Lo que se esconde detrás del robo de datos: estafas 'online', chantaje y desinformación El auge de la compraventa de datos personales robados inquieta y es una amenaza social y política para la que gobiernos, empresas y ciudadanos no están bien preparados

Zigor Aldama Domingo, 16 de junio 2024, 00:08

La actualidad de las últimas semanas ha revelado un elemento común entre el Banco Sabadell, Ticketmaster, la DGT, Telefónica e Iberdrola: todas estas empresas han sufrido el robo masivo de datos de sus usuarios. Y todas ellas han restado importancia a sus ciberataques, afirmando que los 'hackers' solo han obtenido información personal sin relación con los medios de pago. Pero los elevados precios que se pagan en la 'dark web' por esos datos, a veces incluso millones de euros, reflejan una realidad muy diferente: son oro puro para llevar a cabo todo tipo de estafas, chantajes, e incluso campañas de desinformación política.

Es un problema en rápido auge. «En 2012, la ciberdelincuencia representaba solo el 4% de todas las denuncias; ahora es el 23%. Y el número real es muy superior, porque muchas víctimas ni siquiera denuncian», comenta el abogado especializado en ciberseguridad Borja Adsuara. Francisco Valencia, director general de la firma Secure&IT, coincide: «Según datos de las Fuerzas y Cuerpos de Seguridad del Estado, si comparamos enero y febrero de 2024 con los dos primeros meses del año pasado, la cibercriminalidad crece un 13,5%». Y a nivel global su fuerza asombra: «Si la ciberdelincuencia fuese un país, sería la tercera potencia mundial medida por el dinero que mueve, solo por detrás de Estados Unidos y China», afirma. En muchos casos, es más jugosa que el narcotráfico o la venta de armas, porque tiene muchas menos consecuencias.

Ciberdelincuencia industrializada

Todos los expertos consultados coinciden en resaltar un cambio que se ha producido desde la pandemia: la ciberdelincuencia se ha industrializado para explotar a fondo este goloso negocio caracterizado por la transnacionalidad y la transversalidad. «Los delincuentes se estructuran en diferentes niveles que colaboran sin conocerse», explica Diego Alejandro, jefe de la Sección de Seguridad Lógica de la Policía Nacional. «Unos se dedican a desarrollar el 'malware' necesario para llevar a cabo la intrusión. Lo venden en la 'dark web' a quienes realizan el ataque para cifrar y exfiltrar los datos. Luego, a su vez, esos pueden vender los datos, ordenados o no, a los especialistas en suplantar identidades o estafar», ahonda Alejandro.

«Salvo que se dediquen al activismo político, que también crece, estas organizaciones conforman una industria sin bandera y funcionan como cualquier empresa, con departamentos de Recursos Humanos, Facturación, y Servicio al Cliente», añade Javiér Diéguez, director general de Cyberzaintza, la Agencia Vasca de Ciberseguridad. Esta nueva estructura profesionalizada, que sustituye al clásico 'hacker' que se encargaba de todo el proceso, facilita un perfilado cada vez más detallado de las víctimas. Porque el verdadero valor de los datos robados está en la posibilidad de combinar diferentes bases para tener un conocimiento completo y lanzar así ataques más personalizados y eficientes.

Ingeniería social

«Las campañas más peligrosas son las estacionales. O sea, las que se producen en momentos como el Black Friday, o la declaración de la renta, porque aumenta el número de personas que operan en internet», analiza Diéguez. Los estafadores crean páginas web muy similares a las de administraciones o empresas y, con tácticas de 'phishing', logran extraer los datos críticos de tarjetas de crédito o cuentas bancarias para hacerse con el dinero.

Navegar por internet se ha convertido en una partida contra la delincuencia. Adobe Stock, generada por IA

Pero los riesgos van mucho más allá. Sobre todo cuando entra en juego lo que se denomina ingeniería social. «A través de la interacción con la víctima, sobre todo mediante redes sociales, los criminales logran los datos que les faltan para atacarla. Los delincuentes son cada vez más pacientes. Por ejemplo, para poner en marcha una 'estafa del amor' exitosa pueden tener que dedicar meses», señala Alejandro. Y de lo que publicamos en redes también se pueden extraer detalles jugosos.

