Bueno, yo creo que hemos vivido una evolución con respecto a cuando los incidentes informáticos iban dirigidos a las grandes empresas. Desde hace muchos años estas se han protegido mucho con las medidas de seguridad adecuadas, pero lo que ha sucedido es que esto se ha vuelto en contra del usuario final. Lo que ha ocurrido es que los delitos de fraude se han canalizado hacia el usuario final y no contra un banco o contra una gran empresa. En ese sentido, las grandes empresas sí han hecho bien sus deberes y han puesto todas las medidas de seguridad necesarias, y quizá donde más se falla es en las pequeñas empresas, puesto que en un primer momento no piensan que la seguridad sea importante y sólo cuando les ocurre un incidente grave, como que alguien les borre los datos, o se produce un fraude se preocupan por ella. Yo creo que hay que hacer una distinción entre las grandes empresas, que sí se preocupan por la seguridad, y las pequeñas, a las que todavía les falta dedicarse un poco más a ella.

Sobre todo el fraude financiero, ya sea tipo phishing, troyanos, etc., que puede afectarnos a todos, seamos grandes o pequeños. Luego, algún tipo de ataque que podamos sufrir contra los servidores que tengamos puestos en internet; a nuestro web lo pueden infectar para infectar a nuestros clientes y a nuestros visitantes, o simplemente nos lo pueden cambiar o echar abajo. Yo creo que son las cosas más peligrosas que pueden ocurrir.

Sí. Estos delitos de fraude masivo ya no los realizan personas individuales, porque no tienen los recursos para hacer delitos tan grandes. Ahora son mafias organizadas que cuentan con muchos recursos y tienen a su servicio multitud de personas de diferentes niveles, desde la gente que busca a las mulas hasta la gente que busca entidades financieras para atacar y la gente que administra los sistemas de las máquinas que van a atacar... Es decir, los delincuentes cibernéticos tienen distintas especialidades, pero ya no actúan como personas individuales. Las personas individuales que actúan solas siguen existiendo, pero más bien son casos de delitos internos de empleados descontentos o de personas que trabajan solas en un departamento y que efectúan algún tipo de fraude o delito interno.

Sí, por supuesto. Son grupos organizados que quizá antiguamente no se dedicaban a internet y ahora siguen trabajando en delitos de la vida real como el narcotráfico o el tráfico de armas, pero también han empezado a dedicarse a delitos de internet. Es decir, la red para ellos es como un área más de «negocio».

No sería un vacío legal, sería más bien la falta de ayuda a la persecución del delito. Un delito contra una empresa catalana no tiene porque hacerlo una persona que esté en Cataluña, sino que la persona puede estar en Ucrania, en China o en Estados Unidos y utilizar la máquina de un tercer país para lanzar un ataque contra una organización de Cataluña, con lo cual tienes que pedir datos en diferentes países, con todas las leyes locales de cada uno, más todo lo que se puede esperar de burocracia... Es decir, resulta muy complicado. Al final el problema es que el delito está bastante repartido entre distintos países.