Por Rubén M. Mateo.- Obtener información y quedarse con nuestro dinero. El fin sigue siendo el mismo, aunque el perfil de los ciberdelincuentes ha cambiado en los últimos años. Ya no les hace falta tener un elevado nivel de conocimiento en informática, les basta con comprar un software malicioso a otros para perpetrar sus ataques. Y es que la ciberdelincuencia opera ya como una empresa que comercializa. Son capaces de robar mediante técnicas habituales como enlaces fraudulentos por email, pero también de conseguir nuestra información y presentar la declaración de la renta para que les salga a devolver. A ellos, claro. Ante estas amenazas, familiarizarse con la ciberseguridad es importante para los clientes y las entidades.
«La empresa que hoy no considere clave la ciberseguridad tiene un serio problema de competitividad en su negocio», aseguró Gustavo Lozano, CISO de la entidad bancaria ING, durante «Ciberfraudes», el nuevo webinario del «Ciclo de encuentros digitales sobre transparencia y educación financiera», patrocinado por ASNEF con la colaboración de LA LEY, cuya grabación íntegra puede consultarse en este enlace.
Durante el encuentro digital, celebrado este 25 de abril y presentado por Ignacio Pla, Secretario General de ASNEF, y moderado por Javier Muñoz, Director de Operaciones y Tecnología de Sabadell Consumer Finance S.A.U, expertos del sector de la ciberseguridad y de la policía analizaron, desde un punto de vista de prevención y actuación de las autoridades, los delitos cibernéticos, en especial los relacionados con los fraudes.
«Con la pandemia se ha acrecentado todavía más. Muchos delincuentes se han pasado del ámbito físico al campo online porque se esconden tras el anonimato y les venden el producto que necesitan para realizar los ataques. Al final es un negocio que cada vez está más en auge, por desgracia para nosotros» subrayó Diego Alejandro, Inspector Jefe y Jefe de Sección de fraude en el comercio electrónico de la Unidad Central de Ciberdelincuencia de la Policía Nacional.
«Los ciberdelincuentes son personas cada vez menos preparadas en la informática porque con poco esfuerzo pueden generar mucho beneficio. A medida que han pasado los años, estos han ido desarrollando sistemas para comercializar el software malicioso de tal manera que muchas personas con menos conocimientos técnicos puedan ser también ciberdelincuentes», advirtió Víctor Calleja, Inspector y Jefe de Grupo de fraude en el uso de las telecomunicaciones, de la Unidad Central de Ciberdelincuencia de la Policía Nacional.
Los expertos trataron algunas de las técnicas más habituales que emplean los ciberdelincuentes para operar. Entre ellas se encuentra el phishing. «Es el envío de una información vía email con un asunto, contenido o enlace malicioso que nos lleva, en el caso financiero, a una página que trata de simular y duplicar a las entidades financieras para capturar información y luego tratar de realizar transacciones de forma fraudulenta», explicó Lozano, de ING, para exponer otros conceptos como el smishing –estafas por SMS–; el vishing –estafas por voz–; o el spoofing –usurpar una identidad electrónica para ocultar la propia identidad para cometer los delitos–.
En el caso del phishing, el más común, los mensajes se personalizan con detalles de información pública de la víctima con el objetivo de aumentar la credibilidad y que éste haga clic en el enlace o descargue archivos maliciosos. Y es que los ciberdelincuentes son casi siempre expertos en ingeniería social y en hackear la psicología humana con técnicas como la mentira, el miedo o la urgencia para que las víctimas revelen información, tanto personal como de las empresas para las que trabajan.
La última edición para Europa y Oriente Medio del informe anual «State of the Phish» de Proofpoint, correspondiente a 2023, aporta algunos datos interesantes en su edición española. Por ejemplo, que el 90% de las empresas encuestadas de nuestro país experimentaron el pasado año un ataque de phishing a través del correo electrónico con éxito. De estas, el 24% registró pérdidas económicas, lo que supone un aumento significativo con las reveladas en 2021 por el mismo estudio, que fueron del 9%.
El informe alerta de la gran amenaza que supone el ransomware–software malicioso que cifra los datos a cambio de un rescate económico–. El 89% de las empresas españolas consultadas sufrió un intento de ataque de ransomware en 2022, del cual el 72% triunfó. Solo la mitad de las empresas damnificadas lograron recuperar sus datos después de realizar un pago inicial.
Una realidad, la del ransomware, que se da tanto en el ámbito particular como en el empresarial. La extorsión a entidades es una de las acciones preferidas de los ciberdelincuentes. Cuando se produce un ataque de estas características a una empresa puede haber hasta «una cuádruple extorsión», detalla el Jefe de Sección de fraude en el comercio electrónico de la Unidad Central de Ciberdelincuencia de la Policía Nacional, Diego Alejandro.
