Si hay algo que ha aumentado más que los precios esa es la cibercriminalidad. Desde 2019 este tipo de delitos ha crecido en España un 72%, y aún lo hará más en años venideros. Se han extendido en todas sus vertientes y es difícil que cualquier persona no haya sufrido algún intento de estafa online en estos últimos 6 meses.

Las organizaciones criminales efectúan campañas masivas de intentos de estafa, las más habituales son el envío masivo de SMS simulando que tu banco se comunica contigo de forma urgente. Ese método se conoce como Smishing y tras ofrecerte un enlace en el que si pulsas te solicitan tus datos de acceso a la cuenta online de tu banco pueden hacer y deshacer lo que quieran en tu cuenta bancaria.

Es la forma más habitual con la que cualquier delincuente obtiene datos personalísimos y críticos, ya que hoy en día si se tiene acceso a la plataforma online de tu banca pueden realizar la mayoría de acciones que un cliente particular necesita en su día a día, y eso supone cientos de millones al año que se roban de esta forma.

En España también se efectúa el Smishing simulando mensajes de Correos en el que se te indica que tienes un paquete detenido en Aduanas, y que se debería hacer un pequeño pago para que llegue a casa. También está la versión de una comunicación de la Agencia Tributaria, en la que tras entrar en pánico con un supuesto embargo te solicitan los datos de la tarjeta bancaria.

Estas son las maneras habituales, pero luego hay decenas de variantes del Smishing ya que los delincuentes simplemente obteniendo un número de teléfono o email aleatorio les ofrece la posibilidad de enviar webs simuladas solicitando cualquier información y que alguien se la ofrezca. Con los datos de tarjetas es especialmente rápido el proceso, intentan cualquier pago en cuestión de minutos y si la tarjeta no tiene un límite bajo sin solicitud de pin pueden intentar grandes pagos que no es posible retrotraerlos a no ser que el seguro de la tarjeta se haga cargo de ellos.

Campaña

En estas últimas semanas destaca la estafa del hijo, a través de la cual cualquier persona recibe un Whatsapp indicando que es su hijo y que ha perdido el móvil. La Policía Nacional ya advirtió sobre ella porque la están realizando decenas de organizaciones y estafadores a título individual.

Este método solo necesita escribir Whatsapps de forma aleatoria hasta que alguien responda. Si responden, los delincuentes simplemente fingen ser el hijo de esa persona el cual ha perdido el móvil con lo que se ganan rápidamente la confianza de la víctima. En estas semanas miles de ciudadanos están siendo objeto de esta estafa, y después de la comunicación solicitan una transferencia inmediata por un supuesto problema que debe ser resuelto en ese momento. En estas estafas se ven cantidades de todo tipo, y pueden llegar a ser de varios miles de euros.

Intentan que sea una transferencia inmediata y no un bizum porque quieren robar de una tacada miles de euros. Y al ser una transacción inmediata dificulta muchísimo que el banco origen de la operación pueda solicitar la retrotracción de ese dinero. Además en esta estafa los criminales necesitan que todo se haga en cuestión de minutos para que la víctima no dude en hacer todo lo que le piden, y no se ponga en contacto con sus verdaderos familiares. Ya que con una simple comprobación todo se les puede ir al traste.

En 2023 hay que entender que ofrecer datos sensibles como son los de acceso a tu banca online, o el número de tu tarjeta bancaria en webs que se desconozca el origen o hayan sido ofrecidas por enlaces es un riesgo similar que se corre como llevar la cartera en un bolsillo trasero del pantalón o dejar el bolso abierto en medio de un establecimiento repleto de gente.

Contra administraciones públicas 

Y, ya en otro nivel, los ataques informáticos contra administraciones públicas españolas han crecido en 6 años un 422% según Aiuken Cybersecurity. Esto es algo tan frecuente que el Departamento de Seguridad Nacional de España lo considera el primer problema de seguridad del país.

El mes pasado el Hospital Clinic de Barcelona fue objeto de un ataque de esas características, y afectó a tal nivel que no permitió el acceso a datos sensibles de pacientes durante muchas horas. Provocó la cancelación de servicios de urgencias, laboratorio y farmacia del centro, y dejaron de hacer más de 4.000 análisis de pacientes ambulatorios, más de 300 intervenciones y más de 11.000 visitas de las consultas externas. 

Tras el ataque ransomware el grupo criminal Ransom House solicitó a la Generalitat 4,5 millones de dólares para liberar los datos que habían obtenido. Esto es una extorsión al máximo nivel ya que si no se paga la cantidad que se solicita expondrán los datos de miles de pacientes en cualquier web de libre acceso.

Y en otro ejemplo, en esta semana fue detenido uno de los hackers más conocidos en España que ha realizado estas acciones contra administraciones públicas. Se trata de Alcasec, que obtuvo acceso al Punto Neutro Judicial y que le permitió penetrar a la base de datos de miles de procesos judiciales en España. Lo que consiguió fue acceder al enlace de comunicaciones entre la Agencia Tributaria y los juzgados, así obtuvo datos de cuentas bancarias e información fiscal relevante. Supuestamente luego vendió toda información a un cliente a través de pagos a Lituania.

Para conseguirlo solo necesitó que dos funcionarios de un juzgado de Bilbao colocaran sus claves en un mail en el que se simulaba la web del Punto Neutro Judicial. Algo que alerta de la poca seguridad que existe en España de datos administrativos que son clave para el funcionamiento del Estado.