Y los datos pueden ser la materia prima para todo tipo de campañas. «Si consiguen información médica pueden chantajear a quienes sufren alguna enfermedad de transmisión sexual, amenazándoles con enviar esos datos a todos sus contactos si no pagan; y también pueden estafar a tienen algún mal incurable con falsos tratamientos milagrosos», pone como ejemplo Valencia. «Y con según qué datos, aparentemente inocuos, incluso pueden determinar qué casas están vacías y vender esa información a redes de ocupación. Si eres padre o madre, además, puede resultar interesante chantajearte con fotos sexuales manipuladas de tus hijos», añade. «Los ciberdelincuentes cada vez son más creativos y sofisticados. Y la inteligencia artificial les ayuda con muchas tareas que antes requerían mucho tiempo y esfuerzo, y reduce también los fallos ortográficos y semánticos que antes hacían sospechar», coincide Diéguez.

Pero, ¿cómo es posible que tanta gente caiga en timos que, a posteriori, parecen evidentes? Alejandro da cuatro pistas relacionadas con la propia idiosincrasia del ser humano: «Tenemos una tendencia natural a confiar, nos cuesta decir que no, sobre todo si es por teléfono, solemos empatizar con quien está al otro lado, y, sobre todo, nos encanta que nos alaben». A eso se suma una baja alfabetización digital, sobre todo entre la población de edad más avanzada. «Tenemos que introducir esta asignatura en los colegios, como la educación sexual o la vial. Para nosotros es una prioridad empezar a una edad temprana y trabajar con los mayores», afirma Diéguez.

El secuestro más caro

Pero, como apunta Adsuara, «el verdadero negocio no está en dejar a cero la cuenta corriente de mindundis, sino en el 'ransomware' que afecta a las empresas». Es ese 'software' que cifra todos los datos e impide a la compañía operar hasta que pague un rescate. «Sobre todo van a por las pymes, que tienen menos medidas de seguridad. No en vano, a las grandes están llegando a través de sus proveedores. Y la gente paga, aunque a veces eso no supone el fin del secuestro», comenta el abogado.

Por esta razón, los ciberdelincuentes ponen su mira sobre todo en aquellos empleados de los departamentos técnicos que pueden tener credenciales interesantes para acceder a las tripas informáticas. «El problema es que algunas empresas invierten mucho en ciberseguridad pero luego permiten a los empleados conectarse al sistema en remoto desde sus móviles personales, dejando abierta una puerta a los delincuentes. Es más fácil ir a por ellos que a por los servidores, y, al final, el 'hacker' lo que quiere es que su hora de trabajo salga lo más rentable posible», elabora Adsuara.

Prevenir mejor que curar

Por eso, Alejandro no tiene duda de que se debe enfatizar la prevención: «Hay que concienciar a la sociedad de que la seguridad empieza por uno mismo. Y las empresas deben entender que la primera línea de defensa son sus propios empleados». Para las compañías tiene un consejo: «Deben actuar como si ya estuviesen infectadas, porque solo hay dos tipos de empresas: las que han sido atacadas y las que aún no lo saben».

Afortunadamente, aunque Diéguez asegura que las últimas semanas están siendo «terribles», también está convencido de que estos ataques contra grandes empresas están logrando que «cada vez haya más conciencia sobre el peligro». Valencia concuerda, y señala que «no cuesta más instalar sistemas seguros». Prevenir es mejor que curar, sobre todo porque resulta especialmente difícil dar caza a los malhechores y lograr que rindan cuentas. «Los delincuentes siempre van por delante», reconoce Alejandro.

Uno de los principales problemas para investigar los ciberdelitos es que, además de utilizar todo tipo de herramientas para camuflar sus pasos, quienes los cometen a menudo lo hacen desde países como China o Rusia, que también lanzan campañas para manipular la opinión pública, interferir en procesos democráticos, e inyectar inestabilidad con la creación de bulos y su diseminación a través de redes sociales atestadas de bots. Ninguno de ellos es signatario del Covenio de Budapest -al que cada vez se adhieren más países-, y rara vez cooperan con fuerzas de otros lugares. «Con China al menos se habla, y se pueden hacer algunas peticiones, pero con Rusia ni siquiera llegamos a ese punto», señala Alejandro. Y, por si no fuese suficiente, «a veces descubrimos que los delincuentes son menores de edad que se están poniendo a prueba».

