Ciberatacs, amenaça a l’alça

Un negoci rodó

Com relata el director de l'Àrea Centre d'Innovació i Competència en Ciberseguretat, “els ciberdelinqüents han adoptat un model de negoci molt bo, hi ha actors especialitzats en cada fase del procés, tenen molta informació a la xarxa i alguns estudien molt bé les seves víctimes i la persecució d’aquest tipus de delictes és molt difícil perquè no hi ha una única policia i hi ha països que, no només els permeten, sinó que els potencien”. El resultat és que totes les estafes van a l’alça: “Abans, quan fèiem ponències, havíem de buscar casos de ransomware a fora, sobretot als Estats Units, però el 2021 va ser el primer any que vam tenir notícia d’un incident a Catalunya cada mes.” “Tothom coneix ja casos de segrestos de dades perquè estan passant al seu voltant: als nostres ajuntaments, hospitals, universitats, supermercats, empreses... I això serà una costant. Tindrem cada mes bastants incidents al nostre territori”, alerta.

“L’entorn serà complicat i entre tots hem de prendre mesures”, assenyala Roy, indicant que cal invertir-hi recursos, però també fa falta molta conscienciació. Entre els consells adreçats als usuaris per fer entre tots una internet més segura, l’agència destaca actualitzar tots els dispositius, protegir l’accés a les apps amb el sistema d’autenticació en dos passos (per exemple, amb la contrasenya i un codi enviat al mòbil) i malfiar-nos si algun missatge que ens arriba és “estrany o massa bo per ser cert”.

Al gener, uns pirates informàtics van suplantar la identitat d’un dels proveïdors de l’Ajuntament de Barcelona per demanar-li que abonés les factures en un compte corrent diferent al que utilitzava habitualment. Van estafar al consistori 350.000 euros. Aquest cas s’ha fet públic, però hi ha molts més ciberatacs dels que surten en els mitjans i les –escasses– estadístiques oficials. En alguns casos, perquè les empreses o entitats a què roben diners o dades no ho denuncien i, directament, accepten la pèrdua o paguen el rescat perquè no volen comprometre la seva activitat ni el seu prestigi. Segons un estudi de Sophos, 7 de cada 10 empreses de l’Estat espanyol van rebre, l’any passat, un atac de ransomware i gairebé el 40% van acceptar el xantatge. L’import mitjà que van pagar: 175.000 euros.

Denunciar, sempre

Com expliquen en la unitat central de delictes informàtics dels Mossos d’Esquadra, també són moltes les microestafes –d’un import proper als 100 euros– que no es denuncien perquè les víctimes saben que no recuperaran els diners i perquè pensen que els cossos de seguretat no tindran prou mitjans per perseguir fraus petits. La policia catalana, però, anima a denunciar qualsevol ciberestafa, tingui l’import que tingui: “És molt important per poder quantificar l’abast real d’aquest tipus de delictes i també perquè, a vegades, detenim grups organitzats i, llavors, els podem imputar moltes d’aquestes microestafes”, sostenen. Al març, els Mossos van desmantellar un grup criminal especialitzat en una variant del phishing que consisteix a enviar un SMS amb un enllaç que, en aquest cas, derivava a pàgines falses que suplantaven la identitat de bancs i operadores de mòbil per obtenir claus i contrasenyes. Havia enviat 71.000 missatges.

Els Mossos llancen periòdicament campanyes que alerten de com de fàcil pot ser caure als paranys dels pirates informàtics i quines són les estafes que estan de moda en cada moment. “En general, t’ha de fer sospitar qualsevol cosa que és massa bona”, resumeix Laia Garcia Padró, responsable de programes de conscienciació en ciberseguretat de l’empresa especialitzada en aquest sector Ackcent. Com explica Garcia Padró, els atacs de phishing poden ser poc elaborats i haver estat enviats de forma massiva, però, només que piquin uns quants usuaris, els botins ja són suculents. A més, destaca, cada cop hi ha més campanyes que no només estan més perfeccionades, sinó que es van adaptant al context i els hàbits del moment. Per exemple, ara que la pandèmia ha disparat el comerç en línia, molts correus suplanten la identitat d’empreses com ara Correus, Seur i Amazon. S’anima l’usuari a obrir un enllaç per poder recuperar un paquet i és llavors quan se li roben les dades. Retorns d’Hisenda, avisos de càrrecs de 300 i 400 euros a la targeta de crèdit, descomptes en roba de marca de fins al 90%... “Molts missatges tenen èxit pel seu component emocional; intenten crear emocions fortes que ens fan abaixar la guàrdia”, alerta.

Pel que fa als segrestos de dades, Lluís Vera, CEO d’Ackcent, explica que cada cop les pimes són més conscients que també són vulnerables, i per això estan invertint més en ciberseguretat. De tota manera, assenyala que el repte és majúscul, perquè al costat de les campanyes més amateurs, n’hi ha de cada cop més quirúrgiques. “Els ciberdelinqüents col·laboren molt entre ells i s’estan especialitzant en les diferents fases de l’atac: uns busquen empreses que tenen dades, uns altres roben credencials, després, hi ha els que entren als sistemes, els que extorsionen...” A més, afegeix el CEO d’Ackcent, en molts casos de ransomware ja no només es fixa un preu per desencriptar les dades, sinó que, després, es demanen diners per no fer-les públiques.

En la mateixa línia que Vera, la investigadora i professora dels estudis d’informàtica, multimèdia i telecomunicació de la UOC Helena Rifà opina que “les pimes pensaven, fins fa poc, que no se les mirava ningú, però ara saben que s’han de protegir”. Detecta, però, que els particulars no han fet encara aquest canvi de xip: “La gent no és prou conscient dels riscos. Molts cops reciclen contrasenyes i, quan saben que Linkedin ha patit un robatori de credencials, la canvien allà, però no pensen que tenen la mateixa a vuit llocs més.” Encara avui, hi afegeix, hi ha molts usuaris amb claus típiques com ara 1234, el que no posa les coses gens difícils a la ciberdelinqüència, que ja va prou passes per endavant.