BarcelonaLa consultora en ciberseguretat i reputació digital Selva Orejón, fundadora d'OnBranding, coneix a fons el problema de les ciberestafes. N'ajuda les víctimes a denunciar què els ha passat i a identificar els delinqüents.
Heu notat un augment de les ciberestafes?
— Sí, primer, quan es va generalitzar el teletreball amb la pandèmia. Després, quan es van començar a democratitzar una miqueta més les criptomonedes. I ara cada vegada que hi ha algun incident com ara guerres o la DANA, sempre que hi pot haver peticions d'ajuda social. O quan hi ha més ofertes i compres, com pel Black Friday, el Cyber Monday i Nadal.
Quins tipus d'estafes heu detectat?
— Hi ha les que fan grups criminals i les d'individus que van pel seu compte. Les del crim organitzat també es divideixen en diferents tipus, com les que es dirigeixen contra una persona concreta i les que es fan a l'engròs, a veure qui hi cau. Ara el que està augmentant més és el vishing.
Estafes per veu, amb trucades.
— Sí. Sovint proposen una millora de serveis, com ara de telèfon, o diuen que són del teu banc i que han detectat una transferència fraudulenta del teu compte i que si la vols anul·lar els has de dir un codi que t'envien per SMS. Però el que fan amb el codi és, al revés, autoritzar la transferència. Normalment utilitzen la tècnica de l'spoofing.
Trucar suplantant el número d'algú altre.
— Exacte. Amb una aplicació que pots descarregar a qualsevol telèfon pots suplantar fins i tot el número de l'oficina bancària de la víctima. Sovint els estafadors han aconseguit informació sobre ella per acabar de convèncer-la que són qui diuen que són. El crim organitzat actua com autèntiques empreses amb estructures enormes, data brokers que aconsegueixen informació de les víctimes i call centers que hi contacten.
Què feu quan algú us demana ajuda?
— Primer, deixar constància de totes les comunicacions, per si l'estafador les esborra. Després, descobrir qui hi ha al darrere. Identifiquem de qui són les imatges que es fan servir, si són d'algú real, i la identitat tècnica. Ho fem amb mètodes d'OSINT [intel·ligència de fonts obertes] a partir, per exemple, del correu electrònic que fa servir i amb altres mètodes, com ara IPloggers.
Trampes per determinar l'adreça IP de la seva connexió.
— Sí, enviem una imatge, un document o un enllaç i quan la persona hi clica descobrim des d'on es connecta, amb una precisió d'uns 50 metres, quin proveïdor d'internet fa servir, si fa servir una xarxa privada de navegació, etc. També n'analitzem la manera d'escriure amb la lingüística forense. Però ara estan utilitzant molt la intel·ligència artificial, que et permet escriure, per exemple, com algú del nord de l'Argentina d'entre 20 i 25 anys que ha vist unes determinades sèries.
Creix l'ús de la IA en les estafes.
— I tant. En textos escrits, però també en veu i en imatges, i en vídeo. Hi ha directius que ens han avisat que han rebut trucades estranyes que no anaven enlloc, i reunions per videoconferència on l'interlocutor no s'acabava de connectar, o entrava i sortia... Amb un minut de vídeo ja poden suplantar-lo amb IA. Li va passar al CEO de Ferrari, que ho va evitar preguntant a qui es feia passar pel director financer quin llibre li havia recomanat. I clar, no ho sabia.
¿Es poden recuperar els diners d'una ciberestafa?
— Sí, però no sempre. A vegades a les víctimes els costa denunciar, quan ho fan els diners transferits ja s'han tornat a transferir i fer el rastreig és costosíssim. O els cossos policials no en fan seguiment perquè estan desbordats. O arribes al final i les adreces IP són de països sense tractat internacional. També hi ha persones que queden tan escurades que no es poden pagar ni un advocat ni un procurador, o que estan emocionalment devastades, i no aguantarien el procés de denúncia. Però s'ha de denunciar. En casos de phishing i troians bancaris s'han recuperat bastants diners. Ahir al matí parlava amb un client que ha recuperat 20.000 euros.
I d'on van sortir?
— Del banc mateix. El banc els torna quan ha deixat de fer alguna verificació que hauria hagut de fer.
Els grans grups criminals de ciberestafadors, d'on són?
— N'hi ha de tota mena. De Llatinoamèrica he vist extorsions amb imatges molt violentes, fins i tot de persones decapitades. També m'han arribat extorsions gravíssimes en català, amb missatges d'àudio. Les estafes per Wallapop i Vinted són més aviat producte nacional, com molts dels missatges que diuen que has de pagar per un paquet a la duana. Moltes estafes romàntiques es fan des de la Costa d'Ivori, Nigèria i el Senegal. Les de criptomonedes són més de Rússia, els països de l'Est i la Xina.
Què s'ha de tenir en compte per evitar una estafa?
— Si la panxa et diu que alguna cosa no va bé, no cal que tinguis cap explicació lògica per fer-ne cas. També pots investigar una mica: comprovar si una imatge de perfil és robada a algú altre, si aquella persona té més rastre digital, si el número de telèfon fa poc que s'ha donat d'alta... I, sobretot, amb les inversions, si no en saps no t'hi posis, o fes-ho amb l'ajuda d'un professional. Els xollosno existeixen.
També la deuen haver intentat estafar.
— Sí. Amb unes sabates de Michael Kors, per exemple. Estaven molt bé, però eren massa barates. Vaig analitzar la URL [l'adreça] de la web i abans venia peixos. No les vaig comprar.
No ho han aconseguit mai, doncs?
— L'any passat em van clonar la targeta, a la Def Con.
Al veterà congrés de seguretat informàtica de Las Vegas?
— Sí. Quan vaig anar a posar la denúncia em va fer bastanta vergonya. Vaig fer la meva investigació i vaig anar als Mossos amb el dossier i els vaig dir: "Hola, soc professora vostra i m'han clonat les targetes". Li pot passar a qualsevol. Vaig reclamar al juny i encara espero que m'ho tornin, però ho faran.