Els ciberestafadors es preparen per fer el seu agost
Els copiosos robatoris de dades a través de la xarxa perpetrats durant el 2024 fan presagiar el repunt d’uns fraus virtuals cada cop més sofisticats
El segrest d’informació ‘online’ (‘ransomware’) a petites i mitjanes empreses o ajuntaments és una altra potencial amenaça a l’alça que amoïna
Trucades a hores impúdiques per alertar-nos que se’ns ha bloquejat el compte corrent, correus electrònics que ens il·luminen els ulls amb ofertes sumptuoses, o un SMS que ens fa saber que tenim una multa de trànsit que cal pagar de seguida. Aquestes i moltíssimes altres modalitats que un no pot ni imaginar formen part del catàleg de possibles ciberestafes que literalment assetgen cada dia qualsevol ciutadà, i que configuren la pràctica més comuna –95% de les denúncies– d’un monstre virtual, la ciberdelinqüència, que ja està prenent dimensions gegantines, com ho certifica la dada que ja mou prop del doble de diners a escala planetària que el tràfic de drogues, d’armes i de persones junts. En el nostre entorn més immediat, Catalunya, aquesta tendència a l’alça és especialment significativa, ja que no només és el territori de l’Estat on es comptabilitzen més denúncies de fraus online –71.772 només l’any passat–, sinó que les autoritats, començant per l’Agència de Ciberseguretat, alerten que el nombre d’aquests actes de pillatge latents s’incrementarà, i que se sofisticaran, d’ara endavant, com a conseqüència directa dels grans robatoris de dades a través d’internet que es van produir l’any passat i que converteixen ves a saber quants ciutadans, empreses i institucions en víctimes potencials.
Els resums estadístics de l’Agència Espanyola de Protecció de Dades (AEPD) són els primers que alerten que, fins a l’octubre del 2024, és a dir, sense tancar encara l’any, ja s’havien detectat un 19% més de fuites de dades furtades d’empreses o institucions, per a un ús posterior il·lícit. Fonts de la Comissaria General de les Tecnologies de la Informació i la Comunicació dels Mossos d’Esquadra recalquen que, a la pràctica, tots els usuaris de les denominades tecnologies de la informació i la comunicació –les TIC– poden ser potencials víctimes d’aquests pillatges, tot i que hi ha objectius que es consideren més lucratius per part dels ciberdelinqüents com ara l’administració pública i les empreses més solvents, ja que acostumen a emmagatzemar molta informació “valuosa”. Alguns dels exemples propers més coneguts d’aquestes sostraccions són les que van viure el Banc de Santander, la Direcció General de Trànsit i Aigües de Mataró al llarg del 2024. Amb tots els matisos i diferències possibles, en aquests i altres casos el procediment per part dels autors sol ser molt similar: perpetrar d’entrada un ciberatac per sostreure, per exemple, les dades personals de clients o treballadors i, després, revendre-les en el dark web –web fosc– a altres grups criminals –per un número de compte es poden pagar uns 100 euros– o bé utilitzar-les ells directament. “Això funciona com una cadena. Robo la informació i, un cop la tinc, puc fer una acció criminal personalitzada que estigui molt dirigida a aquella empresa, els seus operaris o clients. I això, entre cometes, augmenta, i molt, la probabilitat que els pugui acabar sortint bé”, exposa Jordi Serra, professor d’informàtica, multimèdia i telecomunicació de la Universitat Oberta de Catalunya (UOC). En aquesta tessitura, l’Agència de Ciberseguretat de Catalunya augura que aquest 2025 ja es tancarà amb “un augment significatiu” del nombre d’estafes, especialment les que acaben amb càrrecs bancaris fraudulents i que representen el 67% del total de casos, ja que, amb tantes dades al sarró –des de noms complets i DNI fins a telèfons o fitxes dels serveis que un tingui contractats–, els grups il·lícits que s’hi dediquen poden fer això, accions molt dirigibles, i creïbles, abordant una possible víctima a través de correus electrònics falsos –el que es coneix com a phishing o pesca–, SMS o, fins i tot, trucades telefòniques –vishing o pesca per veu–, o diverses vies de manera simultània. El mòbil sol ser el canal preferent d’abordatge. I la immediatesa, el gran esquer. “Juguen molt amb les preses, que no tinguis temps per reflexionar: «O ho fas ara o et bloquejo la targeta.» Per tant, un primer consell és no prendre cap decisió, com clicar un enllaç, en calent”, revela Serra. Per reblar el clau, l’eclosió de la intel·ligència artificial generativa està propiciant que aquests actes de saqueig estiguin cada cop més perfeccionats, fins al punt d’utilitzar si cal imatges trucades molt afinades que, combinades amb l’ús de dades reals, fan que alguns dels esquers que s’envien a possibles víctimes siguin francament difícils de detectar fins i tot pels experts. Res a veure, o poc, amb aquells primers correus electrònics carregats de faltes d’ortografia i amb logotips d’organismes oficials reproduïts de manera matussera que ja ens feien tenir mals ensums tot just obrir-los. I ara que som a tocar de l’estiu, compte, ja que se solen multiplicar les falses ofertes de vacances o de grans esdeveniments com ara festivals.
