Familiarízate con ciberseguridad, clave para combatir fraudes electrónicos · Noticias Jurídicas

Rubén M. Mateo.- Obtener información y quedarse con nuestro dinero. El fin sigue siendo el mismo, aunque el perfil de los ciberdelincuentes ha cambiado en los últimos años. Ya no les hace falta tener un nivel elevado de conocimiento en informática, les basta con comprar un software malicioso a otros para perpetrar sus ataques. Y es que la ciberdelincuencia opera ya como una empresa que comercializa. Su capacidad para robar mediante técnicas habituales como enlaces fraudulentos por correo electrónico, pero también de conseguir nuestra información y presentar la declaración de la renta para que salga a devolver. Hola claro. Ante estas amenazas, familiarizarse con la ciberseguridad es importante para los clientes y las entidades.

«La empresa que hoy no considera clave la ciberseguridad un serio problema de competitividad en su negocio», aseguró Gustavo Lozano, CISO de la entidad bancaria ING, durante «Ciberfraudes», el nuevo webinario del «Ciclo de encuentros digitales sobre transparencia y educación financiera», patrocinado por ASNEF con la colaboración de LA LEY.

Durante el encuentro digital, celebrado este 25 de abril y presentado por Ignacio Pla, secretario general de ASNEF, y moderado por Javier Muñoz, director de Operaciones y Tecnología de Sabadell Consumer Finance SAU, expertos del sector de la ciberseguridad y de la policía analizaron, desde desde un punto de vista de prevención y actuación de las autoridades, los delitos ciberdelictivos, en especial los relacionados con los fraudes.

«Con la pandemia se ha acrecentado todavía más. Muchos delincuentes se han pasado del ámbito físico al campo online porque se esconden tras el anonimato y les venden el producto que necesitan para realizar los ataques. Al final es un negocio que cada vez está más en auge, por desgracia para nosotros» subrayó Diego Alejandro, Inspector Jefe y Jefe de Sección de fraude en el comercio electrónico de la Unidad Central de Ciberdelincuencia de la Policía Nacional.

«Los ciberdelincuentes son personas cada vez menos preparadas en la informática porque con poco esfuerzo pueden generar mucho beneficio. ser también ciberdelincuentes», advirtió Víctor Calleja, Inspector y Jefe de Grupo de Fraud en el uso de las telecomunicaciones, de la Unidad Central de Ciberdelincuencia de la Policia Nacional.

Los expertos trataron algunas de las técnicas más habitables que emplean los ciberdelincuentes para operar. Entre ellos hay phishing. «Es el envío de una información vía email con un asunto, contenido o enlace malicioso que nos lleva, en el caso financiero, a una página que trata de simular y duplicar a las entidades financieras para capturar información y luego tratar de realizar transacciones de formación fraudulenta”, explicó Lozano, de ING, para exponer otros conceptos como el smishing –estafas por SMS–; el vishing –estafas por voz–; o el spoofing –usurpar una identidad electrónica para ocultar la propia identidad para cometer los delitos–.

En el caso del phishing, lo más habitual es que los mensajes se personalicen con detalles de información pública de la víctima con el objeto de aumentar la credibilidad y que sea un clic en el enlace o la descarga de archivos maliciosos. Y es que los ciberdelincuentes son casi siempre expertos en ingeniería social y en hackear la psicología humana con técnicas como la mentira, el miedo o la urencia para que las víctimas revelen información, tanto personal como de las empresas para las que trabajan.

La última edición para Europa y Oriente Medio del informe anual «State of the Phish» de Proofpoint, correspondiente a 2023, trajo algunos datos interesantes en su edición española. Por ejemplo, que el 90% de las empresas encuestadas de nuestro paga experimentaron el año pasado un ataque de phishing a través del correo electrónico con éxito. De estas, el 24% tuvo pérdidas económicas, lo que supuso un aumento significativo con las reveladas en 2021 por el mismo estudio, que fueron del 9%.

El informa alerta de la gran amenaza que supone el ransomware –software malicioso que cifra los datos a cambio de un rescate económico–. El 89% de las empresas españolas consultadas sufrió un ataque de ransomware en 2022, del cual el 72% triunfó. Solo la mitad de las empresas damnificadas lograron recuperar sus datos después de realizar un pago inicial.

Una realidad, la del ransomware, que da tanto en el ámbito particular como en el empresarial. La extorsión a entidades es una de las acciones preferidas de los ciberdelincuentes. Cuando está realizando un atentado de estas características contra un empresario que ha tenido la costumbre de la “cuádruple extorsión”, detalló el Jefe de Sección de Fraude en el Comercio Electrónico de la Unidad Central de Ciberdelincuencia de la Policía Nacional, Diego Alejandro.

