Un só click. Un despiste. Un intre de présa ou vulnerabilidade emocional. Iso abonda, hoxe, para caer nunha trampa perfectamente deseñada para parecer real. A linguaxe das estafas mudou, pero a súa eficacia non fixo máis que medrar. Xa non se trata de mensaxes mal escritas dende enderezos estraños. Agora chegan por WhatsApp, por SMS ou por correo electrónico. A tecnoloxía, que prometía facernos máis seguros, tamén lles deu ás bandas de ciberdelincuentes ferramentas máis potentes e silenciosas. A clave do éxito está na accesibilidade. Enviar miles de mensaxes custa pouco, e, se unha soa persoa cae na trampa, o beneficio pode ser grande. Os atacantes non buscan vítimas específicas; lanzan o anzol de maneira masiva, coma quen pesca con rede.

"É moi barato enviar miles de correos electrónicos a miles de persoas só pulsando un botón e, se alguén pica, xa teñen feita a ganancia", explica o experto Fidel Cacheda, catedrático e profesor do departamento de Ciencias da Computación e Tecnoloxías da Información na Universidade da Coruña (UDC), que comenta que "moitas veces este tipo de estafas chegan dende países en vías de desenvolvemento, polo que, por pouco que logren sacar, ao cambio sáelles moi rendible". Segundo comenta ao Galicia Confidencial, o phishing segue a ser a ciberestafa estrela. Correos electrónicos ou SMS que se fan pasar por empresas coñecidas coma Amazon, Netflix ou bancos. O truco é sinxelo: aproveitar un momento de descoido. "Se estás tranquilo, igual ves algo raro na mensaxe que che chega. Pero, se vas con présa ou tes a cabeza noutro sitio, é máis doado que deas a mensaxe por verdadeira", asegura.

A maioría destas campañas de phishing e spam masivo non teñen en conta o perfil da vítima. "Eles lanzan a cana a miles de números de móbil, a miles de correos electrónicos e agardan a ver o que acontece", afirma Cacheda. O perfil, en realidade, constrúese do lago da vítima: quen está pasando un mal momento, quen se sente só, quen ten tendencia a confiar... "As estafas tamén xogan coa parte emocional: se estás doído de amor ou nun momento baixo, con falta de cartos ou agardando unha boa nova, queres crer... e cres", pon como exemplo. Só hai que lembrar a estafa que se puxo 'de moda' hai cousa duns anos, na que recibías unha mensaxe dun número descoñecido que se facía pasar por túa nai, teu fillo ou teu curmá dicíndoche que estaba nunha situación de apuro e que precisaba cartos.

"A CLAVE ESTÁ NOS ENLACES, AÍ NON NOS PODEN ENGANAR, VAN SER MOI SEMELLANTES AOS REAIS, PERO NON IDÉNTICOS, XOGAN COAS LETRAS"

Moitas veces, o que fai saltar as alarmas é un erro mínimo: un logotipo mal colocado, unha palabra que soa estraña... Pero iso está cambiando. "Estou vendo cada vez máis correos moi ben redactados, moi ben armados. Cada vez están perfeccionándose máis", di Cacheda. E, aínda que ás veces cheguen en nome de entidades coas que nin sequera tes relación, de tal maneira que xa non dás por certo a mensaxe, pode cadrar que coincida con que en nome de Correos che digan que o teu paquete está retido e tes que pagar para liberalo o mesmo día que estás agardando por un envío, ou que en nome de Abanca che pidan que aceptes os termos para concederche un préstamo o mesmo día no que ti o solicitaches. Como percatarse de que estas entidades non son as verdadeiras? "A clave está nos enlaces, aí non nos poden enganar, van ser moi semellantes ao reais, pero non idénticos, teñen que xogar coas letras", sinala.

Agora ben, o perigo real tamén está neses enlaces que inclúen pequenos cambios nos nomes de dominio que, se non se miran con atención, poden semellar lexítimos. "E, cando entras na páxina falsa, que adoita ser moi semellante á real, xa estás exposto: poden instalar un malware no teu dispositivo para roubarche datos sen darte conta", sinala o profesor. Ante isto, Cacheda recomenda calma: non interactuar coa páxina, cortar a conexión a Internet, pasar un antivirus e cambiar contrasinais. Aínda que moitas veces, asegura que se non se introducen datos na web, aínda facendo click, non ten por que pasar nada.

"OS CIBERDELINCUENTES VAN USAR A VÍA QUE MÁIS LLES CONVEÑA SEGUNDO O INTRE E VANSE IR ADAPTANDO ÁS OPCIÓNS QUE LLES SEXAN MÁIS RENDIBLES"

Con todo, para evitar riscos, aposta por medidas básicas de ciberhixiene: manter os dispositivos o máis actualizados posible --"a maioría das actualizacións son para protexernos, para tapar ocos que se atoparon en materia de seguridade"--, tamén ter actualizados os antivirus --"se usamos o dispositivo para entrar en webs normais, sen meternos en direccións extrañas, non debería haber problema tampouco se non contamos con antivirus"--, empregar contrasinais aleatorias e únicas e usar xestores de contrasinais. "Entendo que pode ser unha lata empregar un destes xestores de contrasinais, pero cando o tes montado é moi cómodo, esquéceste de todos contrasinais e, con que te acordes dun, chega", afirma, advertindo de que "iso de poñer o mesmo contrasinal para todas as contas ou facendo pequenas variacións é moi perigoso, porque se che pillan un, é cuestión de tempo que dean cos demais, que irán caendo en efecto dominó".