Primero se produce la extorsión para desbloquear el sistema, es decir, desbloquear la información. Una segunda extorsión está dedicada a no difundir los datos que han obtenido de la empresa y que pueden generar un perjuicio a nivel de reputación. La tercera consiste en contactar con los clientes de los cuales se han extraído datos y luego existe una cuarta. «Venden la vulnerabilidad con la que han accedido a ese sistema a terceras personas para que puedan realizar el ataque de la misma forma. Es preocupante porque entramos en una rueda complicada de resolver. Los hackers están vendiendo productos o información para hacer este tipo de ataques. Funcionan como auténticas empresas. Invierten en nuevas tecnologías para continuar con su actividad delictiva», advierte Alejandro. El Inspector y Jefe de Grupo de fraude en el uso de las telecomunicaciones de la Unidad Central de Ciberdelincuencia de la Policía Nacional, Víctor Calleja, aseguró durante el webinario que pagar esa extorsión no garantiza que vayan a ofrecerte el desbloqueo, por lo que, ante todo, lo mejor es no negociar con delincuentes y denunciar la situación.
Las autoridades policiales expusieron algunos ejemplos de técnicas que usan los ciberdelincuentes en el terreno del comercio electrónico. Suelen crear webs ficticias para vender un hipotético producto. Muchas veces, no solo emulan o clonan las webs de otras empresas, sino que toman los datos de empresas a nivel físico y generan una web para valerse de ese prestigio de la tienda. También pagan motores de búsqueda para situar estas webs fraudulentas por encima de las páginas reales. Las autoridades policiales también registran incidencias sobre anuncios inmobiliarios y falsas ofertas de empleo.
«La finalidad es obtener datos de las potenciales víctimas y materializar el fraude. Algunas veces los datos que consiguen, como identidad, documentos o la declaración de la renta, tienen incluso el objetivo de formalizar contratos de alquiler. Utilizan esas identidades para insertar anuncios o presentar la declaración de la renta a su beneficio particular. Nos encontramos también muchas veces con compras de productos debido a la usurpación de tarjetas», explicó Diego Alejandro, para señalar uno de los temas que más le preocupa. «Se aprovechan de las personas que necesitan amor, a las que estafan grandes cantidades de dinero. Encima luego tienen una vergüenza tremenda de denunciar porque se han enamorado perdidamente del estafador», subrayó.
Las líneas de tarificación adicional también suponen un gran negocio para los delincuentes. Se trata de los conocidos como 902 o 807. «Lo que hacen es el hackeo a las centralitas y realizan de manera automática llamadas a números que están en países normalmente fuera de la UE y que son poco colaborativos», explicó Calleja, que puso el ejemplo de algunos casos que ofertaban gestión de archivos de morosidad. Las personas que llamaban con la esperanza de obtener ese servicio finalmente no lo recibían. «Parecen increíbles este tipo de delitos, pero hemos visto dos operaciones que en una se han llevado 2 millones de euros en beneficios y en otra, 6 millones de euros», aseguró Calleja.
Denunciar y concienciar
Todas estas amenazas manifiestan la necesidad de que las entidades sigan reforzando su seguridad y avancen en la concienciación. Según el informe citado «State of the Phish» de 2023, apenas el 46% de las empresas españolas analizadas incluye a todos sus empleados en las acciones de formación en ciberseguridad. Asimismo, solo el 48% realiza simulacros de phishing.
Como señaló el CISO de ING, Gustavo Lozano, considerar la ciberseguridad es clave para la competitividad de las empresas. «No queremos asustar. Queremos un rol activo e instructivo en cuanto a la formación para que con conocimiento puedan evitarse las amenazas que hoy existen», aseguró durante el webinario, además de ofrecer algunos consejos para protegerse.
«Hay que insistir en la confianza en las apps bancarias. Si un cliente no está haciendo una transacción, no usa la app y recibe un SMS fuera de esa app, ¿por qué contesta? Si recibe una llamada donde se le pide información de carácter personal o financiera, ¿por qué se facilita si no están utilizando la app financiera? Nos debemos alejar, las entidades y los clientes, de tecnologías obsoletas como el SMS. Confiemos en los mensajes de la app. El cliente tiene que ser responsable y utilizar las aplicaciones financieras. Hay que dar un mensaje tranquilizador de las app bancarias. Pasan todo tipo de controles», insistió Lozano quién recomendó utilizar la biometría en todos los dispositivos.
Ante cualquier caso de fraude, subrayaron las autoridades policiales, lo primero es no tener miedo a denunciar. «Sin, víctima no hay delito. Es fundamental la denuncia inicial y que aporte la máxima información posible», dijo Calleja, que recomendó apoyarse en la comunidad de internet, leyendo reseñas o experiencias de usuarios que hayan probado los servicios. La denuncia es clave, ya que como comentó Diego Alejandro, los delincuentes pueden usar esa identidad de la víctima para perpetrar delitos a su nombre. La policía recibe más de 1.000 comunicaciones diarias de ciudadanos, aunque estas no sirvan de denuncia.
La cooperación internacional, señalaron los policías, es fundamental cuando se ha cometido un fraude. La lucha de las autoridades se debe abarcar desde tres puntos diferentes, señalaron. A nivel político, con la regulación específica que permita armonizar más la legislación de todos los países para perseguir los delitos de una manera más natural y transnacional. A nivel policial, participando de las instituciones públicas como Europol, Interpol y con la colaboración de convenios multilaterales. Y a nivel judicial, participando en las investigaciones y potenciando los recursos internacionales.
Puedes acceder a la grabación íntegra de la jornada en este enlace.