Els ciberatacs a organitzacions públiques haurien afectat uns 5,8 milions de persones en 5 anys

El mercat del robatori de dades personals és un negoci lucratiu que va en augment. 

Ho diuen l'Agència de Ciberseguretat de Catalunya i l'Europol, que alerten com la informació personal s'ha convertit en una valuosa mercaderia per si mateixa, i ja no és únicament un objectiu per cometre altres delictes. Però també ho ratifiquen les xifres oficials a què ha tingut accés TV3. 

Segons l'estadística de l'Autoritat Catalana de Protecció de Dades (APDCAT), en els cinc últims anys, fins a 5.814.952 persones haurien estat afectades pel robatori d'informació personal amb ciberatacs a Catalunya.

Es tracta d'un càlcul que es fa en funció del nombre de ciberincidents registrats i de la quantitat d'informació robada pels ciberdelinqüents. 

L'estadística recull els ciberatacs que van afectar organismes públics i empreses de la Generalitat, però no es tenen en compte els casos que van afectar l'empresa privada.

Així ho explica la directora de l'APDCAT, Meritxell Borràs:

" Al voltant de 3 de cada 10 notificacions de violacions de seguretat,  pèrdua d'informació i dades personals d'institucions públiques provenen d'un ciberatac. Les altres 7 van ser fruit d'una mala gestió o descuit"

Per anys, el 2021 va ser quan es va donar un dels registres més elevats, amb 3.613.455 persones afectades. El 2022 en van ser 773.488. 

L'any 2023 es va compatibilitzar un fort augment --amb fins a 1.279.398 afectats-- sobretot a conseqüència del ciberatac a l'Hospital Clínic fet pel grup de ciberdelinqüents Ransom House. 

L'any 2024 es van registrar fins a 52.105 víctimes. I pel que fa al 2025 --fins al 10 de juny-- s'han compatibilitzat 96.506 persones a qui els haurien robat les dades personals. 

Els últims dos anys s'evidencia un descens dels ciberincidents amb possibles fuites d'informació, en gran part degut a l'augment de la ciberseguretat pel cas que va afectar a l'Hospital Clínic, un ciberatac que va marcar un abans i un després.

Quines són les dades més robades i per quant es venen?

En fòrums a la coneguda com a "web fosca" (dark web) i també a la web pública, és on els ciberdelinqüents ofereixen llistes amb noms i cognoms, números de DNI, correus electrònics i les seves credencials, comptes bancaris... 

Els ciberdelinqüents asseguren que és informació robada amb cibertatacs a empreses i organismes, i també directament als afectats. 

Dos exemples: un número de targeta de crèdit val fins a 100 euros, les credencials d'un compte de Facebook o Netflix, 20 euros. 

TV3 ha pogut contactar amb diverses persones de qui hem trobat les dades penjades. La majoria, sorpresos, ho desconeixien i, fins i tot, hem trobat un cas d'una persona de qui s'havien filtrat les dades bancàries i li havien fet càrrecs a la targeta de crèdit per valor de 400 euros. 

L'Agència de Ciberseguretat alerta que, a més, estan notant un major interès dels ciberdelinqüents per altres tipus de dades personals, tal com explica a TV3 el seu director d'Operacions, Pedro Lendínez:

"El mercat negre de venda de dades creix continuament. La informació per accedir als núvols té molt valor, també les imatges de persones i els DNI mab foto, perquè hi ha sistemes autentiquem la identitat atomàticamenet. No cal fer alarmisme, però sí prevenció." 

On van a parar les dades personals robades?

Les dades robades van a parar en fòrums, molts han estat tancats per actuacions de policies de tot el món amb operacions internacionals, però, poc després, els fòrums són replicats. 

TV3 ha pogut comprovar que el mercadeig és constant en un d'aquests fòrums. Es tracta d'un web allotjat en un servidor estranger en un país que dificulta l'actuació policial.

En aquest cas la web està ubicada a Sao Tomé i Príncipe, un estat insular localitzat al golf de Guinea. Això fa difícil poder-ne seguir el rastre, com explica Lendínez:

"La informació es replica i es publica en diversos entorns i un cop perduda és difícil de recuperar. A nivell de consciència hem posat en marxa moltes campanyes i també canals específics com un de WhatsApp en el qual posem alertes de ciberestafes."

Segons experts en ciberseguretat consultats per TV3, és difícil geolocalitzar on estan allotjats els fòrums dels ciberdelinqüents, qui hi ha al darrere. Aquests grups que roben dades ja no són un únic hacker solitari, sinó més aviat màfies, grups organitzats que treballen de manera professional, que tenen una estructura empresarial i de captació de talent.
 

Quins van ser el tipus de ciberatacs més habitual per robar dades personals?

Els casos de ransomware, el segrest de dades en què els ciberdelinqüents demanen un rescat, són el mètode més habitual dels ciberincidents amb fuites d'informació. 

Segons dades de l'APDCAT, altres casos de robatori de dades a persones afectades van ser mitjançant tècniques de hacking amb programes maliciosos, i també mitjançant el phishing, que consisteix a enganyar els usuaris amb webs fraudulentes.

El mercat "legal" de dades amb finalitats comercials

L'altre vessant del mercat de la compra de dades personals és el que està regulat per llei, és un negoci que mou milions d'euros i que sovint provoca trucades molestes. 

Ara més que mai moltes empreses el fan servir per desenvolupar la intel·ligència artificial (IA). La legislació diu que és imprescindible el consentiment exprés de cada usuari per cedir les dades, sovint, però, la persona afectada no valora la repercussió. 

Unes dades que es fan servir per fer un perfilatge dels usuaris per oferir productes a possibles clients. L'APDCAT adverteix que és legal, però que ha d'estar legitimat i el consentiment ha de ser lliure, informat, inequívoc i concret. La directora, Meritxell Borràs, ho explica:

"Les nostres dades són molt importants, i hem de tenir clar, la ciutadania, que tenen un valor un valor elevat. Cal que tothom tingui clar que en una web o app, si et demanem cedir les dades personals, s'ha de tenir molt clar i llegir molt bé el contingut del que es proposa."