Los ciberdelincuentes roban más de 1,7 millones de euros a 200 particulares y empresas ourensanas desde enero

Los ciberdelincuentes actúan rápido, cambian de método constantemente y cuentan con un aliado: sus potenciales víctimas no suelen desconfiar o tienen poca destreza digital. En Ourense, este escenario se traduce en que se han cursado ya doscientas denuncias por este tipo de estafas planificadas en la red desde enero hasta hoy. El balance es un desfalco a particulares y empresas ourensanas de 1.700.350 euros. Un daño económico muy alto para los perjudicados y un lucro fácil para los delincuentes, así lo resume Efrén Varón, experto de la Guardia Civil en la lucha contra el cibercrimen, que sabe que los cibercriminales siempre van por delante, “nunca vamos a menos, cada día aprendemos un modus operandi distinto”. En las últimas semanas, varias empresas ourensanas han sido extorsionadas y por distintos métodos.

Para conocer más detalles de cómo actúan y cómo protegernos de los que nos acechan al otro lado de la red, preguntamos a Varón:

¿Han aumentado las denuncias en lo que llevamos de año?

A día de hoy, desde enero ya hemos superado las doscientas denuncias en Guardia Civil y tenemos habitualmente una tendencia alcista, nunca vamos a menos.

El verano tiene un impacto especial en el balance, ¿por qué aumentan en verano?

Aumentan en verano porque la gente tiene más tiempo libre, se encuentra fuera de su lugar de residencia y realiza más compras a través internet. Además utilizan todo tipo de pasarelas como pueden ser Wallapop, Vinted o Milanuncios para comprar artículos de todo tipo. También por los alquileres vacacionales. Hay gente que busca su lugar de vacaciones y se fían de anuncios que, en ocasiones, acaban pues siendo fraudulentos.

Vamos a dividir en tipos de ciberdelitos. Por una parte, cuando las pequeñas y medianas empresas son el objetivo y, por otra parte, las estafas a particulares. ¿Se incrementan en ambos casos en Ourense?

Si, en el caso de estafas a pymes, la Guardia Civil ha registrado este mes de octubre hasta cuatro estafas. Una denuncia ha sido por un ataque tipo ransomware (secuestro de datos), otro es un ataque en el que el estafador utiliza el correo electrónico para engañar a alguien para que envíe dinero o revele información confidencial de la empresa, una modalidad que se conocecomo BEC (Business Email Compromise) o ataque al proveedor, un ataque de vishing a través de voz y filtración de datos de participantes y, por último, un delito contra la propiedad intelectual que ha afectado a una empresa que ha visto cómo sus vídeos de formación han sido filtrados a través de redes sociales.

En algún caso hablamos de una cuantía importante estafada...

Tenemos ahora mismo un caso en el que se han alcanzado los 30.200 euros estafados.

El ciberdelincuente accede al correo electrónico de la empresa, una vez que se mete dentro de ese correo electrónico, establece unos filtros en la entrada de mensajes. Pueden ser "pago", "pagaré", "albarán"... palabras relacionadas con temas de dinero. Ese mensaje se va directamente a la carpeta de spam. Normalmente, un trabajador o un empresario no tiene tiempo para mirar el spam y el ciberdelincuente, al ver que ha entrado en spam información valiosa, extrae el adjunto, modifica el número de cuenta con un programa de edición de fotografía y lo devuelve a la bandeja de recibidos. El empresario recibirá ese correo con el adjunto ya "vitaminado" para hacer el pago en otra cuenta completamente distinta a la inicialmente requerida.

¿Qué se debe hacer cuando una empresa se da cuenta?

Lo primero, hablar con el banco explicarle que hizo un pago en una cuenta que no era la original e interponer denuncia. El trámite tiene que ser bastante rápido porque la Guardia Civil tiene colaboración con los responsables de ciberseguridad de las entidades bancarias y si la denuncia es inmediata quizá se puede cortar a tiempo.

