Segons una enquesta recent de Trend Micro, el 88 % de les empreses va accelerar les seves migracions al núvol l'any passat en resposta a la pandèmia. Els plans de transformació digital es van avançar i els estafadors es van aprofitar d'aquest auge del comerç electrònic i dels pagaments online.
Prova d'això és que, només en el primer semestre de 2020, els delictes informàtics van augmentar un 59 %, segons la Policia Nacional. Amb l'objectiu de prevenir-los, l'Organització de Consumidors i Usuaris (OCU) ha recomanat "molta prudència". Un advertiment al qual se suma José Carlos Manzano, director de prevenció del frau de Banc Sabadell al webinar Ciberseguretat contra el frau, i al qual afegeix que el risc és sempre el mateix: "El ciberdelinqüent s'aprofita de la ingenuïtat i de la bona fe de les seves víctimes". A més, amb la situació derivada de la pandèmia també han aparegut conceptes com el de les estafes mutants, que són aquelles en què el ciberdelinqüent ha adaptat els seus fraus de l'entorn físic a l'entorn online.
Què és, l'enginyeria social, i com detectar aquesta pràctica fraudulenta
Actualment, una de les tècniques més esteses per cometre frau en els canals digitals és l'enginyeria social. Aquesta consisteix a obtenir informació confidencial mitjançant la manipulació d'usuaris legítims, amb la qual el ciberdelinqüent pot obtenir accés o permisos per a realitzar operacions monetàries sense que el damnificat en tingui coneixement i sol fer-se mitjançant una trucada telefònica. "Els defraudadors són professionals, fan quantitat de trucades i saben, a mesura que la conversa avança, el que els és més útil per guanyar la confiança dels usuaris", assenyala Manzano.
L'exemple arquetípic i amb més volumetria són els casos en què el ciberdelinqüent suplanta la identitat d'una gran companyia de software. L'usuari rep la trucada d'un tècnic que li indica que hi ha una manca de seguretat i que per solucionar-la cal instal·lar una eina d'accés remot com ara TeamViewer. El que l'usuari no sap és que està donant accés al ciberdelinqüent al seu equip.
Una altra pràctica perillosa són els enganys en inversions en criptomonedes. L'usuari és contactat i persuadit per realitzar una inversió. Al principi, se succeeixen les inversions de petites quantitats amb les quals rep rendibilitat i, quan realitza una inversió d'un import major, no només perd tota la seva inversió sinó que també desapareix la seva persona de contacte. "Els ciberdelinqüents ho tenen tan estudiat que, quan s'han donat aquests casos i ens hem posat en contacte amb el client, aquest ens ha dit que no es fiava de nosaltres i que ja els havien advertit els estafadors que els faríem una trucada i que no havien de confiar", comenta el director de prevenció del frau de Banc Sabadell.
La segona de les tècniques que està tenint cada vegada més rellevància és aquella en la qual el ciberdelinqüent fa un duplicat de la targeta SIM del telèfon mòbil, que s'anomena sim swag. L’smartphone s'ha convertit en una peça fonamental per autoritzar les compres o les transferències i els pagaments online i actua com a factor addicional de seguretat. "Necessiten força informació, però som nosaltres els que la donem en nombroses ocasions en parlar per telèfon amb ells o en introduir les nostres dades en pàgines fraudulentes", assenyala Raúl Vázquez, director de Control de Risc Tecnològic i de la Dada de Banc Sabadell. El ciberdelinqüent, amb tota aquesta informació recopilada de diferents formes, acudeix a la companyia de telecomunicacions de l'usuari i sol·licita un duplicat de la targeta SIM. En haver fet el duplicat, l'anterior telèfon deixa de tenir servei de xarxa, de manera que la pèrdua de connexió és un bon indicador que s'està patint un atac.
Augment dels ciberdelictes amb la pandèmia
La crisi derivada de la COVID-19 ha traslladat les oficines a les llars d'una manera molt ràpida tot exposant els treballadors i les empreses a la ciberdelinqüència. Segons comenta Xavier Gracia, Soci de Risk Advisory/Ciberseguretat de Deloitte, al Podcast de Banc Sabadell, no hi ha dubte que "el teletreball ha obert un món de possibilitats per als ciberatacs".
A conseqüència d'això, la ciberseguretat s'ha convertit en una de les prioritats de les empreses privades, però també del sector públic. "Tradicionalment el sector de la defensa ha tingut un alt nivell de ciberseguretat, així com les companyies regulades o d'IT. Avui, el sector de la salut i el del turisme també són sensibles als ciberatacs i estan fent una aposta important, ja que estaven una mica endarrerits", assenyala Gracia. "En concret, els bancs van incorporant mesures cada vegada més complexes que fan que sigui molt més difícil cometre un atac", afegeix.
Pot interessar-te: Les empreses espanyoles estan preparades per a la ciberprotecció?
Quatre regles d'or contra la ciberdelinqüència
Encara que pugui semblar obvi, per a Manzano aplicar el sentit comú és el millor dels mètodes per lluitar contra els fraus online. No obstant això, és cert que en situacions d'estrès es poden cometre actes imprudents motivats pels nervis o per l'angoixa. Per això, hi ha quatre regles d'or per prevenir la ciberdelinqüència.
La primera d'aquestes regles és no facilitar mai les claus ni la contrasenya de la banca online, "l'entitat no les necessita i no les sol·licitarà mai", apunta. També és convenient revisar els e-mails que provenen del banc i, en cas que l'entitat informi d'un moviment no autoritzat, posar-se en contacte amb aquesta immediatament.
El director de prevenció del frau de Banc Sabadell també recomana revisar sempre les notificacions que es reben per autoritzar compres online, així com les confirmacions d'operacions realitzades, ja que en aquesta fase del tràmit sempre apareix el destí, el compte o el comerç i l'import i es pot identificar si hi ha alguna dada que no correspon a l'operació que s'està realitzant. Finalment, a la pantalla de la signatura o de la confirmació amb codi via SMS cal revisar sempre que l'import i la destinació són els que han de ser.
