Casi 1 de cada 2 españoles asegura haber sufrido una estafa o intento de estafa en el último año según el Centro de Investigaciones Sociológicas (CIS). Las que más nos preocupan son las que sufrimos por Internet y es que 6 de cada 10 usuarios reconoce tener poco o ningún conocimiento sobre seguridad y cómo protegerse online de este creciente riesgo. Son precisamente las ciberestafas las que más aumentan, un 500 por ciento en los últimos años y, según los expertos consultados por COPE, son cada vez más sofisticadas.

Solo en 2023 se produjeron 423.349 estafas informáticas en nuestro país, según el último balance de criminalidad del Ministerio del Interior. Crecieron un 27 por ciento con respecto a 2022 y copan 9 de cada 10 ciberdelitos cometidos en nuestro país. Los datos oficiales hablan por sí solos: hace 8 años, en 2016, las estafas online apenas superaban los 70.000 casos. Hoy tenemos 6 veces más casos.

A Margarida le ha supuesto perder una parte importante de sus ahorros. Su hija vendía en un portal de compraventa de segunda mano un artículo por 150 euros. Le pidieron hacer el pago por Bizum y al no disponer de este medio de pago recurrió a sus padres. Llevan casi 2 años tratando de recuperar el dinero estafado, una auténtica pesadilla que siguen confiando se resuelva positivamente.

“Nos llamaron y nos enviaron un enlace. Al abrirlo aparecía una ventana exactamente igual a la de nuestro banco. Cuando marido introdujo las claves para hacer el pago nos llegó un mensaje de alerta de nuestro entidad por la retirada de una importante suma de dinero que no coincidía con la del bizum de nuestra hija. Un minuto después de enviar el mensaje confirmando que no era él el que intentaba entrar en la aplicación, nos habían retirado ya 10.000 euros de la cuenta. El banco la bloqueó, pero ya era tarde y no hemos vuelto a ver el dinero” explica a COPE Margarida.

Otras 115 personas fueron víctimas de esta misma estafa, lamenta Margarida que ha puesto su caso en manos de un abogado.

Estafas por pasos: hacen que los usuarios se confíen

Los ciberataques son ya una quinta parte de todas las infracciones penales que se cometen en España, según los datos del Ministerio del Interior. Alcanzaron los 470.388 casos en 2023, 100.000 más que el año anterior. Y según los expertos consultados por COPE, las estafas a las que someten -tanto a particulares como a empresas- son cada vez más creíbles.

“No es en el primer paso en el que te piden el dinero que es lo que te hace sospechar sino que a lo mejor te lo solicitan en el segundo o en el tercero después de haber hecho varias operaciones con total normalidad o de haber pasado por varias web y este proceso hace que estés un poco más confiado”, explica a COPE Eusebio Nieva, director técnico de Check Point Software https://www.checkpoint.com/es/ para España y Portugal.

Este procedimiento lo usan con diferentes ganchos para hacernos picar, una comunicación de nuestro banco con un avisándonos de que ha habido un movimiento sospechoso y que debemos transferir nuestro dinero a una cuenta segura o un falso hijo en apuros. Hay infinidad de variantes, por ejemplo, ahora que estamos en plena campaña de renta.

“A mis padres les llegó un mensaje que tenían una devolución de Hacienda, generaron un documento muy creíble y con una dirección muy parecida a la de AEAT, que es la de la Agencia Tributaria, y les preguntaron si estaban conformes. Y si no tienes cuidado y pinchas es cuando te redirige a otra página web en la que ya te piden que pongas tu número de tarjeta para que te hagan el ingreso y es aquí donde se quedan con tus datos para operar con ellos”, señala Nieva.

El perito ingiero informático Carlos Aldama explica otro modus operandi: “recibes por ejemplo una comunicación diciendo que tu hijo ha perdido el teléfono y con unos enlaces para comprarle otro con el que sustituirlo que te lleva a páginas web que parecen auténticas y en las que metes los datos de tu tarjeta que los estafadores guardan para hacer otros usos”.

Lo que debemos hacer en estos casos, subraya este experto, es “tirar de lógica; si alguien te está diciendo que le han robado el móvil a tu hijo o que un familiar necesita un ingreso urgente de dinero, lo más lógico es llamarles y comprobar si es así. También es necesario verificar la dirección de los enlaces a los que nos llevan y, por su puesto, desconfiar al máximo si te piden tu tarjeta de crédito”.

