04.11.2023 - 21:40
A l’hora de llogar un habitatge turístic, en la contractació d’un viatge, fent una compra per internet o a les xarxes socials. Les estafes digitals són a tots els indrets i s’han convertit en el frau del segle XXI. La més coneguda sol ser el típic correu electrònic fraudulent amb enllaços sospitosos, però les estafes digitals han evolucionat moltíssim i això obliga els internautes a extremar les precaucions. La setmana passada vam parlar del nou frau a Booking, en què se suplanten les identitats d’hotels per estafar els hostes, que poden arribar a perdre grans quantitats de diners. Però hi ha molts més casos. Els Mossos d’Esquadra avisen que, el dia d’avui, el ciberdelicte és la tipologia delictiva que més creix i que els ciberdelinqüents aprofiten l’excés de curiositat i de confiança dels usuaris per estafar-los.
Els ciberdelinqüents estan com més va més organitzats. “Ara tenim grups de persones, organitzacions criminals, que es dediquen a delinquir a Catalunya i fora”, avisa el sergent dels Mossos David Romera. I afegeix: “Hem de deixar de banda la imatge d’un hacker a l’habitació. Tenim delinqüents que treballen organitzadament i que funcionen com una gran empresa. Tenen gent que es dedica a vendre programari maliciós i a muntar call centers per a estafar la gent.”
Amb aquesta situació, la Direcció General de la Policia va decidir de crear al març la nova Regió Policial Virtual, que farà funcions de policia comunitària en l’entorn virtual, mitjançant sistemes d’interrelació no presencials amb els ciutadans, i també de prevenció i persecució d’il·lícits, d’acord amb el decret del govern. De moment, aquesta regió no és operativa, però el cos espera d’activar-la aviat. Parlem amb el sergent Romera sobre la nova unitat –que és en fase de creixement–, les estafes digitals i alguns consells per a prevenir-les.
Estafes amb targetes bancàries, la més habitual
En l’àmbit virtual, el fet delictiu més habitual són les estafes a les targetes bancàries, segons els Mossos. Els ciberdelinqüents fan servir uns quants mètodes per a aconseguir les dades de l’usuari i d’aquesta manera obtenir-ne beneficis econòmics.
N’hi ha tres de molt populars: la pesca de credencials (coneguda com a phishing), que consisteix a suplantar la identitat d’una persona o una empresa i enviar un missatge per correu electrònic o per missatgeria instantània demanant la informació de la targeta de crèdit; el smishing, quan se sol·licita informació per un missatge SMS; i la pesca per veu (coneguda per vishing), que és la més complexa de totes i consisteix a perpetrar l’estafa amb una trucada de veu, tot suplantant la identitat d’una persona, empresa o organització.
“El que volen els ciberdelinqüents són els diners o les credencials, com ara les contrasenyes o el correu electrònics. Amb això poden atacar directament o vendre-les a grups criminals. Per això és tan important protegir-se. Si la ciutadania fos més ciberresilient, el nombre de fets delictius baixaria dràsticament”, recorda el sergent Romera. Insisteix en el fet que la majoria de les estafes es cometen pel factor humà. “Si la gent no cliqués els enllaços per curiositat, evitaríem molts casos. L’humà és curiós. Hi ha gent que clica enllaços de correus electrònics on li diuen que pot guanyar un milió d’euros”, afegeix.
L’estafa a Booking és una de les més recents, però els Mossos són partidaris de no focalitzar l’atenció en una empresa o marca, perquè fa que els usuaris abaixin la guàrdia i els ciberdelinqüents poden fer servir unes altres plataformes o suplantar la identitat d’uns altres organismes. La llista és molt extensa, però, a tall d’exemple, també ens podem trobar amb correus electrònics falsos de la policia –també suplantant la identitat dels Mossos– o de companys de feina, amb segrestos falsos o amb suposats familiars llunyans que contacten amb les víctimes per WhatsApp i els demanen diners. Sovint, són missatges que generen urgència i, per tant, insten la víctima a actuar ràpidament. Els ciberdelinqüents aprofiten precisament aquesta vulnerabilitat per enganyar-los. “Si no ho fas, tindràs repercussions o perdrà els diners, et diuen. Això fa que la gent estigui neguitosa”, comenta el sergent.
Els joves, els més vulnerables
Vivim en un món plenament digitalitzat, amb generacions que creixen envoltats de telèfons mòbils, ordinadors i tauletes. Tenim prou formació en ciberseguretat? El sergent distingeix la gent de les empreses. En el primer cas, destaca que el desconeixement ens pot fer víctimes, i diu que cal focalitzar l’atenció en els joves. “La manca d’experiència, la imprudència en aquestes edats i l’accés a la xarxa multipliquen els riscs”, explica. Per Romera, un consell bàsic és actualitzar el programari sempre que sigui possible: “Amb l’actualització, les aplicacions introdueixen pegats que corregeixen errades que permeten als hackers d’entrar al sistema.”
Quant a les empreses, els Mossos destaquen que les petites són les que acostumen a ser més atacades perquè són les que inverteixen menys en sistemes de ciberseguretat. Als ciberdelinqüents a vegades els surt més a compte atacar-les amb programari de segrest (conegut per ransomware), un mecanisme que s’ha fet servir unes quantes vegades al país. El cas més recent és el ciberatac de l’Hospital Clínic, en què l’empresa de cibercrim Ransom House van segrestar dades sanitàries.
Fer la ronda a la xarxa: com és la Regió Policial Virtual?
