus responsabilidades principales y los desafíos que enfrenta diariamente?
Me toca aunar, por un lado, la parte estratégica. Aquí se puede encuadrar todas las funciones orientadas a impulsar la lucha contra el cibercrimen dentro de la especialidad de Policía Judicial, desde la perspectiva de asignación de recursos, hasta la de organizar e impartir formación especializada. Aquí también es importante la tarea de asesoramiento del mando en esta materia.
Y por otro lado, la parte operativa. En este punto trabajamos toda la parte de coordinación operaciones entre las distintas unidades de Policía Judicial de Guardia Civil. Nuestra tarea incluye la realización de informes de inteligencia sobre objetivos concretos y trazabilidad de criptoactivos.
También dedicamos muchos recursos a toda la parte de cooperación internacional. Mi unidad es el punto de contacto para gestión operativa en el ámbito internacional, impulsando las actuaciones operativas y representando a la Guardia Civil en el EC3-Europol, Interpol, Consejo de Europa, El PAcCTO y diversos foros europeos.
En referencia a los desafíos, podemos hablar de la complejidad de estas investigaciones, donde la criminalidad organizada está cada vez más especializada y las herramientas para su persecución son caras. Además, el marco jurídico (especialmente en materia de la cooperación judicial internacional) no está adaptado a esta realidad.
Pregunta: Desde su experiencia, ¿cómo ha evolucionado el cibercrimen en la última década y qué tendencias ve emergiendo en el futuro cercano?
El incremento ha sido brutal en los últimos años, estamos hablando que ya uno de cada cinco delitos se comete a través de las TIC. Estamos sufriendo un incremento de entorno al 25% al año, siendo casi el 90% de estas infracciones penales fraudes (estafas) en internet. Pero lo grave es que, por experiencia, esto es solo la punta de iceberg, ya que estimamos que la cifra negra existente es enorme.
Normalmente se apunta a que la pandemia ha sido la culpable, digitalizando a marchas forzadas una sociedad que no se le ha “educado digitalmente” al mismo ritmo, pero ya estábamos apreciando este incremento de antes. Quizá lo que se ha observado a partir del 2020 es un aumento de la curva, confirmando la evolución.
En referencia a las tendencias, a nivel cuantitativo los fraudes seguirán en aumento adaptándose las técnicas de ingeniería social a víctimas y vicisitudes temporales. El modelo de crimen como servicio (Crime as a Service –CaaS) favorecerá está actividad al poder contratar servicios cada vez más especializados.
A nivel cualitativo, el ransomware creo que continuará como principal amenaza. La evolución hacia tipos que permitan actuar bajo el modelo HOR (Human Operated Ransomware), donde las familias permites a afiliados “personalizar” los ataques, brindarán suculentos beneficios aprovechando además la extorsión con el robo de datos.
Pregunta: ¿Qué herramientas y tecnologías considera fundamentales en su trabajo de ciberinteligencia criminal?
Estamos llegando un modelo donde las herramientas de investigación han pasado de ser facilitadores de la investigación a indispensables.
Actualmente considero fundamentales dos tipos de herramientas: por un lado las herramientas OSINT, pero no solo las orientadas al ciberpatrullaje o al threat analysis, sino también a la identificación de perfiles concretos y a partir de ahí construir la identidad de los objetivos; por otro, aquellas orientadas al análisis y trazabilidad de cripto activos.
Pregunta: ¿Cómo beneficia la cooperación internacional en la lucha contra el cibercrimen y cuál ha sido su experiencia trabajando con organizaciones como EUROPOL y INTERPOL?
A día de hoy la cooperación internacional es la base de la lucha contra el cibercrimen, no solo a nivel policial, sino especialmente a nivel judicial. En este último punto es muy importante el papel que juega EUROJUST.
Como experiencia propia resaltar que la colaboración con el Centro Contra el CIbercrimen (EC3) de EUROPOL es muy buena, canalizándose la mayoría de las colaboraciones por esta agencia.
Por el contrario, el trabajo con INTERPOL es residual, por limitarse sus capacidades al ámbito del intercambio de información con terceros estados. Además su centro “ciber” está situado en Singapur, lo cual no favorece los desplazamientos.
Pregunta: Frente a los desafíos de coordinar esfuerzos a nivel internacional, ¿cuáles son las principales barreras que ha encontrado y cómo se han superado?
La principal barrera es la falta homogeneización de ordenamientos jurídicos, especialmente perjudicial en lo relativo a la obtención de evidencias digitales en proveedores de servicios situados en otras jurisdicciones. Las herramientas procesales actuales, como las comisiones rogatorias internacionales han quedado obsoletas para la realidad debido a su lentitud y la volatilidad de este tipo de evidencias. A nivel de la UE se ha agilizado un poco con las órdenes europeas de investigación, pero aun así resulta lento. (CRIs-OEI)
Las últimas modificaciones legales, como la Directiva 2023/1544 donde s obliga a estos proveedores a tener representantes legales en la UE o el Reglamento 2023/1543 sobre las órdenes europeas de conservación y producción. Fuera de la UE, también es muy interesante lo contemplado en el Segundo Protocolo del Convenio Budapest en lo relacionado al acceso transfronteriza de la evidencia electrónica, aunque aún lo tienen que firmar y transponer los países signatarios.
Pregunta: Ha participado en foros del Consejo de Europa y otros organismos internacionales. ¿Cómo influyen estas plataformas en las políticas de ciberseguridad nacionales?