En particulares, la estafa online más común es el phishing (que se hace por mail), seguido del smishing (vía sms) o del vishing (por medio de una llamada telefónica) y ahora también mediante mensajes en redes sociales. La mayoría proceden de supuestas entidades públicas como la Seguridad Social o la Agencia Tributaria, de entidades bancarias o por el auge de las ventas online, por servicios de Correos y paquetería. Pero en la empresa de ciberseguridad Proofpoint apuntan que la estafa del hijo en apuros aumentó en todo el mundo un 318 por ciento en 2023.

Te persuaden para que realices una acción que permite al estafador acceder a tu dispositivo, cuentas o información personal. Al hacerse pasar por una persona u organización en la que confías, pueden infectarte más fácilmente con un malware o robar la información de tu tarjeta de crédito. Te instan a abrir un archivo adjunto, seguir un enlace, rellenar un formulario o responder con información personal. Y en pocos segundos puedes haber caído en la trampa.

El ransomware y el timo del CEO, el mayor riesgo para las empresas

Aunque hay muy distintos tipos de ciberataques, el más frecuente de los que se cometen contra las empresas sigue siendo el ransomware que consiste en acceder a los datos sensibles de una compañía y pedirle un rescate por recuperarlos.

Aunque en volumen no sean tantos los casos en dinero estafado los expertos con los que hemos hablado destacan el fraude del CEO. El objetivo aquí es engañar a empleados que tienen acceso a los recursos económicos para que paguen una factura falsa o hagan una transferencia desde la cuenta de la compañía. Un estafador llama o envía correos electrónicos en el que se hace pasar por un alto cargo de la compañía, por ejemplo el Director General.

Los métodos, afirma Nieva, también están cambiando y si antes lo habitual era enviar un de correo electrónico, ahora a esto se suman las que se llevan a cabo mediante el uso de llamadas o incluso de vídeollamadas, utilizando para ello la Inteligencia Artificial para simular la voz del jefe o su imagen y su voz.

“El ramsonware es un ciberataque puro y en este caso hay más de timo, de engaño, de ingeniería social para hacer que pique la persona que interesa y en algunas ocasiones no es una única transferencia sino varias lo que consiguen. Son sumas muy importantes las estafadas con el timo del CEO o estafa BEC (del inglés business, email, compromise), de varios millones de euros”, subraya este experto en ciberseguridad.

Para llevar a cabo este tipo de estafas es preciso hacer previamente un seguimiento detallado de las rutinas y actividades del CEO. A veces pueden llegar incluso a instalar un malware que les permita tener acceso a sus correos para saber detalles personales, conocer el tono que emplea en sus mensajes... El objetivo no es otro que aprovechar el momento en el que realice un viaje de negocios, se vaya de vacaciones o cualquier otro acontecimiento que asegure la imposibilidad de comunicación directa entre el jefe y sus empleados, para poner en marcha la estafa.

Una vez llevado a cabo el timo y cuando el dinero ha sido transferido a la cuenta señalada por el estafador, los ciberdelincuentes actúan rápido y suelen ir retirándolo por fases, transformándolos en criptomonedas, una operación de la que a veces se encargan intermediarios a cambio de gratificaciones. La clave de esta estafa es cambiar el destino de los fondos.

El dinero estafado muy difícil de recuperar

“La probabilidad de recuperar el dinero no es alta, especialmente cuando estamos ante delincuentes profesionales tan organizados como las empresas a las que atacan. En algunos casos son grupos especializados y se uno de estos grupos se encargas solo de investigar y venden lo que tiene a otro grupo criminal para que ejecute la estafa”, afirma Nieva.

Este mismo tipo de estafa sirve además de para estafar dinero por medio de una transferencia urgente, según explica Aldama, para obtener también mediante engaño otros datos importantes de la compañía como contraseñas o claves. La urgencia del mensaje hace que el empleado no reflexione demasiado sobre lo extraño de la petición ni verifique el mail de procedencia y que termine enviando esa información.

