Jefe de la Sección de Ciberdelincuencia de la Comisaría Provincial de Málaga

Andrés Román: «Los ciberdelincuentes se aprovechan de pasiones humanas que nos hacen tremendamente vulnerables»

-El último balance de criminalidad señala los ciberdelitos como la modalidad delictiva que más aumenta: un 52% en 2023. Y el 90% son estafas informáticas. ¿Qué hay detrás de este alarmante incremento?

-Las ventajas que proporciona Internet para la comisión de delitos patrimoniales. Los ciberdelincuentes pueden querer dos cosas de ti: tu cartera, en el 90% de los casos, o hacerte mal; pero eso no es un ciberdelincuente, es alguien que te quiere mal. ¿Y de qué se aprovechan? De la posibilidad de hacer ataques masivos y llegar a una gran cantidad de víctimas. Antiguamente el delincuente se tenía que acercar a ti. Ahora no, basta con apretar un botón. Y hay otras ventajas. Una es la anonimización. Anonimizarse en internet es muy fácil: VPN, 'proxys', servidores en el extranjero. El delincuente trabaja desde su casa, ya no tiene que moverse. Otra es la mayor eficacia para obtener el beneficio gracias a las criptomonedas. Nunca antes había sido tan fácil disponer de los beneficios del delito; los mueves a la velocidad de la luz. Antiguamente existían paraísos fiscales; ahora existe un único paraíso digital basado en las 'cripto' que permite una puesta a disposición en tiempo real. Todos estos ingredientes facilitan la comisión de delitos en Internet, que se ha convertido en el verdadero paraíso del que quiere ganar dinero. La droga está superada, es algo primitivo: tienes que cultivarla, transportarla, distribuirla... En Internet el dinero se hace a golpe de teclado. Por eso la delincuencia organizada se está moviendo hacia la ciberdelincuencia. Lo que pasa es que requiere cierta cualificación, cierto conocimiento. Pero tampoco hace falta ser un experto. Y si me preguntas lo que está marcando la diferencia, es el cibercrimen como servicio.

-Cibercrimen como servicio... Suena a negocio respetable.

-Hasta hace un tiempo, tú para ser un ciberdelincuente necesitabas tener conocimientos de informática. Ahora ya no. Bastan unos mínimos conocimientos porque se subcontratan o se alquilan las armas necesarias para atacar. Hay chavales que en canales de Telegram compran paneles [programas o aplicaciones creadas para realizar ataques de 'phishing' o 'smishing' masivos]. Por otro lado compran un listado de datos de clientes que han sido robados a alguna entidad y con esta combinación ya sólo tienen que apretar un botón para lanzar 10.000 mensajes y esperar a ver quién cae para ejecutar la estafa. Hay toda una industria dedicada al robo y la venta de datos a bancos, grandes empresas... Así que yo lo robo, lo pongo a tu disposición y tú estafas, porque a mí no me es rentable estafar, lo que me es rentable es venderlo por canales anónimos. La dinámica del ecosistema de la ciberdelincuencia, entendida como negocio, vendría a ser esta: tenemos el 'empresario', que es el ciberdelincuente, y que no tiene por qué ser un especialista. Él contrata a 'proveedores' de cibercrimen como servicio; esos servicios son los ataques. Y luego tenemos a los 'clientes', que son las víctimas. El 'cobro' se ejecuta a través de 'mulas' digitales, medios de pago digitales inmediatos y criptomonedas para blanquear. Esto es muy peligroso porque el cibercrimen se ha democratizado y ya es muy fácil hacerlo anónimamente desde tu casa, si conoces los procedimientos.

-Y sin violencia.

-Y sin violencia. Y además, está la supraterritorialidad: múltiples países implicados. Te pongo un ejemplo, una página falsa de comercio electrónico. La web se aloja en Singapur, pero el ciberdelincuente utiliza una VPN de Croacia. Y, además, ha utilizado una identidad para recibir el dinero a través de una falsa oferta en Infojobs. Esa oferta fue puesta en Estados Unidos y el dinero fue ingresado en un 'exchange' de Nigeria. Esto hace más complicado hacerle frente.

-Ha explicado cómo funciona la parte de la 'oferta', es decir, de los cibercriminales. Siguiendo con la analogía empresarial, para que se cometan delitos tiene que haber 'clientes', o sea, víctimas. ¿También ha aumentado nuestra vulnerabilidad?