L’auge dels fraus “híbrids”
En aquesta dinàmica de sofisticació creixent, una nova modalitat a l’alça són les anomenades “ciberestafes híbrides”, que conjuminen el factor presencial i el virtual. Sobre això, els Mossos alerten que l’ús de la intel·ligència artificial també pot perfeccionar aquest tipus de frau amb models que facin que els delinqüents aprenguin dels seus errors i, per tant, fer més difícil la detecció d’aquestes usurpacions online. Un cas d’aquest tipus detectat a Catalunya va ser el d’una falsa companyia de subministrament elèctric que va col·locar una sèrie de cartells per alertar d’un suposat problema amb l’actualització i la facturació dels comptadors a l’Eixample de Barcelona. L’argúcia es completava amb un codi QR per poder accedir a un lloc web per, pretesament, resoldre l’atzucac, i que en realitat era una plataforma falsa per vampiritzar les dades dels veïns de la zona. I, d’aquestes, ja se n’han comptabilitzat unes quantes, que certifiquen que els grups que maneguen aquestes activitats il·lícites han assolit un altíssim grau d’estructuració. “Els que s’hi dediquen operen molts cops com una veritable empresa, fent torns per desenvolupar aquest malware [programari maliciós] i, un cop l’han explotat molt, el posen a la venda en el web fosc perquè grups més petits l’intentin reaprofitar després”, explica el professor d’informàtica, multimèdia i telecomunicació de la UOC Jordi Serra. El fet de moure’s essencialment en un entorn virtual i tan intricat com és la xarxa fa extraordinàriament difícil lluitar contra aquesta modalitat de delicte. Trobar una petja per estirar un fil és extraordinàriament complicat, ja que, per exemple, els números de telèfon i les IP des d’on tiren l’ham no es poden rastrejar. “Els «bons» sempre anem un pas endarrerits. Passa com en el cas dels lladres: mentre tu procures tenir-ho tot tancat, ells ja estan buscant una nova manera d’entrar a casa teva”, hi afegeix Serra. La Comissaria General de les Tecnologies de la Informació i la Comunicació de la policia catalana també exposa que la investigació d’aquest tipus de criminalitat és força complexa, perquè en la majoria dels casos els primers indicis per posar en marxa una prospecció ja assenyalen països remots i, per tant, calen molts recursos de coordinació policial, judicial o amb els proveïdors de serveis online per assolir resultats. En aquesta línia, els Mossos defensen que iniciatives com les que planteja Europol de millorar la coordinació a escala internacional per lluitar contra aquests grups són clau, tot i que hi afegeixen que aquesta mateixa aposta s’hauria de fer en clau judicial. Pel que fa a la tipologia de grups, les mateixes fonts policials expliquen que hi ha una mica de tot, ja que un pot pensar que darrere un ciberatac hi ha un grup criminal organitzat, però potser això no és així i és només la competència d’un determinat negoci que ha contractat un atac en el web fosc com un sistema de joc brut. També hi ha aprenents de hackers amb més imaginació que recursos i grups patrocinats per estats que acostumen a fixar-se en empreses d’alta tecnologia o que són capaces de robar criptodivises per finançar el seu país, que està sotmès a un bloqueig econòmic.
Tot i que formalment és una modalitat de ciberdelinqüència que queda fora de la categoria de les estafes, els atacs a través de ransomware –programari de segrest– també amoïnen, i molt. L’Agència de Ciberseguretat ja fa temps que alerta d’un augment “alarmant” d’aquesta modalitat, en què els delinqüents pretenen accedir al sistema informàtic d’una empresa o institució per bloquejar-lo i exigir, després, una quantitat de diners per alliberar-lo. Una extorsió amb tots els ets i uts, com la que va viure l’hospital Clínic el 2023, i el temor ara és que aquest patró se sistematitzi, sobretot entre petits i mitjans negocis, o ajuntaments, per exemple, que solen tenir uns sistemes de protecció o antivirus més fràgils que els de les grans corporacions.
En vista de tot plegat, el govern català acaba de presentar un pla dotat amb 16,8 milions d’euros per protegir diversos serveis públics –182 centres sanitaris, 23 ajuntaments de més de 50.000 habitants, les quatre diputacions i 40 consells comarcals– de possibles ciberatacs. L’especial atenció als equipaments sanitaris no és cap carambola, ja que l’any passat van entomar 1.257 milions de ciberatacs, i per això es mesurarà quin és el seu grau de protecció digital contra aquesta amenaça creixent.
Les xifres
