20.02.2022 - 10:55
|
Actualització: 20.02.2022 - 11:55
Les ciberestafes són una activitat criminal més estesa del que sembla, que augmenta vertiginosament. Qui més qui menys, tothom ha rebut alguna vegada un correu electrònic o un missatge SMS fraudulent que mira d’enganyar-nos fent-se passar per una entitat bancària o una empresa de missatgeria perquè fem clic a un enllaç i hi posem les nostres dades personals i bancàries per a buidar-nos el compte corrent. Cada dia centenars de persones són víctimes d’aquesta mena d’enganys per a prendre’ls els diners. I cada any que passa, se’n denuncien més.
Si s’observen les dades del portal estatístic de criminalitat de l’estat espanyol, que recull dades de tots els cossos policíacs, es pot veure clarament un creixement ferm i sostingut durant aquests darrers anys. Podeu veure a continuació un gràfic comparatiu entre Catalunya, el País Valencià i les Illes de ciberestafes registrades entre el 2015 i el 2020, darrer any del qual es donen dades.
Amb diferència, on més es denuncia aquesta mena de delictes és a Catalunya: el 2020 va arribar a les 46.982 denúncies, un gran salt respecte de les 15.791 del 2015. Al País Valencià, durant tot el 2020 se’n van denunciar 21.917, més de quatre vegades més que no hi havia cinc anys abans: 5.004. I a les Illes es va passar de 2.264 ciberestafes denunciades el 2015 a 10.879 el 2020.
Aquestes són les dades públiques disponibles al portal estatístic de criminalitat, però els Mossos d’Esquadra indiquen que als seus estudis –més exhaustius, segons expliquen– dibuixen una magnitud encara més important. José Merino, responsable de l’àrea central de delictes econòmics de la divisió d’investigació criminal dels Mossos d’Esquadra, dóna dades que esgarrifen. Cada dia a Catalunya es denuncien vora 300 estafes, de les quals entre el 85% i el 90% són estafes ciberdependents. És a dir, que necessiten internet per a materialitzar-se. A més, diu que de tots els delictes comesos per internet que es denuncien, també vora el 90% són estafes.
Explica que aquest augment anual sostingut és a causa que com més va més gestions fem per internet, cosa que crea un context que els cibercriminals poden aprofitar. I tenint en compte que la previsió és anar cada dia a un món més digital, preveu que aquests delictes continuaran creixent. “Podem pensar que és difícil de caure-hi, però la realitat ens diu que hem d’estar sempre amb la guàrdia alta”, diu Merino. “Els atacs són constants i s’aprofiten de qualsevol oportunitat per a aconseguir les nostres dades, hem de ser curosos.”
Avisa que els estudis en criminologia no han aconseguit de definir un perfil concret de víctima, perquè qualsevol persona és susceptible de caure en una estafa: “Fins i tot policies, que per norma general som desconfiats amb aquestes coses.” Això nega el pensament popular que la gent gran és la més vulnerable o que la gent amb estudis superiors no n’és víctima. “No hi ha cap patró que permeti definir una víctima d’estafes.”
Phishing, smishing i vishing, les ciberestafes més habituals
Quan algú detecta que li han desaparegut diners del compte corrent la cosa més habitual és que no sàpiga què ha passat. Segons Merino, gairebé la meitat de les denúncies per estafa no aporten més dades per part de la víctima, que no és conscient d’haver interactuat amb un cibercriminal que li hagi pogut robar les dades.
Ara, quan sí que hi ha indicis, la majoria de vegades es tracta de phishing, smishing o vishing, les modalitats de ciberestafes més habituals. En realitat, totes tres són estafes en què es contacta la víctima usurpant la identitat d’un organisme en què confia per obtenir-ne les dades personals, de la targeta o les credencials de la banca en línia. Per aconseguir-ho, solen presentar-se com una entitat bancària, Correus, l’Agència Tributària o el Servei Català de Trànsit i, amb arguments diferents, demanen que fem clic a un enllaç que ens porta a una web fraudulenta que imita la real i que ens demana les dades.
