A pesar de que la innovación tecnológica marca los objetivos de empresas y gobiernos, los ciberataques y fraudes se han convertido en una constante amenaza, extendiéndose sigilosamente y con efectos devastadores que afectan a la privacidad de los ciudadanos, a través del paralelo auge de la compraventa de datos personales robados, que se convierten en oro para llevar a cabo todo tipo de estafas, chantajes, y suplantación de identidades. Bancos, el Ayuntamiento de Calvià, o incluso la DGT han sido víctimas de ataques masivos que, a través del phising, consiguen obtener infinidad de datos personales.
Son bandas organizadas, con estructuras sólidas y multitud de recursos -tanto monetarios como humanos- que se dedican a investigar las vulnerabilidades de las bases de datos, utilizando, en gran medida, el desconocimiento de los empleados para enviarles enlaces malignos. Es lo que se conoce también como ingeniería social, una técnica de manipulación que aprovecha el error humano para obtener información privada y acceso a sistemas.
Calvià es uno de los ejemplos más recientes, que tras sufrir un ciberataque en enero, se constata ahora que han aparecido en la Dark Web datos sensibles, como información personal y financiera.
El método es muy sencillo: los cibercriminales hacen creer a sus víctimas que están interactuando con empresas o personas auténticas. Ante ello, es fundamental incorporar procedimientos de verificación.
Todos los datos que se venden en la dark web, desde DNI, números de tarjeta bancaria, matrículas de coche, e incluso cuándo caduca la ITV, pasan a estar en manos de los ciberestafadores que, a través de llamadas teléfonicas, SMS o correos electónicos se hacen pasar por empresas como bancos, compañías de luz o gas, incluso administraciones como la DGT, para hacer creíbles sus estafas, al hacerlas coincidir con la realidad de cada víctima, mediante el cruce de bases de datos. Por ejemplo, explica Díaz, al saber cuándo un ciudadano debe pasar la ITV, "envían un mensaje haciéndose pasar por Tráfico para avisarte que debes pagar la revisión", lo que resulta ser malicioso.
Recientemente, los datos de millones de conductores fueron robados tras un ciberataque a la DGT. Estos van desde matrículas, marca y modelo de vehículos, nombre, domicilio, población, datos del seguro, etc. por lo que se envían ataques de phising personalizados haciéndose pasar por la DGT o incluso llegan a suplantar la identidad de los afectados.
"DGT: Dispone de 24 horas restantes para pagar su multa del 24/03/2024. Consulte en el siguiente enlace". Así es uno de los SMS que han estado recibiendo algunas de las víctimas, avisando de multas que ya habían sido pagadas. Sin embargo, la URL redirecciona a una página falsa que nada tiene que ver con la oficial del organismo.
Con la información que ha sido sustraída de los conductores, los estafadores podrían suplantar la identidad y hasta conocer el nivel adquisitivo y cruzando estos datos con otros que pueden encontrar, además del cruce de datos con otros ciberataques, lo que además permite encontrar domicilio y redes sociales, acceciendo a la vida personal.
¿Qué hacer? Prevenir es la clave, incluso aunque no levante sospechas. La Policía llama a comprobar previamente todos los datos, llamando a la empresa que supuestamente contacta, para comprobar si es real.
Además, utilizan técnicas de Inteligencia Artificial o compran teléfonos parecidos o iguales a compañías existentes para hacerlo todavía más real.
Además de las posteriores estafas, dichos datos pueden utilizarse para comprar en la dark web identidades falsas para fines ilícitos.
En caso de ser víctima, es necesario comunicarlo a la identidad bancaria y denunciar ante la Policía para que se inicie una investigación. A pesar de que las bandas criminales de esta índole operan endifernets partes del mundo y reclutan a terceros para no dejar rastro. Aún así, se llevan a cabo operaciones conjuntas ante el aumento de estos grupos responsables de numerosos ataques informáticos. Junto al FBI, la Policía en Baleares logró detener en Palma al responsable de varios ataques a empresas de Estados Unidos. responsable de robar más de 27 millones de euros a través del citado método phishing.
Si hay constancia de que se hayan filtrado contraseñas, es urgente cambiarlas, mientras si son datos como nombre, dirección y DNI, los expertos recomiendan hacer egosurfing: buscarse a uno mismo en internet para encontrar posibles perfiles falsos. Por otor lado, si se han visto comprometidos datos bancarios, se debe notificar al banco cuanto antes para evaluar el riesgo y tomar las medidas necesarias, como anular la tarjeta bancaria e identificar posibles actividades sospechosas.
La diberdelincuencia, según datos del Ministerio del Interior, se ha disparado en Baleares en lo que llevamos de año; es el tipo de delito que más sube, con un 37 por ciento más respecto al año anterior. En concreto, se denunciaron casi 3.500 infracciones penales relacionadas con la ciberdelincuencia, en su mayoría estafas.