-El culpable de que la cibercriminalidad se haya convertido en el producto estrella no es tanto el delincuente como las vulnerabilidades que tenemos en nuestro 'cuerpo digital'. Los malos no hacen más que aprovechar pasiones humanas que nos hacen tremendamente vulnerables. ¿Por qué le entregamos millones a una supuesta empresa de inversión en criptomonedas sin siquiera buscar referencias en Internet? ¿Por qué entregamos las puertas de nuestra intimidad a alguien que no conocemos en forma de fotografías sexuales? ¿Por qué nos enamoramos de un charlatán y le damos 50.000 euros? ¿Lo haríamos en la vida real? No. Esto [señala la pantalla] produce una alteración cognitiva. Nos produce una desconexión del mundo real y se alteran una serie de procesos psicológicos. Creemos con mayor facilidad lo que nos dicen; nuestra percepción del riesgo disminuye. Porque en el mundo real nosotros percibimos, pero aquí imaginamos. Todo esto fue catalizado y acelerado por la pandemia.

-Así que las pantallas agrandan las brechas por las que se cuelan los delincuentes.

-Efectivamente. Al final el problema de la ciberdelincuencia no es tanto que haya delincuentes, sino que se aprovechan de nuestras vulnerabilidades. La infección de tu 'cuerpo digital' es más fácil si tú abres tus mucosas. ¿Por qué nos movemos los seres humanos? Por el sexo, por las emociones, por el amor, por la avaricia... A través de estas pasiones nos estimulan... y picamos. Con la avaricia, te atraen con la promesa de ganancia fácil. Como decían nuestros abuelos, nadie regala duros a pesetas, pero a veces nos creemos que sí. Las 'broker scams' (estafas del 'broker'), por ejempl. Hace unas semanas ha llegado una denuncia por uno de los casos más espectaculares que he visto: 3.200.000 euros le han estafado a un empresario malagueño a través de una página web que le hacía creer que tenía inversiones en Bitcoin. Esto no es un fraude de los masivos, es más elaborado; había llamadas también, que contribuyeron a crear un vínculo. La víctima iba viendo cómo sus supuestos ingresos iban subiendo y además, le iban repartiendo parte de los beneficios para alimentar su avaricia. ¿Qué hay de fondo en este tipo de casos? Simplemente promesas y llamadas para ganarse la confianza de la víctima y alimentar esa pasión, que es lícita, de la avaricia. Por el sexo llegamos, por ejemplo, a la sextorsión. Todos los días tenemos casos de personas adultas que caen en estos chantajes. Y por el amor llegamos a la estafa romántica, que es una gran desconocida. También son trabajos más elaborado porque tienen que mantener el contacto, pero son los más rentables, porque la persona que se enamora y tiene la certeza de que está ayudando a otra persona llega a pagar cantidades espectaculares. En resumen: el problema está en la persona; no está en el delincuente. El delincuente simplemente lo que hace es aprovechar esa debilidad. Si a eso le sumas los nuevos trucos de magia digitales, como el 'spoofing' o maquillaje, se forma el cóctel perfecto para acrecentar esa vulnerabilidad.

-¿Qué es el 'spoofing'?

-Es un conjunto de técnicas a través de las cuales un atacante se hace pasar por una entidad distinta a través de la falsificación de los datos en una comunicación. Se puede aplicar al email, a los mensajes de texto o a las llamadas. De esta manera, nos llega un email con el dominio oficial de la Agencia Tributaria o nos entra una llamada identificada en nuestro teléfono como «Univía». Se puede combinar para para que sea más efectivo: yo te envío un email que probablemente tu servidor de correo identificará como malicioso y enviará a la bandeja de correo no deseado, y a la vez te aviso con un SMS de que te he mandado un email con información importante para que rescates ese correo de la papelera. Si a todos esos ingredientes que comentábamos que contribuyen a potenciar la vulnerabilidad en Internet se unen estas técnicas de prestidigitación digital, es el cóctel perfecto para engañarnos.

-¿Cuáles son los principales canales de entrada de las estafas digitales?

-Hay cuatro: el correo electrónico, los mensajes de texto, las llamadas y el 'publiphishing'.

-¿Cómo funciona el 'publiphishing'?