¿Son delitos fáciles de investigar?

Son fáciles, entre comillas, porque vamos a saber quién es el beneficiario de la cuenta, a dónde se remitió el dinero. Nosotros nos basamos en la trazabilidad de las transacciones económicas realizadas. El problema es que no sólo se ciñen una cuenta bancaria, van saltando de cuenta en cuenta. Lo que nos interesa es bloquear el dinero, pero cuando llegamos a la primera cuenta bancaria, el dinero ya no está ahí. Es una traba para recuperar el dinero.

Si hablamos de estafas a particulares, ¿cuáles son las más comunes?

La venta de bienes que no existen. El ciberdelincuente utiliza ingeniería social y pone un un anuncio en una plataforma de compraventa de artículos de segunda mano y utiliza el engaño de toda la vida para recibir el dinero de algo que no existe.

¿A pesar de que esas plataformas se promocionan como espacios seguros?

Es seguro si la compra se hace dentro de la plataforma, pero el ciberdelincuente va a utilizar todos los medios posibles para hacer la transacción por fuera esos servicios.

¿Algún caso del que podamos hablar en Ourense?

Tenemos la venta de un vehículo entre particulares. El ciberdelincuente pidió un depósito, una especie de entrada y alegó unos gastos de transporte que hubo que pagar por adelantado, otro pago por pasar Aduanas y luego por una serie de revisiones de un mecánico. Así hasta que la víctima perdió una cantidad importante de dinero.

El delincuente va a tener una cuenta a nombre de una identidad de otra víctima y el dinero lo van a transferir a un país que, habitualmente, es extracomunitario, así que recuperar el dinero es complicado.

¿Se deja de denunciar por vergüenza?

Muchas denuncias no se cursan porque se piensa erróneamente que van a acabar en el cajón del olvido y no es cierto. Nosotros investigamos todo y le damos respuesta a todas las denuncia que interponen ciudadano.

Consejos para ir por delante de los ciberdelincuentes

Efrén Varón, experto en cómo ganar la batalla a los estafadores online, relata que cada vez se dan más y nuevas estafas online, que no se puede bajar la guardia. También sabe que la prevención es clave para contener el número de casos y no se cansa de insistir en estos consejos:

1. Mantener una actitud vigilante ante correos electrónicos o comunicaciones a través de SMS que puedan contener algún tipo de enlace donde hacer clic encima de ellos. "Nunca deberíamos hacer clic, nunca. Siempre entrar a través del navegador y teclear nosotros la dirección del banco o del correo electrónico".
2. Las pymes deberían utilizar, a la hora de hacer un pago, un factor de doble autentificación. Esto significa que "antes de hacer el pago se llama por teléfono a la empresa y se obliga a comprobar la cuenta y si la factura que se ha recibido es la que corresponde a la entidad a la que se va a hacer el pago".
3. Todos los dispositivos deben contar con una actualización de seguridad para evitar "puertas traseras" por las que un delincuente pueda entrar en contacto con información sensible.
4. Nunca se deben facilitar copias del DNI y si hiciera falta en ámbitos educativos o a la hora de pedir alguna ayuda, subvención o beca, se deben entregar copias siempre en blanco y negro con la fotografía y la firma pixelada. "Nunca entreguemos el DNI, por ejemplo, a través de Whatsapp", insiste Varón.
5. Ante las llamadas insistentes que, muchas veces se reciben y más, como consejo a personas mayores, hay una lista de exclusión que se llama "lista Robinson". "Si buscamos lista Robinson en internet e introducimos los datos que nos piden, es de obligado cumplimiento para todas las empresas no usar esos números, no pueden llamar".
6. Y por último, sentido común y, ante la duda, preguntar. "Existe un número de teléfono que es el 017 que es del INCIBE. "Si una persona no se fía o tiene alguna duda, puede llamar este número de teléfono que es gratuito y ahí le pueden orientar perfectamente", concluye Efrén Varón.