Selva Orejón: "Me han llegado extorsiones gravísimas en catalán, con mensajes de audio"
Consultora en ciberseguridad y reputación digital
BarcelonaLa consultora en ciberseguridad y reputación digital Selva Orejón, fundadora de OnBranding, conoce a fondo el problema de las ciberestafas. Ayuda a las víctimas a denunciar qué les ha pasado ya identificar a los delincuentes.
¿Ha notado un aumento de las ciberestafas?
— Sí, primero, cuando se generalizó el teletrabajo con la pandemia. Después, cuando se empezaron a democratizar un poquito más las criptomonedas. Y ahora cada vez que existe algún incidente como guerras o la DANA, siempre que puede haber peticiones de ayuda social. O cuando hay más ofertas y compras, como por el Black Friday, el Cyber Monday y Nadal.
¿Qué tipos de estafas ha detectado?
— Hay las que realizan grupos criminales y las de individuos que van por su cuenta. Las del crimen organizado también se dividen en diferentes tipos, como las que se dirigen contra una persona concreta y las que se hacen al por mayor, a ver quién cae. Ahora lo que está aumentando más es el vishing.
Estafas por voz, con llamadas.
— Sí. A menudo proponen una mejora de servicios, como de teléfono, o dicen que son de tu banco y que han detectado una transferencia fraudulenta de tu cuenta y que si la quieres anular debes decirles un código que te envían por SMS. Pero lo que hacen con el código es, a la inversa, autorizar la transferencia. Normalmente utilizan la técnica delspoofing.
Llamar suplantando el número de otro.
— Exacto. Con una aplicación que puedes descargar en cualquier teléfono puedes suplantar incluso el número de la oficina bancaria de la víctima. A menudo, los estafadores han conseguido información sobre ella para acabar de convencerla de que son quienes dicen que son. El crimen organizado actúa como auténticas empresas con estructuras enormes, fecha brokers que consiguen información de las víctimas y call centers que contactan.
¿Qué hace cuando alguien le pide ayuda?
— Primero, dejar constancia de todas las comunicaciones, por si el timador las borra. Después, descubrir quién está detrás. Identificamos de quiénes son las imágenes que se utilizan, si son de alguien real, y la identidad técnica. Lo hacemos con métodos de OSINT [inteligencia de fuentes abiertas] a partir, por ejemplo, del correo electrónico que utiliza y con otros métodos, como por ejemplo IP loggers.
Trampas para determinar la dirección IP de su conexión.
— Sí, enviamos una imagen, un documento o un enlace y cuando la persona pulsa descubrimos desde dónde se conecta, con una precisión de unos 50 metros, qué proveedor de internet utiliza, si utiliza una red privada de navegación , etc. También analizamos la forma de escribir con la lingüística forense. Pero ahora están utilizando mucho la inteligencia artificial, que te permite escribir, por ejemplo, como alguien del norte de Argentina de entre 20 y 25 años que ha visto determinadas series.
Crece el uso de la IA en las estafas.
— Por supuesto. En textos escritos, pero también en voz y en imágenes, y en vídeo. Hay directivos que nos han avisado de que han recibido llamadas extrañas que no iban a ninguna parte, y reuniones por videoconferencia donde el interlocutor no se acababa de conectar, o entraba y salía... Con un minuto de vídeo ya pueden suplantarlo con IA. Le ocurrió al CEO de Ferrari, que lo evitó preguntando a quién se hacía pasar por el director financiero qué libro le había recomendado. Y claro, no lo sabía.
¿Se puede recuperar el dinero de una ciberestafa?
— Sí, pero no siempre. A veces a las víctimas les cuesta denunciar, cuando lo hacen el dinero transferido ya se ha vuelto a transferir y hacer el rastreo es costosísimo. O los cuerpos policiales no hacen seguimiento porque están desbordados. O llegas a su fin y las direcciones IP son de países sin tratado internacional. También hay personas que quedan tan acortadas que no se pueden pagar ni un abogado ni un procurador, o que están emocionalmente devastadas, y no aguantarían el proceso de denuncia. Pero debe denunciarse. En casos de phishing y troyanos bancarios se han recuperado bastante dinero. Ayer por la mañana hablaba con un cliente que ha recuperado 20.000 euros.
¿Y de dónde salieron?
— Del propio banco. El banco los devuelve cuando ha dejado de realizar alguna verificación que habría tenido que hacer.
Los grandes grupos criminales de ciberestafadores, ¿de dónde están?
— Hay de todo tipo. De Latinoamérica he visto extorsiones con imágenes muy violentas, incluso de personas decapitadas. También me han llegado extorsiones gravísimas en catalán, con mensajes de audio. producto nacional, como muchos de los mensajes que dicen que tienes que pagar por un paquete en la aduana. desde Costa de Marfil, Nigeria y Senegal. Las de criptomonedas son más de Rusia, los países del Este y China.
¿Qué debe tenerse en cuenta para evitar una estafa?
— Si la barriga te dice que algo no va bien, no hace falta que tengas ninguna explicación lógica para hacerle caso. También puedes investigar un poco: comprobar si una imagen de perfil es robada a otra persona, si esa persona tiene más rastro digital, si el número de teléfono hace poco que se ha dado de alta... Y, sobre todo, con las inversiones, si no sabes no te pongas, o hazlo con la ayuda de un profesional. Los chollos no existen.
También la habrán intentado estafar.
— Sí. Con unos zapatos de Michael Kors, por ejemplo. Estaban muy bien, pero eran demasiado baratas. Analicé la URL [la dirección] de la web y antes vendía peces. No las compré.
¿Nunca lo han conseguido entonces?
— El año pasado me clonaron la tarjeta, en la Def Con.
¿En el veterano congreso de seguridad informática de Las Vegas?
— Sí. Cuando fui a poner la denuncia me dio bastante vergüenza. Hice mi investigación y fui a los Mossos con el dossier y les dije: "Hola, soy profesora vuestra y me han clonado las tarjetas". Puede pasarle a cualquiera. Reclamé en junio y aún espero que me lo devuelvan, pero lo harán.
