Por Rubén M. Mateo.- Los delitos relacionados con la ciberdelincuencia han aumentado en España en un 133% desde 2018. Si nos remontamos a 2016, estos delitos se disparan hasta el 500%. Hablamos de aquellos que son denunciados, ya que se estima que otros tantos no salen a la luz. Así lo reveló Alberto Redondo, comandante de la Guardia Civil y Jefe de Grupo de Ciberinteligencia Criminal de la Unidad Técnica de la Policía Judicial, durante el webinario «Ciberfraudes desde el punto de vista de la prevención y la detección» celebrado el pasado 21 de febrero y a cuya grabación íntegra puede accederse a través de este enlace. «Hoy, uno de cada cinco delitos que se denuncia en España es cometido a través de las nuevas tecnologías», aseguró Redondo, para subrayar que el 90% de esos delitos cometidos a través de la tecnología son estafas.
El webinario, que forma parte del Ciclo de encuentros digitales sobre educación financiera y transparencia patrocinado por ASNEF en colaboración con LA LEY, abordó temas como las características más comunes de los ciberfraudes, las acciones que puede emprender el ciberdelincuente con nuestros datos, los fraudes financieros más comunes, la prevención tecnológica o cómo nos protegen las entidades de los ciberfraudes, entre otras cuestiones. Moderado por Víctor Masip, Director de Información y Tecnología en WiZink Bank y responsable del área de seguridad en la entidad, el encuentro contó con las ponencias de Antonio López Melgarejo, responsable de seguridad operacional de El Corte Inglés, Gregorio Parrado, especializado en ciberseguridad y prevención del fraude, y el propio Alberto Redondo.
«Uno de los grandes problemas que tenemos es abordar esa necesidad de mejorar la higiene digital, la concienciación de la sociedad. Porque, realmente, podemos tener muchos policías y muchos investigadores, pero son unos delitos nuevos y el problema de base es que no lo vamos a solucionar hasta que los propios usuarios sean conscientes de estos temas», advirtió el comandante de la Guardia Civil, que expuso los principales casos delictivos.
El más común tiene que ver con robos de credenciales de pago mediante técnicas de suplantación de identidad, lo que se conoce como spoofing. «Recibimos la llamada telefónica y vemos en el encabezado que es alguien de confianza como nuestro banco, nuestro agente. Alguien que conocemos. Pero realmente detrás están los ciberdelincuentes», ejemplificó. Por otro lado, destacó el ponente, otro de los problemas más comunes está orientado a pequeñas y medianas empresas mediante el business email para desviar transferencias. Además, destacó uno de nueva irrupción como es la estafa por falsas inversiones con criptoactivos.
«Vemos ofertas donde prometen ganancias en poco tiempo. Metemos un poquito de dinero y a partir de aquí empieza la ingeniería social. Nos dan de alta en unos sitios web completamente falsos. Nos va engañando nuestro Trader, que pide cada vez más cantidades de dinero. Vemos que nuestro dinero o nuestra cripto va subiendo e incluso ellos se ofrecen a operar por nosotros. Nos instalan un software en el ordenador para hacer las compras de las cripto en los exchanger. El problema viene cuando queremos hacer esas retiradas y empiezan con excusas y dilaciones. Entonces vienen las denuncias. Estamos hablando de estafas de cientos de miles de euros. Hay personas que han perdido todos los ahorros», explicó Alberto Redondo.
Manipulación psicológica
Por su parte, Gregorio Parrado, especializado en ciberseguridad y prevención del fraude, hizo mención a la llamada ingeniería social. Una manipulación psicológica que se aprovecha de las vulnerabilidades humanas. «Te llaman diciendo que tu niña está enferma en el hospital y que por favor les envíes dinero. La gente, automáticamente, porque es un acto instintivo, envía el dinero y se producen las estafas», afirmó el también CIO y CISO en FrauDfense, creada para la prevención y detección de fraude. Además, Parrado alertó de cómo la Inteligencia Artificial puede hacer más indetectable al ciberdelincuente. «El problema se agrava cuando simulan la voz de la persona. Si a ti te llaman y te están simulando la voz de un familiar o de un amigo, en la mayoría de los casos, por no decir en un 80%, tiene efectividad», agregó.
En cuanto a la suplantación de identidad, la autenticación por segundo factor –por ejemplo, el de la doble verificación por SMS/OTP, el famoso código que recibimos en el móvil– supuso un fuerte golpe para la industria de la ciberdelincuencia. Un avance que los obligó a reaccionar con estrategias completamente distintas. Así, Antonio López Melgarejo, explicó que pronto se enfocaron en capturar el código OTP, bien duplicando de forma fraudulenta la SIM o con técnicas tan estudiadas, como, por ejemplo, contratando los servicios de un empleado desleal de la entidad. «Ocurrió el año pasado en Estados Unidos. Fue sentenciado a 5 años de prisión. Esta persona lo que hacía era redirigir los mensajes de correo electrónico», detalló López Melgarejo, para exponer otros casos sofisticados como el de códigos malicioso llamado Tinba, con el que fueron atacadas tres grandes entidades bancarias en España durante 2015 y 2016.