-Desde Málaga acuñamos este termino, que se ha convertido en la cuarta vía de infección digital. Es la técnica por la que el delincuente nos ataca a través de la publicidad o de los buscadores. Es muy eficaz. Por ejemplo, yo quiero comprar en Stradivarius, lo busco en Google y el primer resultado que sale es una web falsa. Ese enlace patrocinado dura solo unas horas; suficiente para que alguien en la aldea global pique y ya se rentabiliza. La otra vertiente es la de los anuncios en las redes sociales. Esta técnica se está utilizando mucho para difundir una estafa que está creciendo enormemente: la de las falsas tareas o la falsa oferta de trabajo.

-¿En qué consiste esta modalidad de ciberestafa?

-Yo contacto contigo a través de un 'publiphishing' o de Telegram y te ofrezco un trabajo muy fácil que consiste en dar 'likes' o dejar comentarios en una web. Tenemos un caso hoy en el que la víctima empieza a ganar 3 euros, 5 euros, 10 euros.... Siempre tiene que adelantar un dinero: por ejemplo, tú pagas 15 y te devuelven 20. Es una farsa: no es más que un medio para ganar tu confianza. Y llega un momento en el que te pueden proponer hacer trabajos más importantes: pasan a pedirte que adelantes 1.000 euros para ganar 200 de beneficio. Al final, o se quedan con esos 1.000 euros, o bien te captan como mula digital, de manera que tú estás recibiendo dinero procedente de delitos y estás rebotándolo a otras cuentas a cambio de llevarte una comisión. Este caso es muy paradigmático porque la víctima ha sido utilizada para realizar 18 operaciones que con toda probabilidad vienen de otros delitos, y además ha perdido 11.000 euros. Así que las víctimas no solamente creen que están haciendo un trabajo y terminan siendo estafadas, sino que también son instrumentalizadas para convertirse en 'mulas' financieras del ciberdelito.

-¿Pueden acabar las víctimas de estos fraudes siendo acusadas de colaborar en esos delitos?

-Efectivamente, pueden acabar teniendo problemas por considerárseles conniventes con el delito de blanqueo de capitales. Hasta hace unos años las 'mulas' financieras siempre eran inocentes porque ni siquiera eran conscientes de esos movimientos, porque era fácil usurpar la identidad y abrir cuentas bancarias a nombre de alguien. Pero de unos años a esta parte, las entidades se han puesto las pilas y el proceso de 'onboarding' ya exige vídeo y otros requisitos. Aún así, hay casos en los que cuela y, si no, siempre están los neobancos, los 'exchange'... Los ciberdelincuentes siempre van a utilizar resortes que no estén sometidos al control económico.

-¿Hay algún consejo o pauta que podamos aplicar de manera general para no caer en estos cebos cada vez más sofisticados?

-Invertir la iniciativa. Cuando te llegue un aviso de lo que sea través de SMS, de una llamada o de un email, desconfía y sé tú el que llame a la empresa, al banco o a donde sea. Así se deshace el entuerto. Simplemente con este mandamiento evitaríamos muchas casos. Por ejemplo, el señor al que le han estafado más de tres millones podría haber buscado en Google la empresa en la que iba a invertir su dinero. En Internet ya había referencias de que era una estafa desde otoño del año pasado.

-¿La víctima ni siquiera hizo una simple búsqueda en Google? Ahí entra en juego el sesgo cognitivo, ¿no?

-Yo le llamo el principio de certidumbre de la víctima. En las estafas amorosas, aun viniendo a comisaría a denunciar, siguen pensando que la persona de la que se han enamorado es real y que la han engañado. Sí, son sesgos cognitivos.

-¿Cómo está posicionada Málaga en la investigación y persecución de los ciberdelitos?

-Málaga es un laboratorio, un centro diagnóstico estupendo de todo lo que está ocurriendo en ciberdelincuencia, porque es una gran capital y aquí ocurren muchísimas cosas. Aunque no seamos expertos en ciberseguridad, sino en ciberdelincuencia, tenemos un conocimiento de lo que está ocurriendo que está muy en vanguardia. porque estamos en contacto con el ciudadano. Hablo, por ejemplo, de técnicas como el 'spoofing': nosotros ya estábamos al tanto cuando prácticamente nadie la conocía.