Ciberestafes

Cada sis minuts es denuncia una ciberestafa a Catalunya

Les investigacions són complexes i només el 2,26% de les demandes arriben als jutjats

Les ciberestafes no són tan diferents de les estafes convencionals: consisteixen en enganyar la víctima per treure-li diners.
Dossier Ciberestafes Desplega
1
Cada sis minuts es denuncia una ciberestafa a Catalunya
2
Les cinc ciberestafes més habituals i les últimes tendències
3
Els consells que has de seguir per evitar una estafa digital
4
La IA, darrere del 40% de les ciberestafes de tot el món
5
"M'han arribat extorsions gravíssimes en català, amb missatges d'àudio"

BarcelonaN'hi ha que es veuen a venir, com el missatge d'un número particular que diu que és Correus i que no s'ha pogut entregar un paquet quan no has comprat res. O l'SMS amb el remitent d'una entitat bancària que diu que han accedit al teu compte tot i que no en tens cap en aquell banc. Però n'hi ha que no les esperes. El Xevi feia temps que es volia comprar unes vambes Saguaro i li va aparèixer un anunci a Instagram. L'enllaç el va redirigir a una pàgina calcada a l'oficial. Les va comprar i mai les va rebre. Només els 8 primers mesos de l'any, fins a l'agost, s'han registrat 54.000 ciberestafes a Catalunya. Són 225 cada dia, nou cada hora, una cada sis minuts. I això que moltes, com la del Xevi, mai s'arriben a denunciar i, per tant, no queden registrades.

Aquest any ja s'han denunciat un 30% més de ciberestafes que l'any passat, però la policia admet que la xifra negra continua sent alta. Ho és per la vergonya d'admetre que t'han enganxat. "Vaig quedar com un tonto", diu el Jordi, a qui van estafar 1.000 euros. També per "mandra", diu el Xevi, de fer els tràmits per pocs diners. Però també ho és per desconeixement. "Hi ha gent que no és conscient del delicte", explica el cap de la nova regió policial virtual dels Mossos, l'intendent Roger Sales. Amb una xifra negra que es calcula altíssima, les ciberestafes ja són el segon delicte més comès a Catalunya només per davant del furt: una de cada set infraccions penals és ciberestafa.

El 60% de totes aquestes denúncies són les conegudes estafes tipus smishing (SMS maliciós), phishing (per correu electrònic) i vishing (per trucada). Segons l'intendent Sales, el més freqüent és que les víctimes hagin patit un càrrec al seu compte i no sàpiguen d'on ve. Hi ha estafadors que fan tongades, sense filtrar, de missatges: "Enviar un milió de correus és gratis. Només un 1% d'èxit són 10.000 euros", apunta Sales.

Alguns se les enginyen molt més. Saben de quin banc ets (per una filtració d'informació en un ciberatac, per exemple) i envien els missatges personalitzats. Sales recorda un cas en què, clicant l'enllaç, la víctima va autoritzar que sortissin 200 euros d'un caixer. N'hi ha que han estudiat el teu timeline a les xarxes socials i, com en el cas del Xevi, s'aprofiten dels teus interessos. Fins i tot, tal com denuncia una víctima, n'hi ha que posicionen a Google un fals telèfon d'atenció al client d'una companyia aèria per agafar ells el telèfon quan algú vulgui canviar un vol. I també saben com esquivar els sistemes de doble verificació.

El Jordi va rebre un SMS del seu banc que alertava d'un incident i va clicar l'enllaç. De cop, havia d'omplir de nou totes les seves dades. En va posar algunes, com el DNI, però va sospitar i ho va deixar estar. Va rebre una primera trucada amb remitent del seu banc que li deia que li estaven intentant robar. Ell va penjar. Però li van tornar a trucar, aquest cop una persona diferent, que també deia que era del seu banc, i que li demanava els codis que li enviarien per anul·lar les operacions. Els va donar i, en realitat, estava permetent als estafadors que fessin dues transferències de 500 euros.

Conversa de la Núria amb el seu estafador.

La suplantació d'identitat

La personalització és el que més va sorprendre la Núria. Ella va rebre un whatsapp d'un veí gran, que té la dona malalta, en què li demanava diners urgentment. Aquest, segons l'intendent Sales, és un dels indicadors: "T'estan generant una inquietud i tenen pressa". Una inquietud que pot ser una intrusió en el teu compte bancari o el crit d'auxili d'un veí, que li va exigir rapidesa a la Núria. No podia fer un bizum de 200 euros i li va demanar a ella que el fes en lloc seu. Ella va sospitar, però "l'empatia va poder davant la desconfiança". Va fer un primer bizum de 200, i un de segon de 80 euros. Però qui li escrivia no era el veí, n'havien suplantat la identitat.

El fiscal delegat de criminalitat informàtica a Barcelona, Roberto Valverde, alerta que “s’han disparat molt els robatoris de comptes de xarxes socials o de WhatsApp”. La usurpació d’identitat només es considera delicte si un cop robat el compte d’un usuari es fa servir per delinquir. Els recomptes de la Fiscalia parlen de 230 denúncies el 2022, que van créixer fins a 324 l’any passat.

La Núria ho va denunciar, però explica que la policia ja li va avançar que els casos com el seu eren molt complicats de resoldre. L'intendent Sales també admet que els casos de ciberestafes són especialment difícils de solucionar i que tenen un índex de resolució per sota de la mitjana. Les estafes són amb molta diferència el delicte informàtic més denunciat. Segons dades de la Fiscalia de Barcelona, són el 95% dels delictes a internet que es denuncien, i l’any passat se’n van rebre 53.000. “Una salvatjada”, en paraules de Valverde, que afegeix que la immensa majoria de les denúncies es queden encallades a la comissaria. De fet, només un 2,26% d’aquestes 53.000 denúncies van arribar al jutjat.

