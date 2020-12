0

Facebook 0 Twitter 0 WhatsApp 0

La Voz de Galicia Mónica P. Vilar

06/12/2020 05:00 h

Unos 9 millones le han sido estafados a la biofarmacéutica Zendal utilizando el phishing. Unas técnicas de engaño cuyo uso ha crecido de manera exponencial y que pueden afectar a particulares y empresas, como explica la responsable del equipo de delitos tecnológicos de policía judicial de Guardia Civil de la comandancia de A Coruña, Julia Conde.

- ¿Qué es el phishing?

- Son técnicas que de forma engañosa, a través de señuelos, nos llevan a proporcionar información personal (bancaria, de nuestras costumbres y actividades diarias...) que después se va a utilizar para otro fin, generalmente delictivo. Esos fines suelen tener un componente económico, como la estafa o el espionaje empresarial o industrial, pero también pueden ser una venganza personal, obtener fotografías íntimas o de menores... El phishing es un término muy amplio que engloba muchos tipos de ataques. Se realizan a través de medios tecnológicos, pero pueden hacerse de muchas maneras. Van desde una simple llamada telefónica en la que utilizando técnicas de ingeniería social se convence a la persona para que dé información propia, por ejemplo metiéndole prisa y agobiándola, o persuadiéndola, hasta métodos mucho más complejos y depurados, pasando por sistemas muy arraigados como correos electrónicos o mensajes al móvil en los que se pide acceder a algún sitio web e introducir tus contraseñas o credenciales, que luego se utilizan para cometer una estafa u otros delitos como la suplantación de identidad o la falsificación. Es un fenómenos que en los últimos años está teniendo un crecimiento exponencial, en Galicia y en todo el mundo.

- Hay desde señuelos muy burdos hasta campañas muy sofisticadas y complejas.

- Nosotros trabajamos con todo tipo de delitos, desde aquellos en los que los perjudicados son ciudadanos que pierden una pequeña cantidad de dinero a grandes empresas donde las pérdidas económicas son cuantiosas. Hay distintos actores y distintos fines. Algunos delitos van más al resultado inmediato, a obtener una transferencia directa, por ejemplo. Algo que se está utilizando mucho en los últimos meses es llamar a un trabajador de una empresa en un momento cercano al cierre, o al mediodía, y decirle que la compañía está esperando cierto material de manera muy urgente. El empleado no tiene conocimiento de eso, pero en ese momento no tiene con quien consultar, y el que llama le presiona, le mete prisa, le asegura que es algo que tiene mucha urgencia y de gran importancia para la empresa, y que para recibir esa mercancía lo que tiene que hacer es realizar un pago cuanto antes, aunque sea mínimo. Puede parecer burdo, pero quienes llaman son especialistas en técnicas de ingeniería social y agobian a la persona de tal manera que acaba cayendo. Es una estafa que en los últimos meses se ha estado produciendo mucho en residencias de mayores, farmacias y centros de salud privados que estaban a la búsqueda de material sanitario. Y es que hay gran cantidad de señuelos distintos, y dependiendo de la situación, van a emplear el que sea más creíble. Por ejemplo, durante el confinamiento había muchos engaños con bonos de regalo de supermercados o de compañías eléctricas. Lo que buscan es utilizar acontecimientos recientes para refrescarse y captar a la mayor cantidad de víctimas posible.

Y luego tenemos casos muy complejos, que requieren más tiempo, más medios y más recursos por parte de los delincuentes, como pudiera ser el de Zendal, que no conozco concretamente, pero en el que para lograr una transferencia tan enorme de dinero seguramente han tenido que emplear técnicas más sofisticadas, personal más especializado, probablemente haya habido una situación de espionaje para ver cómo operaba la empresa, una suplantación de correo o de las web de empresas con las que trataban... El beneficio económico, claro, va a ser mucho mayor, pero también el trabajo y el riesgo lo es.

- ¿Quién suele estar detrás de este tipo de delitos?

- La imagen estereotipada es la del experto informático que actúa solo desde su casa y logra colarse en un sistema para obtener la información y el dinero. Pero no es imprescindible ser especialista informático para llevar a cabo este tipo de estafas. Hay mucho mercadeo de servicios. Hay gente que se dedica a recopilar datos, gente que se ofrece para diseñar campañas de malware y meter programas infecciosos en ordenadores para después rescatar información, personas que ponen sus datos personales y sus datos bancarios para recibir esas transferencias, lo que llamamos las mulas económicas, que reciben el dinero fraudulento y lo desvían a otras cuentas o incluso lo sacan directamente de los cajeros... Todos estos trabajos se ofrecen en un auténtico mercadeo, que cada vez tiene más auge. Así que más que organizaciones estables en el tiempo, lo que hay es una compra de determinados servicios para llegar a ese fin fraudulento.

- ¿Cómo podemos defendernos de este tipo de estafas como particulares?