Ademais da vía de envío, tamén é importante ter en conta o dispositivo. A diferenza entre o móbil e o ordenador é clave. Non porque o primeiro sexa menos seguro, senón porque o móbil o levámolo connosco todo o tempo. "O móbil é co que estamos todo o día, polo que é máis fácil que nos entre por el unha estafa e que nós esteamos tan ocupados como para responder inmediatamente, sen deternos a analizar a mensaxe", apunta Cacheda. Outro factor de vulnerabilidade é o sistema de mensaxería. No correo hai filtros anti-spam que conteñen moitas ameazas, pero no WhatsApp ou no SMS non hai esa protección. "Os móbiles están mellorando e xa identifican algúns números coma sospeitosos de spam, pero aínda non filtran tanto coma o correo electrónico", advirte. O que ten claro e que "os ciberdelincuentes van usar a vía que mellor lles conveña segundo o momento e vanse ir adaptando ás opcións que lles sexan máis rendibles en cada caso", sinala.

"POR POUCOS EUROS, ESTES CRIMINAIS PODEN CONSEGUIR MILLEIROS DE DATOS DE PERSOAS, INCLUÍDOS CORREOS ELECTRÓNICOS E NÚMERO DE TÉLEFONO"

E como é posible que estas bandas de ciberdelincuentes consigan o teu número ou correo electrónico? O experto explica que as bases de datos coas que operan estes estafadores non son difíciles de conseguir, nin moito menos caras. "Moitas veces non lles damos nós os datos directamente, pero empresas de dubidosa reputación si que acaban vendéndollos ou mesmo poden filtrarse tras un ciberataque a un banco ou outra entidade", explica. De feito, asegura que "a min estame entrando un aviso ao mes, máis ou menos, de empresas nas que teño conta avisando de que foron ciberatacadas e que certos datos meus están filtrados". E é que, "por poucos euros, estes criminais poden conseguir milleiros de datos de persoas, incluídos correos, números de teléfono ou información sensible". Cacheda recomenda buscarse na web https://myactivity.google.com/dark-web-report/dashboard de cando en cando, porque permite saber que datos persoais nosos están filtrados.

A aparición de ferramentas de intelixencia artificial engade unha nova capa de perigo: xa non so se trata de textos e logos suplantados, agora mesmo poden clonar a túa voz cunha simple e curta mostra e chamar facéndose pasar por ti. Non hai tanto que se alertaba de que non se respostase ás chamadas de números descoñecidos cun 'si?'. "Iso xa é moito máis delicado", alerta Cacheda. "Unha mostra pequena da túa voz pode ser suficiente para suplantarche en chamadas a familiares ou contactos profesionais", expón a xeito de exemplo. Así mesmo, cada vez é máis difícil percatarse de que unha mensaxe é falsa: "Ese español mal escrito que empregaban hai anos xa é cousa do pasado, agora as mensaxes veñen escritas nun español perfecto, grazas tamén a ese emprego de ferramentas de intelixencia artificial xerativa".

"O GRAN CABALO DE BATALLA É LOGRAR UNHA LEXISLACIÓN GLOBAL, PORQUE ESTÁN XOGANDO A NIVEL MUNDIAL E É MOI DIFÍCIL DE COMBATER A NIVEL DE PAÍS"

A pregunta agora é: está a sociedade preparada para defenderse destes ciberataques? Non completamente. Estamos nun intre de transición. Hai unha xeración que non naceu coa tecnoloxía e outra que si, que se manexa moi ben con ela, pero iso "non é suficiente", asegura o experto, convencido de que mesmo os máis novos poden caer nestes enganos. "Funcionar a nivel usuario e saber usar as apps non implica saber o que hai detrás delas, as tripas e o funcionamento da rede, iso xa require coñecementos máis técnicos", asegura Cacheda, que neste tema considera que tampouco existe moita diferenza a nivel xeracional. É máis, considera que "mesmo pode ser contraproducente pensar que nos manexamos perfectamente nas novas tecnoloxías, porque iso fai que nos confiemos, mentres que os máis maiores sempre se amosan máis desconfiados a todo o que lles chega por elas".

Con todo, hai esperanza en que os propios dispositivos cada vez conten cunha maior protección. Os sistemas operativos están a incorporar medidas de seguridade como a autenticación biométrica (pegada dixital ou recoñecemento facial), e xa se valora a seguridade como un criterio tan importante como a cámara, o almacenamento ou o deseño do dispositivo. Pois o certo é que a lexilación en materia de ciberseguridade vai moi por detrás destas organizacións. "Creo que o gran cabalo da batalla é lograr unha lexislación global, porque todo isto está xogando a nivel mundial e é moi difícil de combater a nivel de país", reflexiona o experto. "A tecnoloxía vai moi rápido e nós seguimos coa vista posto no local", conclúe Cacheda.