La criminalidad en España aumentó en el primer semestre de este año un 3%, un alza impulsada por el incremento de los ciberdelitos, que suben un 9,2%, los homicidios y asesinatos, que crecen un 8,3% y las violaciones, que también suben un 6,9%.

Son los datos que se desprenden del balance de criminalidad publicado por el Ministerio del Interior, que señala que entre enero y junio se contabilizaron 1.224.084 infracciones penales frente a las 1.188.886 que se registraron en el primer semestre de 2023. Del total, un 80% fueron delitos convencionales y un 19,4% cometidos en el ámbito virtual y que aumentan un 9,2% respecto al primer semestre del pasado año. Interior destaca que en 8 años este tipo de estafas han aumentado un 508 %, dado que en 2016 apenas se registraron 70.178.

La cibercriminalidad seguirá en aumento

Este aumento de la cibercriminalidad frente al resto de delitos se debe a las mayores facilidades para cometer estafas informáticas, junto a la capacidad de los delincuentes de mantener su anonimato, lo que dificulta su detención. Esto, unido a la disponibilidad de múltiples kits y herramientas que permiten a cualquier aprendiz de ciberdelincuente iniciarse en el delito, son las causas principales de este notable incremento que aprovecha el inmenso canal de más de 4.000 millones de smartphones mundial.

El porcentaje de víctimas de género masculino y femenino está muy igualado (el 51,9%, frente al 48,1%, respectivamente). La mayoría tiene entre 26 a 40 años y fueron objeto principalmente de los delitos de fraude informático, amenazas y coacciones y falsificación informática. Si nos centramos en los datos de las víctimas de fraudes informáticos en concreto, el perfil se repite. La mayoría son hombres (aunque el porcentaje de mujeres víctimas está muy igualado) y tienen entre 26 y 40 años.

Aunque hay que añadir, que entre los mayores de 65 años un 93,77% de las víctimas lo ha sido por fraude informático. Es el incremento de las estafas a través de SMS (conocido como smishing) el que consigue que la población mayor de 65 sea “especialmente vulnerable”, ya que están acostumbrados a recibir contenidos por este canal.

Esta mayor vulnerabilidad a los SMS, unido a las técnicas usadas por los delincuentes que incluyen la suplantación del identificador de, por ejemplo, su banco, o la llamada de un supuesto operador para hacer pasar el mensaje SMS fraudulento por uno legítimo, explica por qué este rango de edad es especialmente vulnerable a este tipo de estafas.

En estos momentos la Oficina de Seguridad del Internauta (OSI), perteneciente al Instituto Nacional de Ciberseguridad (INCIBE) ha alertado de que están circulando varias campañas de envíos de correos electrónicos (phishing) y SMS (‘smishing’) fraudulentos que suplantan a entidades bancarias como CaixaBank, Santander, Kutxabank o BBVA con el objetivo de robar las credenciales de los usuarios a través de técnicas de ingeniería social. A estas tácticas hay que sumar el “vishing”.

El smishing afecta más a los mayores

El smishing es una práctica fraudulenta en la que un ciberdelincuente trata de obtener información personal o financiera de un usuario mediante un mensaje de texto (SMS). También puede ocurrir en mensajería instantánea como whatsapp (redes sociales). Para ello, el delincuente busca hacerse pasar por una entidad bancaria u otras organizaciones, como pueden ser las emisoras de tarjetas de crédito, compañías eléctricas, Correos, Hacienda…etc.

Estos mensajes suelen ser falsas alertas de robos de passwords, cancelar una transacción fraudulenta, compras en establecimientos, promociones y premios, etc., mostrando la necesidad de que el usuario actúe con urgencia. Además, van acompañados de un enlace a una página web simulada en la que nos piden introducir nuestros datos personales o bancarios -por ejemplo, el documento nacional de identidad y la contraseña con la que accedemos a nuestra app de banca online-, descargar algún archivo o instalar alguna aplicación. Para tratar de aumentar la credibilidad de la fuente, en muchos casos incorporan elementos identificativos del banco o la empresa en cuestión, como puede ser su logo, urls similares o su nombre, tanto en la propia web como en el enlace proporcionado.

El phishing es lo mismo pero con canales más al día

El phishing es una técnica muy similar, cambiando el canal de acceso para obtener información personal y bancaria de los usuarios, por esa vía se envían mensajes suplantando a una entidad legítima, como puede ser un banco, para engañarles y manipularles a fin de que realicen una acción que ponga en peligro sus datos. El fraude se inicia con un mensaje de e-mail o Whatsapp, que tiene por objetivo asustar al usuario, instándole a actuar con rapidez, según las indicaciones del mensaje, para que facilite sus datos bancarios personales.

El vishing es para los virtuosos del teléfono

En el vishing los delincuentes utilizan el teléfono haciéndose pasar por empleados del banco donde se tienen las cuentas. Y sí, los listados de clientes bancarios con sus datos, teléfonos y hasta números de cuenta circulan por internet producto de robos y fallos de seguridad en las redes bancarias. Pero les faltan las claves y aquí tenemos al ciberdelincuente persuasivo que se hace pasar por un empleado del banco y mediante todo tipo de argucias, como que se han producido movimientos sospechosos en tu cuenta, transferencias de importes elevados, o cargos en tu tarjeta consiguen asustar a su interlocutor, que se ponga nervioso y vulnerable y que les proporcione las claves bancarias o, incluso, que les realice una transferencia. Ya son muchos los afectados por este tipo de intentos de estafa.