- Tenemos que ser conscientes de que llevamos siempre con nosotros un ordenador, que es nuestro teléfono y que es a través de los que muchas veces acceden los delincuentes, pero no solemos tenerlos tan asegurados como los ordenadores portátiles o de sobremesa. En los móviles también debemos instalar antivirus y debemos mantener actualizados los sistemas operativos para esos parches de seguridad que van sacando los proveedores vayan siendo renovados. Y lo mismo las aplicaciones. Además, no debemos descargar aplicaciones que no son oficiales, porque muchas veces están totalmente diseñadas para captar información. Ofrecen un servicio como una calculadora o algo así, pero al final acaban siendo programas espía. Y debemos realizar copias de seguridad con frecuencia.

Otro consejo es no conectarnos a redes wifi públicas cuando estamos haciendo alguna operación de cierta entidad con nuestro teléfono, como acceder a la banca electrónica, o intercambiar archivos personales con otra persona, porque muchas veces esas redes públicas están siendo utilizadas para captar información. Y si realizamos compras a través de Internet, debemos comprobar que estamos en un sitio seguro, perfectamente identificado, que tenga un NIF, direcciones postales, direcciones electrónicas...

Y sobre todo se trata de tener precaución. Igual que no facilitamos datos bancarios o sensibles así como así a otra persona cara a a cara, tampoco debemos hacerlo por teléfono o email, por mucho que se hayan dirigido a nosotros de manera casi personalizada. Debemos fijarnos un poco en los enlaces en los que se nos pide clicar, en las direcciones desde las que llegan los mensajes... porque muchas veces ya son sumamente sospechosas. Si vienen por ejemplo de empresas o instituciones, esas empresas e instituciones suelen tener sus propias páginas web donde podemos comprobar sus direcciones o al menos los dominios que utilizan. Hay casos en los que todo el engaño está muy logrado, pero muchas veces no es difícil ver que se trata de algo falso o fraudulento. Más que de grandes herramientas tecnológicas, de lo que se trata es de tener cautela.

- ¿Y en el caso de las empresas?

- En este ámbito pueden suceder casos llamativos en grandes empresas, pero lo cierto es que suelen tener sistemas de seguridad más potentes porque invierten en ello. Por eso suelen ser más atacadas las pequeñas y medianas empresas, sobre todo negocios que tienen mucho movimiento de transferencias internacionales porque se dedican a la importación o exportación (y Galicia es un nido de este tipo de pymes). Son atractivas para los delincuentes porque mueven flujos de dinero mayores que un particular, pero a la vez no son tan conscientes de los riesgos, o están más superados por las prisas del día a día que empresas más grandes. Por eso estos negocios deben tener muy presente la necesidad de estar al día en materia de seguridad. Otro de los problemas en las empresas es la poca conciencia del riesgo que tienen los empleados. Por ejemplo, muchas veces abrimos nuestro correo personal en el equipo de la empresa. Ese correo podría estar infectado, con lo cual hay un vector de entrada en el sistema informático de la empresa. En el caso de trabajadores que lleven gestión económico deben tener especial cautela, y la propia empresa debe tener establecidos protocolos claros de cómo realizar los pagos, también para situaciones de urgencia, que es lo que muchas veces aprovechan los delincuentes, alegan emergencia para que el trabajador se salte el canal establecido. Por eso hay que tener también protocolos de urgencia sobre cómo y cuándo realizar un pago, o para comprobar que esos pagos que se nos están exigiendo o solicitando son legítimos.

Otra cuestión importante es revisar el contenido de los portales de las empresas. Hay que buscar un equilibrio entre la transparencia y la cautela, porque muchas veces en esos portales web, que están abiertos a cualquiera, se está dando información no solo del organigrama, sino de los métodos de funcionamiento de la compañía. Hay que revisar cómo están configurados esos portales y qué tipo de contenidos.

Y luego todas las precauciones que ya operan para los particulares: revisar las direcciones de los correos que se reciben, tener cuidado con el reenvío de mensajes, no abrir enlaces sospechosos, no compartir alegremente con otros datos sobre cómo se organiza nuestra empresa o cómo se realizan los pagos...

Tanto para particulares como para empresas, la página web del Instituto Nacional de Ciberseguridad (Incibe) tiene muy buenas guías prácticas y consejos para todo tipo de usuarios y muy fáciles de entender.

- ¿Es posible seguir el rastro a estas estafas? ¿Hay posibilidad de recuperar lo perdido?

- Ese es nuestro trabajo, así que sí, es posible. Pero a veces se nos complica mucho. En estos delitos con componente tecnológico el delincuente no vive necesariamente en el portal de al lado. Y suelen tener un componente transnacional muy fuerte. A veces en un estafa simple te encuentras con que el correo se ha registrado en Estados Unidos, la IP es de Nigeria, el dinero ha ido desde una cuenta española a una cuenta turca, y ahí se ha dividido y ha ido parte a Singapur... Es complicado, porque además la legislación es distinta en cada país y no en todos podemos conseguir los mismos datos. Además, las compañías telefónicas o de servicios de Internet solo tienen que guardar los datos durante un tiempo determinado. Así que sí, es posible recuperar el dinero, pero sobre todo cuando la denuncia y la investigación se hacen muy pronto en el tiempo.