Actualitat

Les ciberestafes creixen i muten: suplantació (spoofing), pesca (phishing) i altres maneres virtuals de defraudar

NOTÍCIES

21/02/2024

Les demandes per aquest tipus d’estafes pugen. Governs, bancs i usuaris estan en alerta per frenar-les. Es poden recuperar els estalvis perduts?

L’enllaç semblava tan real que era impossible que fos fals. Esperava un enviament de paqueteria i vaig rebre l’enllaç de seguiment, és clar que vaig pensar que era vàlid! No ho era, però només se’n va adonar una hora després, quan va anar a pagar amb la seva targeta de crèdit i no funcionava. No hi havia fons. Algú li havia tret del seu compte i no se n’havia adonat. La història de Carlos [que prefereix que fem servir un nom fictici] li serà familiar a moltes persones. La seva, com la que va explicar en Miguel Ángel a les pàgines d’aquest diari, és una més de les moltes ciberestafes que han proliferat a l’àmbit financer i econòmic en els últims temps. Suplantació (spoofing), pesca (phishing), pesca per SMS (smishing), pesca per veu (vishing)… les seves maneres són tan mutants que gairebé no hi ha temps d’aprendre’s els noms i els seus significats. Les entitats bancàries, els supervisors, les telecos i, fins i tot, el mateix Govern espanyol han posat fil a l’agulla, però sembla que els ciberdelinqüents sempre van un pas endavant.

“Durant l’any s’han mantingut les reclamacions més o menys estables, però en aquest últim trimestre hem notat un increment considerable dels casos de suplantació”, admeten des d’una entitat bancària a Espanya. La suplantació és una manera de suplantació electrònica de la identitat que permet que el delinqüent obtingui les dades rellevants de la víctima i es faci passar per un remitent oficial -per exemple, el banc ING com va passar en el cas d’en Miguel Ángel- i fer-los servir per apoderar-se dels seus estalvis. Una mica més d’11.000 euros en total.

Les demandes per aquest tipus d’estafes van en augment. D’acord amb les darreres dades disponibles del Banc d’Espanya, les reclamacions per frau dels clients davant del regulador es van duplicar el 2022, i van passar de 4.955 a 10.361, un 109 % més. “Del total de les 34.146 reclamacions rebudes en aquest exercici, 10.361 han estat motivades per operacions de pagament efectuades amb targeta o per transferència via Internet (amb les quals l’usuari no està conforme, per la qual cosa en sol·licita la retrocessió). Es tracta de casos en què els ciutadans no reconeixen haver donat la seva autorització a determinades operacions o afirmen haver-les fet mentre eren víctimes d’engany (frau, estafa…)”, explica la Memoria de Reclamaciones 2022 del supervisor.

Darrere d’aquesta evolució hi ha diversos factors: una manca de coneixement per part dels usuaris, una part d’indefensió de clients i entitats, i també una sofisticació creixent dels fraus financers. “Tot i que l’educació financera avui és més gran, la realitat és que la informació no penetra en el públic en general. A més a més, hi ha un factor psicològic: els afectats per aquest tipus d’estafes entren en pànic quan els diuen que els seus diners estan en risc, i per això no dubten a utilitzar les credencials i les dades en el moment en què els ho demanen, encara que això suposi quedar desprotegits. Hi ha molta aparença de credibilitat en el relat dels estafadors, i és molt difícil distingir les seves veritables intencions en qüestió de segons”, explica Marisa Protomártir, responsable jurídica de l’Associació d’Usuaris Financers (Asufin).

Fins i tot els advertiments de les entitats són insuficients. Qui no ha rebut un missatge del seu banc advertint que mai no trucaran per demanar la teva clau d’accés o codis SMS per autoritzar operacions? “Si reps una trucada així, es tracta d’un frau. No facilitis les teves dades”, avisa una de les alertes del BBVA als seus clients.

“A BBVA, els riscos de ciberestafes els cobrim treballant en dos plànols: en el tecnològic, ens esforcem a mantenir-nos a l’avantguarda en l’adopció de mesures de seguretat que protegeixen la nostra app i la nostra banca per Internet. I l’humà, en què tractem de conscienciar i formar a tots els clients en conductes segures que els mantinguin fora del perill d’aquesta mena de delictes. Això ho fem per vies diverses: missatges a l’app, campanyes de mailing, xarxes socials”, explica  Sergio Fidalgo, CSO Global i CISO Global de BBVA. L’entitat ha desenvolupat el concepte de “seguretat encastada”, que implica que tot el plantejament tecnològic s’ha dut a terme pensant en la ciberseguretat.  “Aquest model s’ha anat adaptant a l’evolució dels ciberatacs i de la tecnologia, per assegurar una cobertura adequada dels riscos”, comenta Fidalgo.