“Lo que hacen durante un tiempo es ir engañando a las dos partes hasta que pasa el plazo en el que el banco puede retrotraer el dinero. Lo han ido perfeccionando todo y llegan incluso también a llamar a una de las partes para decirles que estén tranquilos que en un par de días van a recibir el pago cuando, en realidad, el pago ya se ha hecho y lo único que persiguen es que no levanten la liebre”, subraya el perito ingeniero informático.

En otros casos lo que hacen es interceptar los correos electrónicos entre por ejemplo una empresa y uno de sus proveedores que lleva adjunta una factura para sustituirla -antes de que la lea el destinatario- por otra idéntica salvo por el número de cuenta que editan para quedarse con el dinero.

Y si antes solían transferir el dinero a cuentas en el extranjero ahora utilizan cuentas de personas sin mucha actividad bancaria que previamente han hackeado y que van sacando y transformando en criptomonedas. También han refinado mucho en los últimos años el lenguaje que emplean para hacer que sus mensajes sean creíbles.

Para evitar este tipo de estafas “es obligatorio que las empresas tengan activado en su correo el sistema de doble autenticación. Este tipo de verificación puede ser molesta pero garantiza que quien va a acceder al sistema es alguien de dentro de la organización que tiene las credenciales para hacerlo. Así se evita el 95 por ciento de los problemas que hay ahora mismo”, señala Aldama.

Los expertos también recomiendan formar y sensibilizar a los empleados sobre este tipo de estafas por suplantación de la personalidad, tener unos buenos sistemas de seguridad informática y cambiar con regularidad los datos de acceso a las cuentas de la empresa.

¿Por qué es tan difícil encontrar a los delincuentes?

Hay que tener en cuenta que los proveedores de servicio operan a nivel mundial “pueden estar en cualquier sitio y se pueden contratar por la red” Pero además “hacen esta contratación como si fuera para fines lícitos, pero enmascarando el lugar desde donde se conectan (la IT), esto dificulta mucho la labor policial”. Es decir, resulta muy complicado saber desde que lugar, desde que país operan los ciberestafadores. Ese es el primer hándicap.

Pero hay más y, según nos cuenta el Jefe de la Sección de Fraude en el Comercio Electrónico de la Unidad Central de Ciberdelincuencia de la Policía Nacional, Diego Alejandro, “la cooperación internacional es cada vez más efectiva pero hay países que no están adscritos al Convenio de Budapest , a través del cual se puede hacer cualquier tipo de intercambio de información policial y judicial en casos determinados, y que no son colaboradores con lo que a veces se estancan las investigaciones y tenemos que recurrir a las comisiones rogatorias, que son bastante tediosas y que nos cuentan más tiempo, y muchas veces los países no colaboradores nos llegan a no contestar”.

Tras recurrir a la fiscalía e iniciar una campaña en Change.org, Margarida nos cuenta que no hay protocolos para atender este tipo de delitos. Las asociaciones de Consumidores no tienen competencia, el Banco de España solo puede comprobar que las entidades bancarias cumplan los protocolos, “pero no los hay para estos casos”. El caso es que la maraña legal hace “que a unos les resuelvan el caso y a otros no”.

¿Cómo podemos protegernos?

“Nadie da duros a pesetas, no hay que creer de primeras esas ofertas excesivamente beneficiosas que nos llegan”. Aconseja el inspector Jefe de la policía nacional que “cuando recibimos cualquier tipo de comunicación, tenemos que intentar comprobar la fuente, de dónde nos están mandando. Debemos tener en cuenta que nuestra entidad bancaria aunque nos mande un mensaje de texto nunca nos va a pedir que descarguemos un programa o que clickemos en un enlace, siempre nos va a decir que tenemos un mensaje en la aplicación”. En los correos electrónicos debemos mirar el origen “pasar el cursor por encima de donde aparece en el correo electrónico porque veremos quien nos lo envía de verdad”.

“Los engaños son cada vez más sofisticados”, reconoce Diego Alejandro, por eso nos piden que denunciemos siempre, porque “ además de hacer todo lo posible por identificar a las personas que están detrás de las estafas y conseguir que las víctimas recuperen su dinero, para nosotros es información muy importante que nos permite hacer un continuo trabajo de inteligencia, y a potenciar mecanismos de colaboración internacional”.