Es preciso tener en cuenta que una llamada del banco es casi siempre un intento de engaño, porque los bancos no suelen llamar sin previo aviso sobre operaciones sospechosas. Cuando se recibe la llamada es preciso mantener la calma y desconfiar de la persona que llama que aportando parte de nuestros datos intentará hacerse con nuestra confianza.

La nueva oleada de estafas por smishing acumula ya afectados por más de medio millón de euros y la Guardia Civil continúa alertando de las distintas tácticas y mensajes utilizados.

Para evitar engordar el botín de los ciberdelincuentes

Para evitar estos tipos de estafa mediante falsos mensajes del banco, hay ciertas cosas en las que debes fijarte. La primera es que tu banco nunca te va a enviar un SMS con enlaces o pidiéndote tus claves para acceder a la cuenta.

Hay que revisar bien la url y desconfiar si está cortada o lleva el dominio del banco incluido en otro más largo para acabar.  Además, por alguna extraña razón, los mensajes parecen escritos por analfabetos profundos, con errores gramaticales u ortográficos, Para finalizar siempre intentan asustarte y presionarte para que tomes decisiones rápidas.

Si a pesar de todo has caído en el garlito y te han desvalijado 

Lo primero que debes hacer es informar inmediatamente a la Entidad Bancaria, para que bloquee el medio de pago y emita unas nuevas credenciales de seguridad. A continuación, debes interponer una denuncia ante la Policía Nacional o Guardia Civil, detallando el método usado para la comisión del fraude. No lo dejes de hacer porque la necesitarás. Y por supuesto, guarda como oro en paño, todos los mensajes recibidos del estafador -Phiser se le llama- para poder acreditar cómo se cometió el fraude, cómo se inició la orden de pago y la falta de consentimiento de la orden. Y esto es importante para el siguiente paso.

No desesperes, no está todo perdido

Si finalmente has sufrido la estafa y ha desaparecido tu dinero conserva la mente fría, porque puede ser que puedas recuperarlo. En una gran parte de los casos los bancos deben responsabilizarse de las perdidas sufridas por sus clientes.  Pero hasta ahora, la política de las entidades financieras ha sido la de negar la devolución del dinero estafado y confiar en que la mayoría de las víctimas de phishing tendrán miedo a iniciar una vía judicial. Como tú, el resto de afectados piensan que la culpa es suya, ya que no se cercioraron que la web, email o mensaje que recibieron era falso. La realidad es que el Banco puede tener responsabilidad en todo ello y un abogado especializado puede ayudarte y mucho.

La Entidad Bancaria opondrá la negligencia del usuario en la protección de sus datos personales para eludir sus obligaciones. La Ley de Servicios de Pago (LSP), establece que el usuario deberá soportar las pérdidas de la operación cuando haya incurrido en tales pérdidas por haber actuado de manera fraudulenta o por haber incumplido, deliberadamente o por negligencia grave, alguna de las obligaciones que le incumbe. Sin embargo, y esto es importante, debe ser la Entidad Bancaria quien demuestre la negligencia grave del usuario.

Sin autorización expresa el banco debe devolver el dinero

La Directiva de Servicios de Pago (DSP2) obliga a las entidades bancarias a que las órdenes de pago se realicen mediante una autenticación reforzada (Arts. 97 y 98) o lo que es lo mismo: que la operación esté validada con la clave personal y, además, con un factor biométrico o una clave aleatoria generada en cada operación, que debe ser enviada al usuario para revalidar la operación. A esto se le llama el doble factor de autenticación/seguridad, al que ya estamos acostumbrados al hacer operaciones financieras.

Son los bancos, como proveedores de los servicios y medios de pago, los que deben disponer de mecanismos de supervisión de las operaciones que les permitan detectar operaciones de pago no autorizadas o fraudulentas. Deben poder detectar que los elementos de autenticación, las claves personales,  han sido comprometidas o sustraídas y deben detectar señales de infección por programas informáticos maliciosos en el proceso de autenticación.  El Art. 45 de la LSP añade, que cuando se ejecute una orden de pago no autorizada el banco debe devolver al cliente el importe de la operación.

Prudencia, desconfianza y cuidado ahí afuera

Con más de 4.000 millones de smartphones por el mundo, un intenso comercio de bases de datos robadas a bancos y grandes empresas y una dark web en la que resulta fácil y barato encontrar las necesarias herramientas y conocimiento para poner en marcha tu propio negocio de piratería informática, como si fuera una tienda de chuches o una pizzería, a lo que hay que sumar que a los grandes bancos les resulta más barato resarcir de sus pérdidas a los que reclaman que  mantener al día la seguridad de sus sistemas en una lucha constante con la ciberdelincuencia, resulta fácil de entender que la situación va a empeorar. Y que en un espejo podemos ver reflejado al principal garante de nuestra seguridad. Prudencia, desconfianza y cuidado ahí afuera, porque la situación va a empeorar y cada día nos sorprenderán con nuevas tácticas.

Periodista económico

Eduardo Lizarraga

WWW.AQUIMICASA.NET