Los bancos y las energéticas, las nuevas víctimas de los ciberdelincuentes

El conflicto ente Ucrania y Rusia afecta a todas las áreas y ha multiplicado casi al infinito sus efectos negativos. Desplome de las bolsas, despegue de los precios energéticos, cierre de empresas, sanciones, recortes, parálisis en el suministro de materias primas... Y, por si fuera poco, a todo eso hay que sumar el recrudecimiento de la ciberdelincuencia, con una ola de ataques informáticos «sin precedentes» tras las embestidas contra webs institucionales de muchos países, así como a entidades financieras o compañías energéticas

Todo ello, ha hecho que desde España, el Gobierno se esté preparando para afrontar todas las posibles repercusiones que puede desencadenar este conflicto contra nuestro país. En este sentido, el Ejecutivo ha activados protocolos de defensa informática y ha transmitido a diferentes administraciones, ministerios y organismos una serie de recomendaciones para intentar minimizar al máximo cualquier intento de ciberataque contra los servicios públicos.

No obstante, esta no es una situación nueva, sino que el crecimiento del proceso de digitalización que se ha observado sobre todo durante la pandemia, ha provocado los ataques de perfiles cómo los ciberdelincuentes se hayan disparado. Equipos vulnerables con acceso a la red y empresas con unas escasas condiciones de seguridad han sido dos de los factores clave que han hecho que los ciberdelincuentes se encuentren en la actualidad ante un paraíso, en el que los datos personales de miles de clientes han salido a la luz.

Los ciberataques contra sectores críticos en Europa se duplicaron durante 2021 empujados por la generalización de la digitalización que trajo la pandemia y la mayoría de incursiones siguen viniendo de Rusia. Aunque desde las instituciones comunitarias se ha tomado medidas para minimizar sus efectos, la guerra Ucrania no ha hecho más que intensificar la ciberguerra y animar a los ciberdelincuentes. Solo en el año 2020 –aún no hay datos oficiales de 2021– se gestionaron un total de 133.155 incidentes de ciberseguridad desde el Instituto Nacional de Ciberseguridad (Incibe).

Han sido muchas las campañas de «vishing» – fraude basado en la ingeniería social y en la suplantación de identidad– que han afectado sobre todo a bancos y proveedores de gas y electricidad. Los ciberdelincuentes trataban de robar datos personales a través de llamadas donde se hacían pasar por el servicio al cliente de estas compañías. «En general siempre afecta a grandes empresas que tienen muchos usuarios, porque al final lo que quieren conseguir es que haya un número elevado de personas que sean víctimas de esta estafa», aseguró a LA RAZÓN Ruth García, técnico de Ciberseguridad para Ciudadanos de Incibe.

Por lo tanto, Ruth García advierte que el «vishing» es un fraude que cada vez está más «perfeccionado» y afecta a un gran número de empresas, y no tiene que ver con una «brecha de seguridad de ningún tipo» en estas compañías, sino que los datos de los clientes han sido recopilados al estar circulando por Internet, por lo que están accesibles para los ciberdelincuentes y estos son aprovechados para producir estas estafas.

«Los ciberdelincuentes se sofistican cada vez más y mejoran sus mensajes y pretextos para engañar al usuario con argumentos de actualidad y cada vez más creíbles. Esto unido al mayor uso de las tecnologías digitales por parte de la población, facilita el éxito a los ciberdelincuentes», explicó CaixaBank a este diario.

Estafas bancarias

Cada vez son más las personas que utilizan los canales digitales para sus operaciones financieras, haciendo que sean más vulnerables ante estos ataques. «Todos los clientes de las diferentes entidades financieras sufren este y otros tipos de engaños por parte de ciberdelincuentes, en un momento u otro», aseguran desde Santander. Del mismo modo, desde Banco Sabadell expresan a este diario que este tipo de delitos se han incrementado no solo porque el usuario es más activo digitalmente, sino que se le ha añadido «la necesidad del uso de los canales remotos por la pandemia».