Conocido como Tiny Banker Trojan (diminuto troyano bancario) por su pequeño tamaño (solo 20 kb) y su capacidad destructiva simula la web del banco y permite al criminal obtener diversa información bancaria como número de tarjeta de crédito/débito, CCV, PIN y todo aquello que requiera a la víctima. El malware se ejecuta en la propia web del banco y la víctima recibe un falso mensaje que comunica que una cantidad de dinero ha sido ingresada accidentalmente en su cuenta y tiene que reembolsarla inmediatamente al banco en un enlace que proporcionan.
Este método consistía, explicó López Melgarejo, en que el cliente del banco se logaba en su área privada online de la entidad bancaria y una vez dentro aparecía una notificación que le comunicaba que habían tenido que bloquear su cuenta porque se había remitido por error una transferencia, que «habitualmente era de una compañía de seguros». «Lo interesante es que ese apunte bancario lo podía ver la víctima y el saldo estaba incrementado en la cantidad correspondiente. Entonces, lo que planteaban es que recopilara la información y acudiera a su oficina bancaria para desbloquear la cuenta. Sin embargo, para evitar que se viera obligado a acudir, le facilitaban un botón para desbloquear inmediatamente la cuenta. El usuario se decide por el botón y activa la secuencia propia de cualquier transferencia, se introducen las claves y se recibe el otp por sms. Nada era cierto y lo que estaba haciendo el usuario es vaciar la cuenta», expuso Melgarejo, que instó a los usuarios a que desconfíen. «Es una cosa que me duele mucho decirlo porque yo creo que la confianza es uno de los pilares de la civilización, pero lo cierto es que cuando nos metemos en lo digital hay que tener siempre un poquito de desconfianza», aconsejó.
Parrado recalcó el factor de la tempística y mesura con la que suelen operar en ocasiones estos delincuentes. Es común, señaló el ponente, que dejen un malware o virus en el dispositivo para monitorizar el sistema durante meses y que el fraude se sufra a los cinco meses o más. En el caso de las empresas, precisó, el daño no es únicamente que roben los datos, sino la «falta de credibilidad, de imagen reputacional».
La necesidad de denunciar
Durante el webinario también se expusieron otras técnicas relacionadas con la generación de confianza para atrapar a la víctima. Por ejemplo, se habló del creciente número de páginas web que incluyen banners con fotos de famosos de éxito apelando al supuesto modo con el que se han enriquecido. «Hay gente que dice: yo quiero ganar igual. Pues si te quieres enriquecer tenemos plataformas con determinados algoritmos de inversión. Meten sus datos y una empresa se encarga de recopilar esos datos. Luego se los venden a los que materializan las estafas desde un call center que puede estar en Albania. Estamos hablando de que hay en torno a 9.000 víctimas en toda Europa. Al cambio, estaban facturando al mes entre dos y tres millones de euros», explicó Alberto Redondo. Los estafadores disponen de una auténtica estructura técnica con personal especializado.
El Jefe de Grupo de Ciberinteligencia Criminal de la Unidad Técnica de la Policía Judicial afirmó que lo más importante cuando se produce un caso de estafa es denunciarlo. «Todo fraude hay que denunciarlo al cuartel más cercano, a la comisaría más cercana. Primero, porque es la única manera de combatir esas cifras que he comentado al principio. Estamos convencidos de que, aunque son inmensas, hay una cifra negra mayor. Hay que ver cuál es el problema, porque eso también nos sirve a los investigadores para pedir más recursos y enfrentarnos realmente con más garantías a este tipo de organizaciones criminales», subrayó Redondo. En este mismo sentido, el moderador, Víctor Masip, invitó a denunciar y a vencer esa vergüenza que podemos sentir al haber sido estafados por internet. «Lo mismo que haríamos si te roban el coche o si te han robado el bolso. Esto es lo mismo. Te están robando Igualmente».
En cuanto a los consejos o recomendaciones de prevención, Gregorio Parrado destacó, además de la colaboración entre entidades, la concienciación y el asumir la responsabilidad de lo que supone trabajar en un entorno digital. Como ejemplo, puso el de la red wifi de casa, ya que a través del dispositivo de un niño mediante un juego que se descarga de prueba, puede comprometer toda la red familiar. Antonio Melgarejo aconsejó descargar el software de sitios de confianza, actualizar el sistema operativo, habilitar todas las herramientas de seguridad y tener cuidado con los pen drives.
Puedes acceder a la grabación íntegra del webinar en este enlace.