La diferència entre phising, smishing i vishing és el canal pel qual es contacta la víctima. El phishing és el més comú i es propaga pel correu electrònic. Cada dia en rebem a les nostres bústies d’entrada, però habitualment els correus són etiquetats com a brossa i ni tan sols ens són mostrats. L’smishing s’envia per missatges SMS, en què no existeixen filtres per a missatges brossa, de manera que són més susceptibles d’aconseguir enganyar la víctima. Finalment, el vishing utilitza trucades de veu per a demanar les dades personals de la víctima.
La segona classe d’estafa més habitual, diu José Merino, són les denúncies relacionades amb la compravenda en línia. És a dir, algú compra per internet un producte que mai no arriba a casa. “La gent acostuma a picar pensant que compra una ganga, però el venedor realment és un cibercriminal.” I la tercera més denunciada, molt similar, és la falsa prestació de serveis per internet: pagar per un servei –normalment gestions com ara l’emissió de certificats– que mai no es fa.
La quarta modalitat de ciberestafa són els falsos lloguers que es publiciten per internet. Habitualment són lloguers de vacances a preus de ganga, però que quan la víctima arriba al lloc es troba que les vacances s’ensorren perquè o bé l’allotjament en qüestió no existeix, o bé mai no s’ha fet la reserva. La cinquena estafa més habitual no és solament una ciberestafa. La primera part consisteix a obtenir de manera fraudulenta, i habitualment per via digital, les dades personals de la víctima. Després, demanen préstecs ràpids fent-se passar per l’altra persona i ingressen els diners a un compte corrent controlat per ells. Quan el prestador veu que no li paguen allò que es va establir, ho reclama a la víctima, que descobreix que té un deute que no és seu.
Targetes clonades i telèfons controlats a distància, menys habituals però molt perillosos
Hi ha una altra ciberestafa molt habitual durant l’època pre-nadalenca, quan augmenten les comptes per internet, tot i que Merino diu que no és entre les deu primeres més corrents. És una derivada del phishing o l’smishing, atès que comença amb un missatge que es fa passar per una empresa de repartiment, molt sovint Fedex, que ofereix la possibilitat de fer el seguiment d’una comanda comprada en línia i que ha d’arribar a casa. Els phishing o smishing més bàsics proven d’enganyar la víctima perquè introdueixi voluntàriament les seves dades, però en aquest cas quan es fa clic a l’enllaç que ofereix, s’instal·la una aplicació maliciosa per a controlar el telèfon mòbil o l’ordinador.
Els telèfons mòbils tenen mecanismes de protecció davant de programari maliciós. Si no es configura d’una altra manera, es bloca automàticament tota aplicació que no vingui de les botigues habituals, com ara Play Store o Apple Store. A més, l’aplicació maliciosa demana que li concedeixin tota mena de permisos per a accedir al control del telèfon. Si es concedeixen, el cibercriminal podrà observar tot allò que es fa amb el telèfon, consultar tots els arxius disponibles i expandir-se als contactes guardats per a continuar infectant. “Amb el control que aconsegueix, cal tenir clar que si el criminal et pot buidar el compte corrent, ho farà”, diu Merino, que avisa que aquesta aplicació maliciosa és la més avançada que s’ha trobat en l’àmbit de ciberestafes.
Una altra estafa amb la qual cal tenir molta cura és el SIM swapping o clonació de les targetes SIM. En aquest cas, quan el criminal ha aconseguit les dades personals de la víctima contacta amb la seva companyia telefònica i, aprofitant que en coneix les dades personals, supera els controls de verificació per a demanar un duplicat de la targeta SIM. Tenint accés a la seva línia telefònica, pot rebre els missatges de verificació enviats pel banc com a mecanisme de seguretat. En aquests casos, el primer que nota la víctima és que perd durant uns minuts la connexió telefònica, atès que no es poden connectar dos telèfons a una mateixa línia.
