El negocio online de los pasaportes covid: de la estafa al robo de claves

Desde que se decretó el confinamiento por la pandemia del coronavirus, hace casi dos años, las organizaciones que se dedican a estafar y lucrarse con el miedo y el desconocimiento de la gente vieron un claro filón. El nicho de mercado durante aquellas primeras semanas de confusión, cuando todos estábamos asustados por este virus y los muertos se contaban por centenares a diario, estaba en la venta de mascarillas quirúrgicas y supuestos medicamentos que «curaban» el covid.

Desde antivirales como Arbidol y Favipavir pasando por hidroxicloroquina hasta todo tipo de ungüentos e infusiones milagrosas: todo era susceptible de comprarse por internet de forma fraudulenta. Los delincuentes colaban sus cebos en plataformas tipo Alibaba y miles de personas picaban. Como ejemplo, el 23 de marzo de aquel año, el día que Boris Johnson anunciaba el confinamiento en el Reino Unido, la oferta de medicinas en eBay del país anglosajón se duplicó.

En España, la Guardia Civil creó un equipo multidisciplinar por el riesgo para la salud pública que suponían estas ofertas, aunque en la mayoría de los casos se trataba de timos y el medicamento o bien nunca llegaba o, en el mejor de los casos, era inocuo por la misma razón: no había ningún principio activo dentro de las capsulas porque todo era una estafa.

El turbio universo de la “deep web”

Pero a medida que ha ido avanzando la pandemia las organizaciones han tenido que ir modificando sus cebos para captar nuevos clientes. Como ya nadie busca medicinas ni mascarillas en las llamadas «deep web» o mercado negro online, también la oferta ha virado hacia las nuevas necesidades.

Desde que el pasado verano comenzaran a expedirse los primeros certificados oficiales de vacunación, estas mafias (y también algún «avispado» a nivel particular) han encontrado el nuevo negocio: comercializar con documentos oficiales falsificados. Los investigadores han constatado, además, que desde que el certificado de vacunación es obligatorio para entrar en algunos países, los precios en el mercado negro se han multiplicado por tres.

La oferta va desde la venta de pruebas PCR negativas hasta códigos QR o pasaportes covid falsos. Todo se puede comprar. Las autoridades han detectado la oferta de este tipo de «productos» en páginas habituales de compraventa como Wallapop aunque la mayoría de estas ofertas suelen encontrarse en canales de mensajería instantánea tipo Telegram.

Ya advirtió de ello el pasado mes de septiembre el Instituto Nacional de Ciberseguridad (Incibe), dependiente del Ministerio de Asuntos Económicos y Transformación Digital. A través de la Oficina de Seguridad del Internauta difundió el pasado 27 de septiembre que habían «identificado grupos en Telegram ofreciendo el certificado de vacuna covid-19 o PCR negativa de forma ilegal».

La plataforma advertía de cómo proceder en caso de que alguien hubiera «intentado obtener un certificado de forma ilegal». «Si te has puesto en contacto con algún perfil que ofrece este servicio pero no has facilitado datos personales, ni realizado ningún pago, únicamente elimina la conversación y bloquea el contacto a través de la plataforma por la que hayas contactado». Si por el contrario, ya habías facilitado tus datos personales solo «recomendaban» realizar «egosurfing”: una búsqueda de tu nombre y otros datos personales en el buscador de forma periódica.

En ningún caso aconsejaban avisar a la Policía. Es más, redirigían a la Agencia Española de Protección de Datos en caso de que la «víctima» averiguara que la trama estaba «utilizando indebidamente» información sobre la persona o avisar a la entidad bancaria en caso de haber realizado el pago solicitado por el ciberdelincuente.

Timos de 50 a 3.000 euros

Pero aquí surgían dos problemas. El primero es que la mayoría de estas redes exigen el pago mediante criptomoneda (sobre todo bitcoins) porque no se puede «deshacer» la compra y dificulta el rastreo del dinero ante una posible investigación. Además, desde el grupo de Telegram te proporcionaban los enlaces para comprar la criptomoneda para el que no sea muy avezado con las tecnologías.

El segundo problema, muy frecuente, era que si se trataba de una estafa, la «víctima» no denunciaba porque sabía que estaba intentando comprar un «producto» ilegal, por lo que, según fuentes policiales, el «agujero negro» que hay en torno a los datos reales de este tipo de estafas es considerable. Un timo que puede ir de los 50 a los 1.000 euros (o los 3.000 en otros países). Eso sí, cuanto más barato y fácil de encontrar sea el producto, más posibilidades hay de que se trate una estafa.

También se corre el riesgo, según las mismas fuentes, que en este tipo de estafas se proporcionen datos bancarios, por lo que la víctima es, en realidad, objeto de una estafa continuada, ya que el delincuente puede seguir haciendo uso de la tarjeta facilitada.

Desde que se ven más perseguidos, este tipo de delincuentes trata de enmascarar sus intenciones y si, por ejemplo, ahora es complicado encontrar abiertamente en Wallapop estos servicios sí se encuentra quien te hace un llavero con tus propios datos. Pero algunos de estos anuncios esconden bajo este servicio una «inocente» forma de hacerse con un certificado de vacunación real que luego pueden vender. Lo que sí han detectado los investigadores es que en internet se mezclan los timadores con quienes realmente trafican con certificados auténticos. En esta segunda liga se encuentran los siete detenidos esta semana por la Policía Nacional, acusados de vender a 1.600 clientes pasaportes covid o pruebas PCR.

Si bien estas segundas es obvio que son falsas, para los certificados oficiales habían montado un entramado mucho más complejo. Para que realmente fuera legal y el código QR descargado cumpliera todas las garantías, habían captado a profesionales sanitarios a sueldo de la organización.

Entre las detenidas de esta operación está una sanitaria que accedía al Registro Nacional de Vacunación, por lo que los certificados que luego expedían eran legales bajo cualquier lupa. Ahora investigan si también hubo robo o compra de claves para acceder a estas bases de datos.

El problema para las autoridades ahora es si quedaron inscritos en el Registro Nacional como el resto de ciudadanos, ¿cómo detectar a los no vacunados?