A pesar de todo, los expertos señalan que la ciberdelincuencia crece menos que la actividad en Internet, muestra de que la seguridad también se fortalece. «Iremos transitando del uso de contraseñas a sistemas biométricos», avanza Valencia. «Cada vez es más habitual hacer copias de todos los datos y guardarlas en lugares seguros para evitar el colapso de la empresa», añade Alejandro. «Y la gente cada vez es más cuidadosa, aunque solo sea por miedo. El 90% de los ciberdelitos son estafas», comenta Adsuara. Eso sí, señala que en el horizonte hay una amenaza cada vez más clara: «Cuando llegue la computación cuántica, todo cambiará. Porque ninguna contraseña será segura».

Decálogo para protegerse en internet

Cada vez es más difícil protegerse de los ciberdelincuentes, porque sus estrategias son cada vez más sofisticadas, pero los expertos señalan que estos pasos, aunque resulten básicos, pueden ser muy eficaces para evitar sufrir un 'hackeo'.

1 Cambia de contraseña

No uses la misma para todo, porque si la roban de un sitio, la probarán en el resto. Existen organizadores de contraseñas y generadores de otras de un solo uso que pueden ayudar

2 Autenticación de dos pasos

Actívala si se ofrece. Así te llegará un SMS o un correo para verificar el inicio de sesión o transacciones comerciales. Si recibes uno de una operación que no has hecho tú sabrás que intentan atacarte y podrás frustrarlo.

3 Duda de mensajes genéricos

Siempre que recibas un mensaje que no va dirigido a ti, uno de esos que arrancan con un 'estimado usuario', ponte en alerta.

4 Ojo con los enlaces

Si recibes un enlace en un mensaje, antes de abrirlo asegúrate de que no es malicioso. Confirma que el dominio sea el correcto (por ejemplo, que no sea amazon.com y no amazn.com) porque a veces la clave está en esos detalles.

5 Datos personales, los justos

Si alguna entidad con la que tienes relación te pide datos personales que consideras innecesarios, sospecha y certifica por una vía alternativa (teléfono, por ejemplo) que el mensaje es lícito.

6 Chollos que son estafas

Desconfía de las ofertas en redes sociales que parezcan demasiado buenas para ser verdad. Seguramente no lo sean.

7 Verifica las tiendas

Antes de comprar en plataformas o páginas web desconocidas, busca en internet si son fiables. En caso de que no lo sean, aparecerán comentarios que alertan de ellas.

8 Wifi de confianza

Evita redes wifi públicas para navegar y, si no hay alternativa, no realices operaciones que requieran introducir claves o contraseñas en ellas.

9 No cuentes toda tu vida

Aunque parezca inocuo, evita publicar datos personales como ubicaciones o planes (y jamás fotos de documentos) en redes sociales. Ni propios ni de otros.

10 A la Policía

En caso de que la estafa se haya consumado, cancela las tarjetas bancarias inmediatamente y denuncia el caso a la Policía.

La protección de los idiomas minoritarios Cuanto menos extendido está un idioma, menos ataques cibernéticos sufren quienes se desenvuelven en él. Por ejemplo, los hispanoparlantes están más protegidos ante las estafas que los angloparlantes, ya que el inglés es el idioma más utilizado en internet. En nuestro país, quienes bucean por la red en euskera, catalán o gallego están mucho menos expuestos a estafas. «Es fácil de entender por qué: el delincuente quiere que su campaña llegue al mayor número de gente posible para maximizar la rentabilidad. En euskera, por ejemplo, nunca he recibido un intento, porque la IA aún no está suficientemente entrenada. Y si llegase, es muy posible que fuese fácil de detectar», explica Javier Diéguez, director general de Cyberzaintza.