Estamos hablando que nos encontramos ante un mundo hiperconectado, por lo que considero que es fundamental regular este mundo desde una visión supranacional, y cuando lo hagamos a nivel nacional, con la vista puesta en el resto de países.
En la UE se está haciendo: reglamento de IA, reglamento MICA (relativo al mercado de criptoactivos, a final de 2024), la Directiva NIS2 o la recientemente publicada Directiva sobre prueba electrónica en procesos penales (e-Evidence). Todo esto influye directamente al tener que trasponer los contenidos a nuestro ordenamiento jurídico.
Para mi, la norma más interesante relacionada con la lucha contra la cibercriminalidad es el Convenio sobre la cibercriminalidad del Consejo de Europa del año 2001, conocido como Convenio de Budapest. Por varias razones:
- Bajo el paraguas del Consejo de Europa, es decir trasciende mucho más que Europa. Tiene amplia implantación en Latinoamérica.
- España lo tiene firmado desde el 2011.
- Está actualizado mediante protocolos: Protocolos 1º , ya ratificado sobre Xenofobia y racismo, y ahora el 2 sobre medidas de refuerzo de la investigación.
Pregunta: Sin revelar detalles confidenciales, ¿podría compartir alguna experiencia o caso que haya sido particularmente significativo o desafiante en su carrera?
Son muchos, quizá por la novedad y el número de gente, Operación REFOX contra plataformas de falsas inversiones en criptomonedas.
- Coordinada por EUROJUST (Suecia, Alemania, Fnlandia, Letonia)
- Se desmantelaron 16 call centers situados en Albania, Georgia y Ucrania
- Identificamos a 100.000 víctimas en toda Europa
- Cerramos 480 páginas web dedicados a invertir en criptoactivos.
Pregunta: Basado en su experiencia, ¿Qué tipo de formación cree que es esencial para los nuevos profesionales que ingresan en el campo de la ciberseguridad?
Aunque es necesaria una formación transversal inicial (Telecomunicaciones, Ingeniería Informática/ de Sistemas…), al final hay que buscar la especialización muy concreta. Ahora existe mucha capacitación orientada al ámbito de la ciberseguridad, donde se puede aprovechar formación, pero no existe apenas oferta orientada a la lucha contra el cibercrimen.
Por eso, lo ideal es tener una formación transversal básica, basada en una ingeniería técnica o modulos de grado superior en este tipo de materias. Después ya, desde dentro de la Guardia Civil ya se realiza formación ad hoc para el trabajo que se va a desarrollar.
Pregunta: Para las empresas y el público general, ¿qué consejos básicos de protección contra el cibercrimen podría ofrecer?
Podíamos estar hablando horas: desde los más evidentes de sentido común hasta técnicos e inversión en soluciones tecnológicas.
Unas ideas:
- CONTAR SIEMPRE CON UN PROGRAMA ANTIVIRUS INSTALADO Y ACTUALIZADO SIEMPRE, ADEMÁS DE USAR SIEMPRE SOFTWARE ORIGINAL.
- VIGILAR LAS DESCARGAS Y ARCHIVOS ADJUNTOS FRAUDULENTOS.
- TENER CONTRASEÑAS ROBUSTAS Y CAMBIARLAS PERIODICAMENTE, ESPECIALMENTE EN APLICACIONES CON DATOS SENSIBLES (P.E. BANCARIAS Y DE SISTEMAS DE PAGO).
- REALIZAR COMPRAS ONLINE EN SITIOS SEGUROS, Y ANTE CUALQUER MÍNIMA DUDA CONSULTAR EN FUENTES ABIERTAS.
- TENER SIEMPRE COPIAS DE SEGURIDAD AISLADAS CON DATOS Y ARCHIVOS SENSIBLES O DE INTERÉS PERSONAL.
- NO DAR NUNCA CREDENCIALES POR TELÉFONO Y SOSPECHAR DE TODA LLAMADA QUE NO HAYA SIDO SOLICITADA.
Pregunta: ¿Cómo ve el futuro de la ciberinteligencia en la Guardia Civil y su impacto en la seguridad pública?
Esperanzador, pero con prudencia.
Queda hacer muchísima pedagogía a los decisores para que asuman como propios estos retos y se dediquen recursos. En los últimos años hemos avanzado y nos hemos actualizado, pero las amenazas a las que nos enfrentemos evolucionan a una velocidad vertiginosa, donde las herramientas y procedimientos se quedan rápidamente obsoletos. Además, los activos humanos tienen que tener un perfil muy concreto difícil de obtener.
En el ámbito práctico, la elaboración de una buena ciberinteligencia impacta directamente en el ciudadano y es cada vez más necesaria. Si somos capaces de identificar, por un lado, tendencias que pongan en preaviso a la sociedad, y por otro, saber optimizar estas técnicas para localizar y encontrar la huella del crimen que dejan los cibercriminales, se podrá llegar a una sociedad digital donde las personas se muevan mucho más seguras en estos entornos. Pero esto no es fácil.
Pregunta: A lo largo de su carrera, ¿ha tenido algún mentor o aprendido lecciones que considere clave para su desarrollo profesional en ciberseguridad?
Llevo 12 años dedicado en exclusiva a esta materia, y puedo he decir que he aprendido de todos y cada uno de los compañeros que he tenido, no solo de Jefes sino también de subordinados. Es el lujo de pertenecer a una Institución como la Guardia Civil.