El principal motiu, continua Valverde, és que moltes vegades no hi ha cap indici de qui és l’autor de l’estafa i sovint la policia no té una línia clara d’investigació. La dificultat per investigar també depèn de per quina via s’hagi comès l’estafa. “Els bancs col·laboren amb la justícia; si se’ls demana informació, contesten. Però les xarxes socials, no”, explica el fiscal. "Tota estafa deixa un rastre", afegeix l'intendent Sales. Aquest rastre, però, a vegades condueix a un estat fallit, o un paradís fiscal. Els Mossos demanen qui s'amaga darrere d'un compte, però les comissions rogatòries es queden sense resposta.

L'intendent dels Mossos Roger Sales fotografiat per l'ARA.
L'intendent dels Mossos Roger Sales.

Els estafadors fins i tot utilitzen algunes de les seves víctimes per crear pantalles. El compte on la Núria va enviar el bizum era d'una altra víctima. I fan servir mules. Un jove que prefereix mantenir-se en l'anonimat s'hi ha trobat sense voler-ho. Un amic li va dir que havia conegut algú que li donava regals a canvi de permetre-li fer ingressos de 1.500 euros al seu compte, i el va convèncer perquè també s'ho deixés fer. Ara aquest jove es troba involucrat en una causa judicial.

La investigació

Els Mossos volen fer front al conflicte amb la nova regió policial virtual, que pilota Sales. Ara té una vintena d'agents, però al gener ja seran 40 i una quinzena estarà exclusivament dedicada a investigacions. L'objectiu és que totes les denúncies passin per ells i tenir una visió "macro" del fenomen. La clau, diu Sales, són les "primeres gestions" i automatitzar més els processos. "Volem fer com Henry Ford, una cadena de muntatge", apunta. També estan estudiant obrir la possibilitat de denunciar online.

I també hi haurà agents ciberpatrullant. La seva funció, bàsicament, serà navegar per webs obertes i detectar, per exemple, la web falsa de venda de vambes per on el Xevi va fer la compra. O detectar que hi ha un mateix producte de Wallapop que es ven a diversos països. És a dir, prevenir. Aquesta prevenció li hauria anat bé a l'Eudald. Ell va comprar una PlayStation 5 per Wallapop. El venedor li va ensenyar que anava a Correus i després li va passar el que semblava un rebut de l'enviament. En aquell moment, ell va pagar la meitat de l'import. La PlayStation, però, mai no va arribar.

La professionalització

Les ciberestafes que causen més pèrdues són les que es cuinen més lentament, en què els estafadors teixeixen una relació llarga amb la víctima, explica l'advocat penalista i professor de cibercriminalitat Andreu Van den Eynde. Com les falses inversions, siguin de diners convencionals o criptomonedes, en les quals els estafadors persuadeixen la víctima i hi acaben creant una "relació de confiança". L'intendent Sales recorda un cas que el va marcar: un home a qui el van estafar amb falses inversions i que, després, va rebre la trucada d'un bufet d'advocats per defensar-lo. També eren els estafadors.

I aquí també hi ha les estafes romàntiques: l'intendent recorda el cas d'una dona que va rebre un missatge d'un pretès metge de l'exèrcit de terra que estava de missió al Iemen. La va acabar convencent per donar-li uns diners per poder obtenir un permís. Van den Eynde explica el cas d'un jove que va anar al seu despatx perquè havia conegut per internet una noia que estava en una presó russa. "Li has de dir a una persona enamorada que la seva xicota no existeix", diu l'advocat.

Van den Eynde també porta ciberestafes a empreses, que són freqüents, tot i que a vegades a les companyies els costa denunciar pel "cost reputacional". Ara du el cas d'una estafa de 800.000 euros i una altra de 450.000. Els estafadors estan professionalitzats, fins al punt que aconsegueixen aturar correus entre empreses i proveïdors per canviar el número de compte o intervenen les comunicacions fent-se passar pel proveïdor, quan parla amb l'empresa, i per l'empresa, quan parla amb el proveïdor.

El frau amb targetes a les empreses

Marc Nieto, fundador i CEO de MP Services, una companyia que es dedica a ajudar empreses a gestionar el frau amb targeta online, explica que el frau amb targeta s'ha reduït molt des de l'aprovació de la segona directiva europea de serveis de pagament i que, de fet, per a les empreses evitar el frau en els pagaments amb targeta és "fàcil" si s'imposa el doble factor d'autentificació a tots els pagaments. "Però això és fer-ho pel broc gros, i afecta les vendes", afegeix; per això ells ajuden les empreses a prendre aquesta mena de mesures "amb precisió".

"A partir d'algoritmes podem definir com és d'arriscada una transacció i aplicar mesures com el doble factor o fins i tot bloquejar-la", diu Nieto. Aquests algoritmes tenen en compte criteris com ara si un client ja ha comprat abans en aquell negoci i tot ha anat bé, l'import i el tipus de producte que es compra, el tipus d'e-mail del comprador o fins i tot el domicili on s'ha d'enviar el producte. "Al sud d'Itàlia hi ha poblacions on ens hem trobat 60 fraus en un sol carrer", explica. Afegeix que s'està preparant una tercera directiva europea que permetrà que les empreses puguin compartir informació sobre el frau perquè "els defraudadors s'aprofiten de la legislació de protecció de dades". El frau que abans es feia amb les targetes, assegura, ara es fa sobretot amb enganys d'enginyeria social, mitjançant transferències o pagaments amb Bizum, per exemple.

Dossier Ciberestafes
Vés a l’ÍNDEX
stats