Vulnerables ante las ciberestafas, ¿también indefensos?

«Toda persona que tenga un dispositivo electrónico es vulnerable». Y las organizaciones cibercriminales tienen cada vez más poder, y están más organizadas. El negocio fundamental de los ciberdelincuentes es obtener datos personales y credenciales de medios de pago, como número de tarjetas o claves de acceso a la banca electrónica. De hecho, según los últimos datos, cada dos minutos se produce una víctima de robo de datos personales de sus dispositivos.

El 85% de los ciberdelitos que se cometen son estafas, pero sólo un 2,5% acaban en condena. Es así porque «adolecemos de una legislación preventiva en este campo, y también de una adaptación a la realidad y una mejora urgente en el ámbito penal». Lo explica la Asociación Internacional de Víctimas del Fraude Digital y Ciberestafa (https://asociacionaivc.com), que insiste en la falta de «campañas de información, sensibilización y divulgación de este drama personal y empresarial, que alcanza ya a un millón de afectados cada año».

Aunque lo que considera más grave, y parte también de su razón de ser, es «el abandono y la doble victimización de los afectados, de forma que 850.000 de ellos no se atreven a denunciar. A menudo son tratados casi como culpables por haber sido estafados. Y eso debe cambiar radicalmente».

Con esta asociación colabora el ingeniero leonés Pablo Escapa Gordón, ingeniero técnico en Informática de Sistemas y en Telecomunicaciones, ingeniero superior en Telecomunicación, graduado en Ingeniería Informática y máster FNS Cisco Systems, profesional en Ciberseguridad del Instituto Nacional de Ciberseguridad (Incibe) y máster también en investigación en Ciberseguridad, además de haber recibido varios premios nacionales en la materia. Escapa es además miembro de la Asociación Nacional de Peritos en Nuevas Tecnologías (Petec, https://periciatecnologica.org/), y cuenta con su propia página, https:www.ciberlex.es.

El polilfacético ingeniero leonés lleva habitualmente casos como la certificación de whatsapp, la obtención de evidencias digitales,... También la conocida como estafa BEC (Business Email Compromise), o fraude del CEO, una de las tendencias actuales de la ciberdelincuencia en la que un empelado de nivel recibe un mensaje o correo de su CEO en el que de forma personal y confidencial le reclama transferencias o datos importantes sobre la empresa. Una urgencia que ‘despista’ al empleado sobre el origen del email y le lleva a enviar la información.

«Consiste en que alguien compromete bien el correo electrónico de un proveedor o el del cliente propio, y es capaz de modificar las facturas cambiando el número de cuenta. En estos casos lo que planteamos en el juzgado es que no se debería abonar la transferencia porque el titular no coincide con el beneficiario. Y que esto ocurre además desde la aplicación del formato SEPA. Los jueces suelen entender esta circunstancia, y dan la razón al estafado», señala Pablo Escapa.

El ingeniero, que además de actuar como perito judicial ha coordinado algunas resoluciones del Incibe, explica que, en general y para todo tipo de incidentes, lo más aconsejable es que todo el mundo que sea víctima de una estafa de este tipo lo denuncie ante las fuerzas y cuerpos de seguridad del Estado, «para intentar localizar a los responsables»; y que lo comunique al Incibe a través de su CERT, «ellos podrán intentar evitar que nuevas víctimas caigan en la misma estafa a través del proceso de gestión de incidentes». En último caso, que «contrate a un abogado y un perito especializado tanto para llevar la reclamación amistosa contra el banco como para la posible reclamación judicial».

Pablo Escapa se refiere en concreto a uno de los casos que más repercusión ha tenido este año entre los ahorradores leoneses, la brecha de seguridad que se abrió en el proceso de fusión de Unicaja Banco y Liberbank. Aunque este tipo de estafas se están produciendo en todas las entidades financieras.

«Lo que ocurrió durante el proceso de fusión es que se desatendieron muchos servicios y causaron vulnerabilidades. Se produjo una especie de campaña contra el banco, en la que se obtuvieron algunos datos». El ingeniero explica que el sistema habitual de estafas contra el banco se basa en smishing o phising.

Las estafas

«Es el siguiente: una persona recibe un SMS, que indica que su cuenta está bloqueada, o similiar. La intención es que las víctimas pulsen el link que continene. Una vez dentro es una página de formato similar a la legítima, el cliente piensa que es la correcta e introduce sus credenciales».

Una vez que los atacantes han conseguido estos datos ya pueden acceder a la cuenta de las víctimas. «El siguiente paso es hacer una transferencia, normalmente a una cuenta a nombre de una ‘mula’. Y, de ahí, a una cuenta en el extranjero». Para llevar a cabo todo este proceso están preparados para simular ser personal del banco, incluso con teléfonos que coinciden «en este caso con el prefijo de Unicaja. Ejecutan la transferencia y en cuanto la persona recibe el SMS con el código de confirmación le llaman. Mediante ingeniería social le acaban liando para que dé ese código». No es la única técnica que utilizan. Pablo Escapa señala que «en otros casos simplemente se duplica el número del teléfono móvil, y en esos casos la responsabilidad puede ser también de la operadora. Y donde el banco suele lavarse las manos, porque el usuario es quien realmente acepta el pago».

Insiste en que «con los SMS, y a través de una técnica de enmascaramiento, se consigue hacer c reer que es Unicaja o el banco que sea quien los envía. Incluso en el móvil se anexan a los que hemos recibido antes de parte de la entidad».

Escapa señala que «a partir de ahí, lo que intento como perito es demostrar que el banco no ha tomado las máximas medidas de seguridad, las que se adaptan a los nuevos escenarios y a las que está obligado por la legislación europea. Es así porque existen diferentes mecanismos para que ese tipo de ataques no se lleven a cabo. Por ejemplo, que sólo se permita el acceso al banco desde los dispositivos que elija el usuario».

Otra de las medidas de seguridad que se cuestionan en este tipo de procedimientos es el sistema de autentificación reforzada, «dado que porque se vulnere una medida de protección no se tienen por qué saltar el resto».