Finalment, Merino també demana d’anar amb molta cura quan fem servir xarxes wi-fi obertes al públic, com ara les que hi ha en centres comercials, estacions de tren i aeroports: “Els cibercriminals tenen mecanismes per a captar tot allò que s’envia des de la wi-fi. És més fàcil fer-ho en xarxes wi-fi obertes, quan la seguretat és més laxa.” Quan es fa servir aquesta mena de xarxes és recomanable que tota interacció sigui de consulta d’allò disponible a internet, però que no hi diguem res que, si s’intercepta, ens pugui perjudicar.
Poques vegades atrapen els ciberestafadors
“Quan es detecta una activitat anòmala al compte, la primera cosa que s’ha de fer és contactar amb l’entitat bancària per a evitar qualsevol altra operativa fraudulenta i reduir al màxim el temps d’exposició al cibercriminal”, recomana Merino. Cal mirar de pensar si en els darrers dies o setmanes s’ha rebut algun missatge estrany que demanés les dades i, després, recopilar totes les dades possibles i posar-se en contacte amb la policia per a denunciar els fets.
Amb tot, Merino reconeix la incapacitat per a trobar molts dels delinqüents que s’han endut els diners: “Moltes vegades ens trobem que els criminals són fora de les nostres fronteres. Per a arribar-hi, cal que un jutge emeti una ordre internacional per a continuar investigant, però no sempre es concedeixen. Si tenim un volum gran de denúncies que podem atribuir als mateixos autors, tenim més força i els jutges solen estar més predisposats a emetre-la.”
De la mateixa manera, també és difícil de seguir la pista dels diners sostrets. Si van a comptes de l’estat espanyol és fàcil que les entitats bancàries activin mecanismes que bloquin els saldos i evitin que els criminals en puguin disposar, però habitualment van a parar a comptes bancaris de l’estranger. “En un món globalitzat, que els diners poden viatjar a qualsevol lloc del món en qüestió de segons, és més complicat de recuperar. Alguna vegada s’ha aconseguit, però ho dificulta molt.”
Sovint els bancs tenen assegurances per a cobrir aquesta mena de frau, tot i que no sempre els cobreixen, tal com va explicar a VilaWeb una dona a qui li van prendre 15.000 euros i el Banc Sabadell li va dir que no hi podia fer res. “El primer requisit que l’entitat bancària demanarà per a valorar si assumeix o no el valor del frau és una denúncia”, diu Merino. Explica que el criteri general dels bancs és assumir-lo sempre que l’estafa sigui causada per una negligència evident del client, però quan el client no sap què ha passat, com és habitual, depèn de la política de cada entitat bancària.
En cas de discrepància, el client ha de posar una reclamació a l’entitat bancària mateixa. Si no respon en el termini establert, s’entén que la resposta és negativa, i llavors pot reclamar al Banc d’Espanya. Si li digués que no, hauria de començar un procediment civil per a demanar el pagament dels diners.
La importància de la prevenció
Tenint en compte la impunitat amb què s’acostumen a moure els cibercriminals, els Mossos d’Esquadra insisteixen molt en la prevenció i l’autoprotecció, un coneixement que ha de començar de ben petits: “Hem de desconfiar de qualsevol trucada, missatge o correu electrònic en què et demanen de fer una acció de manera urgent, i sobretot que et demanin dades personals. En cas de dubte, s’ha de verificar i mirar de contactar per una via alternativa amb l’entitat que suposadament contacta amb tu.”
També recomanen de no instal·lar cap programa que no provingui d’un lloc de confiança, verificat. Totes aquestes accions són senzilles i fàcils de fer. No presenten dificultats, però són imprescindibles per evitar ser víctima d’aquest tipus de delicte. És important no reaccionar impulsivament davant de qualsevol missatge que afecti el compte bancari. La prevenció és l’única eina que hi ha a l’abast.