La Regió Policial Virtual té unes quantes funcions, com ara la prevenció d’actes il·lícits, atendre les víctimes mitjançant canals virtuals telemàtics, perseguir els fets delictius en entorns virtuals. Té un vessant de seguretat ciutadana i proximitat virtual, una àrea d’investigació i una oficina de suport. En paraules de Romera: “La idea és oferir el mateix dret a la seguretat que té la ciutadania en l’espai físic en el món virtual.”
Ara per ara, aquesta regió és constituïda per un equip petit que s’encarrega d’impulsar-la. Tot i que encara no està operativa, ja té definides la visió, la missió i l’estratègia. Quant a la proximitat virtual, el sergent diu que la intenció és arribar on és complicat físicament, com ara a la gent amb mobilitat reduïda o als pobles rurals. “L’objectiu és oferir un servei anàleg a la comissaria física”, explica. Quant a la investigació, se centrarà en els ciberdelictes. La policia catalana ja treballa amb ciberatacs. Però la nova unitat servirà per a focalitzar tota la intel·ligència en una única regió. L’objectiu és perseguir els crims en entorns digitals i la policia diu que no podrà actuar sola. “Tenim un ecosistema molt potent i ens hi hem de sostenir. Empreses privades com WhatsApp, de telefonia, de criptomonedes”, explica el sergent.
Hi ha una acció de la nova regió que crida l’atenció, la ronda virtual. En què consisteix, exactament? Romera vol evitar de donar pistes als ciberdelinqüents. “Això és una cursa. El delinqüent avança i la policia hi intenta d’arribar”, explica. Ara bé, diu que la idea és tenir presència en pàgines web, xarxes socials i portals de compra electrònics. “Podrem detectar comportaments fraudulents. Per exemple, en determinades èpoques de l’any, hi ha estafes en lloguers turístics. És ser en aquests llocs de manera presencial i virtual per veure què passa i poder actuar. I actuar amb el suport de l’autoritat judicial per aturar-ho”, comenta.
Experts en ciberseguretat com Bruno Pérez es queixen que encara no hi ha prou recursos per a combatre les estafes. Preguntat per aquesta qüestió, Romera respon: “Qualsevol que es dediqui a la gestió pública et dirà que els recursos sempre són escassos en relació amb les necessitats de la ciutadania. Hi ha múltiples necessitats i pocs recursos.” El sergent destaca que la Generalitat de Catalunya disposa d’uns quants serveis orientats a protegir persones, empreses i institucions, com ara l’Agència de Ciberseguretat de Catalunya, però diu que les empreses també hi haurien d’invertir més.
Cinc consells pràctics
Què podem fer per evitar de ser estafats i perdre diners? El sergent Romera dóna cinc consells útils.
1. Vigilar amb els clics. Els missatges fraudulents acostumen a suplantar identitats de gent o empreses i van acompanyats d’enllaços externs o documents adjunts que els ciberdelinqüents fan servir per cometre les estafes. Cal prestar-hi atenció i, en cas de dubte, contactar amb el remitent per un canal segur.
2. No caure en les presses ni les urgències. Els estafadors acostumen a pressionar els internautes perquè actuïn ràpidament, fent servir assumptes delicats i missatges intimidatoris que sovint apel·len els sentiments. “Si veus que et posen moltes presses i urgència, és molt probablement que sigui una estafa. Respira i pensa”, diu el sergent Romera. En el cas de l’estafa a Booking, per exemple, els estafadors instaven els hostes a verificar el mètode de pagament –facilitar les dades de la targeta bancària– per mantenir la reserva.
3. No fer pagaments ni comunicacions fora de la pàgina web oficial. Els estafadors acostumen a desviar els internautes a enllaços externs que no són segurs, i aquí és on es pot caure en el parany. No s’han de fer pagaments ni comunicacions fora de les pàgines web oficials. Els enllaços externs acostumen a plagiar l’estil i el logotip de la pàgina web oficial, i sovint creen una passarel·la de pagament que fan servir per extreure els diners dels comptes bancaris.
4. Fixar-se en la nomenclatura. Cal prestar atenció al missatge que es rep, el contingut i el llenguatge, ja que sovint és farcit de faltes d’ortografies i frases inconnexes fruit dels traductors automàtics. En cas de dubte, no s’ha de clicar cap enllaç ni descarregar cap document.
5.Contactar amb el remitent per unes altres vies. S’han de fer servir canals oficials i segurs per a contactar amb el remitent. És a dir, en cas de dubte, no s’han de fer servir els canals i telèfons que apareixen en la signatura del missatge.
Si som víctimes d’una estafa digital, Romera demana que es preservin els elements probatoris, amb una captura de pantalla o una captura tècnica de la capçalera del correu, que conté informació important del remitent. “Si no en som capaços, s’ha de lliurar els dispositius a la policia i permetre’n l’accés. I, evidentment, denunciar els fets.”
I els diners, es podran recuperar? És la pregunta més recurrent entre els estafats. El sergent deixa clar que tot això dependrà de les proves recollides i les tècniques forenses que s’apliquin als dispositius. Amb això podran saber el recorregut dels diners, fer-ne un seguiment i, en el millor dels casos, recuperar-los. I en aquest aspecte, destaca que la col·laboració amb la resta d’agents, com podria ser una unitat bancària que custodia diners de les criptomonedes, és cabdal. “Tot el temps que el ciutadà tarda a comunicar-ho a la policia és temps perdut, i a vegades és molt valuós. Com més aviat ens movem, més aviat recuperarem els actius”, explica el sergent.
