Los centinelas invisibles contra los delitos cibernéticos

La buena noticia es que «la práctica totalidad de las denuncias se podrían evitar con un mínimo de formación», aseguran Pilar, Pablo y Mario, acostumbrados a observar siempre las mismas equivocaciones. Sólo hay un problema: a los talleres informativos van las víctimas y no quienes potencialmente pudieran serlo porque nadie se imagina en esa tesitura.

El principal ciberdelito son las estafas, posiblemente más de un 80% de los casos que investigan, porque el usuario se confía o no se fija en las pistas que podrían llevarle a sospechar sobre determinadas transacciones.

Las estafas abarcan una amplia tipología de casos. Desde las bancarias con suplantación de identidad hasta las de hacerse pasar por una persona famosa o una pareja extranjera interesada en formalizar una relación. Lo que a un espectador ajeno le podría parecer sorprendente, ellos no lo juzgan porque saben que los ciberdelincuentes pueden ser muy convincentes. Además pueden entrar en juego otras variables como la inocencia de la víctima o la vulnerabilidad emocional.

Si hubiera que elegir el delito cibernético por excelencia ese sería la sustracción de dinero desde una cuenta bancaria. «A pesar de que se ha avisado por activa y por pasiva a los clientes de que una entidad bancaria nunca pide datos confidenciales por SMS ni por teléfono, la gente sigue dándolos. Son ataques de ingeniería social porque siempre buscan la manera de ganarse la confianza de las víctimas», aseguran.

Se refieren, por ejemplo, a una inversión en criptomoneda, que también se está produciendo bastante y aunque los agentes se resisten a reconocer la astucia de los timadores, lo cierto es que su modus operandi denota que conocen bien la psique de una persona. Las criptomonedas son un producto de inversión, pero no para todo el mundo. Este desconocimiento del sistema facilita el engaño.

«Son personas captadas por falsos grupos de inversión», advierten los agentes, lo que en principio parece denotar que hay si no una mínima formación económica al menos sí un interés. Una vez que muerden en anzuelo «se les ofrece beneficios económicos a corto plazo, en pequeñas cantidades» para que no llame la atención y «como parte de esa ingeniería social, los propios delincuentes no les dejan invertir demasiado para que no arriesguen su dinero, así se van ganando su confianza». Las víctimas van recibiendo mensajes que no son reales, con cifras falsas y una vez que están convencido de que están trabajando con gestores de fondos comprometidos aumentan su inversión. «Hemos observado casos muy graves: de personas que han invertido todos sus ahorros e incluso de gente que ha hipotecado su casa», alertan.

Esta estafa puede tener una segunda parte porque parte de la estrategia de los ciberdelincuentes es romper toda comunicación con la víctima. Sencillamente desaparecen. La persona estafada, que además de sin blanca, se siente avergonzada, es más fácil que pique un segundo anzuelo: la llamada de una agencia dedicada a recuperar esos fondos perdidos. No hay tal agencia: son los mismos delincuentes que van cual ave rapaz a por lo que haya quedado del botín.

Otra estafa más técnica es la conocida como BEC (Business email compromise), que es la apropiación de cuentas de correo electrónico de una empresa. «Últimamente se está dando mucho», advierten los agentes, que aconsejan tener bien protegidos sus sistemas y formar a los empleados. «Son correos muy elaborados que primero infectan a un equipo y una vez que tienen los correos y formatos, pueden interceptar y alterar cualquier correo, de tal forma que si se envía un número de cuenta a un cliente o proveedor para hacer un abono, el ciberdelincuente puede interceptar ese correo, modificar ese número de cuenta a su favor», señalan.

Luego están los ataques 'ransomware', una técnica «mucho más elaborada por la que se encriptan bases de datos de las empresas y se solicita luego un rescate. Bloquean la operatividad de la empresa y es muy complicado volver a la normalidad». «En estos casos jamás se debe pagar el rescate porque no hay ninguna garantía de que esas bases de datos no se hayan vendido en la dark web», alertan. Lo que se debe hacer es comunicarlo a la Agencia Española de Protección de Datos y al Incibe, bloquear las cuentas bancarias, cambiar las contraseñas y comunicar el secuestro a todos los clientes.

En otra vertiente, abunda también la 'sextorsión', por el que generalmente gente joven accede a enviar imágenes propias de contenido sexual o erótico a una tercera persona que acaba chantajeándoles.

Insisten los agentes que lo principal es aplicar el sentido común y desconfiar de precios muy bajos o rentabilidades muy altas. Aconsejan también la comprobación de la autenticidad de una página web, «que es tan sencillo como hacer una búsqueda en la web». «Se están suplantando muchas páginas web de plataformas potentes de venta online, pero también internet nos facilita las herramientas para comprobar si esa URL (dirección) es la válida».

Aunque muchos casos se resuelven, el Equipo Arroba advierte de que la investigación es muy lenta porque exige pedir información a empresas que no siempre cuentan con personal suficiente o a países con otra legislación. Por eso su consejo es acudir a las formaciones de prevención.