Primero se produce la extorsión para desbloquear el sistema, es decir, desbloquear la información. Una segunda extorsión se dedica a la no financiación de los datos que obtuvo de la empresa y que podrían generar un perjuicio a nivel de reputación. La tercera consiste en contactar con los clientes de los cuales se han extraído datos y luego existen una cuarta. «Venden la vulnerabilidad con la que han accedido a ese sistema a terceras personas para que puedan realizar el ataque de la misma forma. Es preocupante porque entramos en una rueda complicada de resolver. Los hackers están transportando productos o información para hacer este tipo de ataques . Funcionan como auténticas empresas. Invierten en nuevas tecnologías para continuar con su actividad adlictiva», advirtió Alejandro. El Inspector y Jefe de Grupo de Fraude en el uso de las telecomunicaciones de la Unidad Central de Ciberdelincuencia de la Policía Nacional, Víctor Calleja, aseguró durante el webinario que pagar esa extorsión no garantiza que vayan a ofrecerte el desbloqueo, por lo que, ante todo, lo mejor es no negociar con delincuentes y denunciar la situacion.

Las autoridades policiales expusieron algunos ejemplos de técnicas que usan los ciberdelincuentes en el terreno del comercio electrónico. Suelen crea webs de ficción para vender un producto hipotético. Muchas veces, no solo emulan o clonan las webs de otras empresas, sino que toman los datos de empresas a nivel físico y generan una web para valerse de ese prestigio de la tienda. También pagan motores de búsqueda para situar estas webs fraudulentas por encima de las páginas reales. Las autoridades policiales también registran incidencias sobre anuncios inmobiliarios y falsas ofertas de empleo.

«La finalidad es obtener datos de las posibles víctimas y materializar el fraude. Algunas veces los datos que consiguen, como identidad, documentos o la declaración de la renta, tienen compriso el objetivo de formalizar contratos de alquiler. Utilizan esas identidades para insertar anuncios o presentar la declaración de la renta a su beneficio particular. Nos encontramos también muchas veces con compras de productos debido a la usurpación de tarjetas», explicó Diego Alejandro, para señalar uno de los temas que más le preocupa. “Se aprovechan de las personas que necesitan amor, a las que estafan grandes cantidades de dinero.

Las líneas de tarifación adicional también suponen un gran negocio para los delincuentes. Se trata de los conocidos como 902 o 807. «Lo que hacen es el hackeo a las centralitas y realizan de manera automática llamadas a números que están en pays normalmente fuera de la UE y que son poco colaborativos», explicó Calleja, que puso el ejemplo de algunos casos que ofrecen gestión de archivos de morosidad. Las personas que llamaron con la esperanza de obtener ese servicio finalmente no lo recibieron. «Parecen increíbles este tipo de litos, pero hemos visto dos operaciones que en una se han levado 2 millones de euros en beneficios y en otra, 6 millones de euros», aseguró Calleja.

Todas estas amenazas demuestran la necesidad de que las entidades sigan reforzando su seguridad y avancen en la conciencia. Según el informe citado «State of the Phish» de 2023, apenas el 46% de las españolas analizadas incluye a todos sus empleados en las acciones de formación en ciberseguridad. Asimismo, solo el 48% realiza simulacros de phishing.

Como CISO de ING, Gustavo Lozano, consideró que la ciberseguridad es clave para la competitividad de las empresas. «No queremos asustar. Queremos un rol activo e instructivo en cuanto a la formación para que con conocimiento puedan evitarse las amenazas que hoy existen», aseguró durante el webinario, además de ofrecer algunos consejos para tegerse.

«Hay que insister en la confianza en las apps bancarias. Si un cliente no tiene una transacción, no usa la aplicación y recibe un SMS fuera de esa aplicación, ¿por qué contesta? personal o financiera, ¿por qué se facilita si no están usando la app financiera? Las aplicaciones financieras. Hay que dar un mensaje tranquilizador de las apps bancarias. Pasan todo tipo de controles», insistió Lozano quien recomendó usar biometría en todos los dispositivos.

Ante cualquier caso de fraude, subrayaron las autoridades policiales, lo primero es no tener miedo a denunciar. «Sin, víctima no hay delito. Es fundamental la denuncia inicial y que aporte la máxima información posible», dijo Calleja, que apoyaronse en la comunidad de internet, leyendo reseñas o experiencias de usuarios que han probado los servicios. La denuncia es clave, ya que como comentó Diego Alejandro, los delincuentes pueden usar esa identidad de la víctima para perpetrar delitos a sunum. La policía recibe más de 1.000 comunicaciones diarias de ciudadanos, aunque estas no sirven de denuncia.

La cooperación internacional, señalóon los policías, es fundamental cuando se trata de fraude. La lucha de las autoridades se debe abarcar desde tres diferentes puntos, se señalaron. A nivel político, con la regulación específica que permita armonizar más la legislación de todos los países para perseguir los delitos de una manera más natural y transnacional. A nivel policial, participación de instituciones públicas como Europol, Interpol y la colaboración de acuerdos multilaterales. Y a nivel judicial, participando en las investigaciones y potenciando los recursos internacionales.