El pasado año se contabilizaron en España 336.778 estafas informáticas, casi cinco veces más que seis años antes, un alza que preocupa tanto como el cambio constante de los «modus operandi». No obstante, la estrella de estos engaños sigue siendo el «phishing», una técnica de ingeniera social que ya ha «diversificado» su forma de actuar.
Pero ¿cómo son estos engaños? Fuentes de la Unidad Técnica de la Policía Judicial (UTPJ) de la Guardia Civil relacionan a EFE las estafas informáticas que están proliferando ahora, a veces difíciles de encuadrar en un Código Penal que no puede adaptarse a la velocidad que lo hacen los «malos».
Las estrellas
Es el «phishing» la estrella. Se trata de una estafa que consiste en el envío de correos electrónicos de forma masiva e indiscriminada simulando ser una entidad «amiga», generalmente un banco, con el objetivo de robar a la víctima información privada.
Precisamente, el 59 por ciento de las estafas investigadas por la Guardia Civil en los últimos doce meses son por «phishing».
Pero lo que ahora están viendo los investigadores -y ya ha habido operaciones policiales en este sentido- es que los estafadores están cambiando el medio que utilizan para llegar al mayor número de víctimas posible.
Así, se están detectando más estafas por «smishing», es decir, a través de SMS, y por «vishing» (por teléfono). Incluso, tal y como subrayan las fuentes consultadas, ahora está proliferando la estafa por combinación de estas dos modalidades.
Un ejemplo. A un cliente le llega un SMS notificando un incidente de seguridad en su cuenta y con un supuesto enlace de acceso a la banca, que en realidad lleva a una página clonada en poder de los estafadores.
La víctima rellena sus credenciales de acceso a la banca «online», pero cuando accede le sale una notificación de error de la página.
Incluyen además la llamada para el doble factor de autentificación ya que los estafadores saben que las entidades bancarias la exigen y, por tanto, se necesita un SMS para confirmar la transferencia.
Una vez que han conseguido el acceso a la banca «online», y por tanto a los datos de la víctima, entra «a jugar» el «vishing».
Los estafadores llaman a la víctima haciéndose pasar por el banco para informarle de que se ha producido una incidencia y consiguen que esta les facilite el código de seguridad.
Con él en su poder, ya pueden realizar transacciones y «desplumar» al objetivo. Los «malos» también utilizan los servicios de VoIP para hacer llamadas de voz a través de internet (VoIP significa Voz sobre IP).
Pero para «no pillarse los dedos» se sirven del «spoofing», un método por el que la llamada o el SMS se realiza desde un número enmascarado que, según afirma el que está a otro lado, procede del banco de la víctima.
Recientemente la Guardia Civil llevó a cabo una macrooperación contra las estafas por SMS masivos y detuvo a un centenar de personas por estafar más de un millón de euros mediante este método.
Las empresas tampoco se libran
Otra de las estafas es la llamada BEC (Business Email Compromise) en sus siglas en inglés. O lo que es lo mismo, el ataque al correo electrónico empresarial. Del total de estafas detectadas por el instituto armado en el periodo analizado, un 6,8 por ciento correspondían a esta modalidad.
Normalmente, las víctimas son las pymes ya que las grandes empresas suelen disponer de mayor seguridad informática y sus empleados están más concienciados de los riesgos.
Se trata de un tipo de estafas en las que los delincuentes realizan envíos desde direcciones de «email» que imitan ser de empresas proveedoras.
Es decir, suplantan a un proveedor e interceptan los correos de facturación que envía este. En este proceso, cambian la cuenta del banco donde realizar los pagos y, por tanto, las transferencias les llegan a ellos.
En una operación del pasado mes de octubre, la Guardia Civil desmanteló un grupo que estafó por el método del BEC a once empresas de Madrid, Granada, Asturias, Murcia, Santa Cruz de Tenerife y Málaga. La estafa ascendió a 188.000 euros.
Otra modalidad de estafa a empresas, similar al BEC, es el ataque llamado «man in the middle (hombre en el medio)». Un 2,1 por ciento de las estafas informáticas destapadas por la Guardia Civil en los últimos doce meses se corresponden con ese sistema
El pharming
Un número importante de casos de «pharming» -el 19,4 % del total- investigó la Guardia Civil en un año, una estafa que consiste en crear un página web a imagen y semejanza de una «buena», generalmente la página de acceso a una entidad bancaria. Prácticamente un clonado.
Los estafadores utilizan diversas técnicas para posicionarse, es decir, para que cuando se haga la búsqueda en Google, esa web salga por delante de la clonada, aunque este es solo uno de los métodos.
Porque originalmente el «pharming» utilizaba lo que se conoce como DNS poisoning, que consiste en que la parte encargada de traducir la URL a direcciones IP se modificaba para que aunque el usuario teclease/viese que la URL era la real, el ordenador lo redirigiese a la página de los criminales.
En suma, con este sistema, y al redirigir al usuario a una web falsa, los delincuentes roban su información, como números de cuentas o contraseñas.
El SMS desbanca al correo
Hay más modalidades pero lo que está claro es que, como dicen las fuentes de la Unidad Técnica de la Policía Judicial, el fraude a través de SMS está sustituyendo al correo electrónico, quizá por una mayor concienciación de los usuarios y porque recibir SMS para confirmar pagos, transferencias, bizum... está a la orden del día.