Por ejemplo, en uno de los casos más habituales «vishing», la víctima recibía una llamada de un supuesto trabajador del servicio al cliente de la empresa suplantada en la que se le informaba de que habían accedido a su tarjeta y le pedían que confirmase si era ella la persona que había hecho un cargo ese día de una cantidad específica o que informase de los datos de su firma digital. Así robaban sus datos personales de estos clientes.

Estas técnicas fraudulentas se van «actualizando constantemente» y son variadas en un mercado más amplio en el que los ciberdelincuententes buscan oportunidades. El “smishing” se ha generalizado durante los dos últimos años. Consiste en utilizar el SMS para robar información al usuario o conducirle a una web maliciosa.

Desde BBVA confirman que se ha detectado un «repunte generalizado» de estos ataques entre sus clientes. Tanto es así, que esta entidad ha hecho varias campaña de advertencia y avisaban en su página web de que podían suplantar la identidad a través de «mensajes maliciosos» comunicando a los destinatarios que se había detectado una supuesta anomalía en su cuenta, por lo que estos debían verificar sus datos para así evitar el bloqueo de la misma. De esta forma, conseguían robar información personal y bancaria de los usuarios entre las que se encontraban el NIF, NIE, claves de acceso y el número de teléfono. «Continuamente llevamos a cabo campañas de prevención y concienciación, a nuestros clientes en particular pero también para la sociedad en general, a través de diferentes canales para alertarles de este tipo de estafas», señalan desde BBVA.

Asimismo, desde Santander aseguran que hay que ser conscientes de que este tipo de situaciones existen, con el objetivo de adoptar una serie de «medidas de prevención que minimicen los riesgos, y desconfiar de cualquier correo, llamada o mensaje de texto es clave para no caer en los mismos».

Otros sectores estratégicos también se han visto afectados. Los proveedores de gas y electricidad también campañas maliciosas, especialmente intensas durante los últimos tres meses.

«Phising» en las energéticas

Fuentes de las principales compañías energéticas consultadas por LA RAZÓN aseguraron que de manera «continua y habitual» se producen ataques que suplantan la identidad de la compañía con el objetivo «de obtener datos personales de forma fraudulenta, comprometer sus dispositivos con programas maliciosos o incluso llevar a cabo estafas de índole económico».

Una de las técnicas más utilizadas es el uso del «phising», en el que los ciberdelincuentes hacen envíos de correos electrónicos en nombre la empresa. En una de las campañas más importantes suplantaban la identidad de Iberdrola a través del correo electrónico, la cuál estaba dirigida a «empleados, empresarios y autónomos» relacionados con la compañía a los que se les intentaba engañar para que abonasen el cobro de una supuesta factura de la compañía. «De forma habitual, estas técnicas se combinan con el desarrollo de páginas web fraudulentas, que «copian el contenido de las web oficiales», explican las mismas fuentes. De esta forma, logran engañar para que se navegue en portales web bajo control fraudulento, mientras que los usuarios piensan que están en los servicios legítimos y oficiales de la empresa.

Dado que el número de este tipo de ataques se está incrementando cada año, las empresas tienen protocolos activados en caso de que se de una situación de dichas características. Desde Santander aseguran que «la prevención, sentido común y reglas básicas de prudencia son la mejor arma», por lo que en esta entidad financiera establecen unos sistemas de seguridad elevados, pero que a la vez sea un proceso «cómodo y fácil de usar». Los clientes deben saber protegerse ante estos fraudes y siempre desconfiar. «En caso de duda, siempre es mejor ponerse en contacto directamente con la compañía energética».

Estas compañías advierten de que «el usuario y la contraseña son como las llaves de tu casa. Está claro que no se las darás a cualquiera. De la misma forma, nunca has de facilitar esos datos, ni por teléfono, ni por un enlace que recibas en un SMS a nadie. Pues los datos personales tampoco», sentencian desde Banco Sabadell.