La ciberseguretat s’ha convertit en un dels eixos sobre els quals pivota el sector, sovint en el focus per l’increment dels casos i els dubtes que suscita.  “Els bancs són segurs. Per a totes les entitats que formem part del sector financer espanyol, la protecció dels nostres clients enfront dels ciberdelictes és una prioritat absoluta. Hi duem a terme campanyes constants de conscienciació sobre els riscos que hi ha sota Internet, i d’aquesta manera complementem la seguretat que ofereix la banca digital”, apunten des d’ING sobre la seva manera d’enfocar aquesta qüestió.

ES RECUPEREN ELS DINERS?

Una vegada consumat el ciberfrau, la preocupació dels usuaris s’adreça a recuperar els diners perduts i això no sempre és possible ni fàcil. La primera recomanació que planteja Protomártir, d’Asufin, és no fer cap moviment amb els diners, encara que a l’altra costat del telèfon o del correu electrònic ens diguin que els nostres estalvis estan compromesos. Res. Quietud. “Tenir mans de diamant, com diuen a la pel·lícula Cop a Wall Street“, assegura l’experta. La normativa obliga els bancs a reemborsar les operacions no autoritzades que s’hagin produït al seu compte. “Si el client no mou els diners i aquests acaben desapareixent a conseqüència del ciberfrau, és més probable aconseguir que el banc li retorni perquè nosaltres no hi hem intercedit, no ha estat la nostra responsabilitat. Tanmateix, si fem alguna cosa, una transferència o un traspàs, per exemple, el banc es pot acollir a la nostra intervenció per no tornar els diners desapareguts”, explica. Un altre dels seus consells és limitar els imports de les transferències i els Bizum per establir una espècie de tallafocs.

Sovint, les entitats van per darrere dels defraudadors. La ciberseguretat s’ha convertit en una de les preocupacions principals dels bancs i dels supervisors com ara el BCE, que treballa plegat amb ells per tal d’optimitzar protocols o prevenir atacs. “Disposem de tecnologies de reconeixement facial, autenticitat documental i biometria del comportament entre d’altres, que ens ajuden a detectar que són realment els nostres clients els qui interactuen amb nosaltres, i no casos potencials de frau”, expliquen des d’Openbank. En el banc afirmen que un dels seus reptes actuals és detectar no només quan un ciberdelinqüent és qui està operant en nom del client, sinó quan és el mateix client qui opera, però ho està fent subjecte a engany.

Malgrat el seu caràcter exclusivament digital, l’empresa no creu que hi hagi diferències entre la banca digital i la banca tradicional pel que fa a l’exposició als ciberdelinqüents. “És un risc global i no distingeix entre bancs. Les víctimes potencials estan a totes les entitats, però també a les companyies telefòniques, empreses elèctriques… En el cas d’Openbank, com a part de l’equip global de ciberseguretat del Grup Santander, la suma de les capacitats de tots els països ens permet afrontar-ho amb uns recursos i una especialització diferencial”, expliquen.

“Els bancs solen ser les entitats amb un nivell més gran de maduresa i adopció de serveis de protecció i prevenció davant de problemes de seguretat. Els protocols i mesures, en general, solen ser bastant avançats i estan en una disposició raonablement bona, però sí que és cert que els ciberdelinqüents estan buscant contínuament la manera de vulnerar aquestes mesures”, assenyala en Néstor Carriba director de Canals i Aliances d’Aiuken, una empresa internacional especialitzada en ciberseguretat. “La manera més habitual d’aconseguir-ho no és només saltant-se la seguretat a través de vulnerabilitats en els sistemes, sinó fer servir accions d’enginyeria social per obtenir la manera de saltar-se aquests sistemes de seguretat”, afegeix.

El BCE prepara un test d’estrès a diverses entitats europees per avaluar la seva resposta enfront de possibles ciberatacs. Es tracta de comprovar la resiliència operativa de les entitats. L’adopció de mesures de protecció és una constant a totes les entitats bancàries, però, així i tot, sempre hi ha coses a fer. “Implantar serveis de visibilitat i modelatge de superfície d’atac a les empreses per identificar tots els actius connectats a la infraestructura del client i eliminar les rutes per accedir als actius més crítics, instal·lar serveis continuats de detecció de vulnerabilitats i conscienciar correctament els usuaris” en són algunes, segons Carriba.

El Ministeri per a la Transformació Digital espanyol, els bancs i les empreses de telecomunicacions del país estan treballant de manera conjunta per buscar les solucions que permetin posar límits als atacs d’aquesta mena, però al sector hi ha un cert convenciment que ni tan sols això serà suficient per frenar les estafes de caràcter virtual. “S’inventaran altres varietats”, diuen resignats. “Al Japó, de fet, hi ha operacions que només es poden fer de manera presencial”, adverteix Marisa Protomártir, d’Asufin. Com si la solució, al cap i a la fi, fos tornar al més bàsic i analògic.

Llegiu la notícia original al seu lloc web oficial fent clic en aquest mateix enllaç