Només s'identifica 1 de cada 10 ciberestafadors: consells i recursos contra les estafes a internet

120.000 estafes informàtiques a Catalunya l'any 2023, i de cada 10 estafadors, se'n va identificar 1. Aquestes són les xifres del ciberdelicte a casa nostra, molt semblants a la resta d'Espanya o d'Europa. "Una veritable pandèmia", en paraules de l'advocat Andreu Van den Eynde. Davant d'aquest panorama, experts informàtics, policia, administració pública i els bancs només veuen una sortida: autoprotecció posant en pràctica mesures de prevenció.

Aquest diumenge, el "30 minuts" presenta el documental "Estaf@ts", que s'endinsa en aquest món de les ciberestafes. Aquest és un recull de consells i eines per evitar-les.

"No corris, no hi ha res urgent"

Poques estafes resisteixen una comprovació més o menys exhaustiva, quan es revisen dos paràmetres. Qui envia el missatge i, en cas de tenir un enllaç, investigar cap a on ens envia. Si després d'aquesta recerca encara ens queden dubtes, el millor consell és trucar i consultar, sigui el banc, un veí o un amic. Tot per saber si realment ens han enviat aquell missatge.

Els experts en ciberseguretat ho tenen molt clar, el recurs principal que utilitzen els estafadors és apel·lar a la urgència: "No corris, no hi ha res urgent, intenta no espantar-te, intenta aguantar i veure el cas en gran. Comprova qui ho envia. Ho esperaves? Sí o no? I si fas clic, on aniràs a petar? El més difícil és no espantar-se", recalca Carles Gil, de l'empresa Attack Simulator.

Les emocions són la clau, ens explica: "Por. Fan servir la por. Si ens paréssim a pensar, no picaríem mai, però llegim 'urgent', "el teu compte es tancarà d'aquí 48 hores", urgència, por, emocions. Les emocions principals que es fan servir són: la por, la primera; la cobdícia, la segona, i la confiança, la tercera."

Les presses i la manca d'atenció són els altres motius que ens porten a cometre un error: "Si t'envien un SMS que diu 'tens un paquet', 'tens una multa', etcètera, el que no pots fer és anar pel súper i anar responent", ens recorda el pèrit i forense informàtic Bruno Pérez Juncà.

L'enginyer en telecomunicacions de la UPC i divulgador en ciberseguretat Genís Margarit demana que quan obrim la bústia de correu canviem de plantejament: "Ens hem de posar en lògica negativa. Hem de pensar: 'Ai, a veure avui per on me la fotran'."

La contrasenya i el doble factor d'autenticació

L'any 2023 la contrasenya més comuna en l'àmbit informàtic va ser "123456". No seria la paraula de pas més recomanable si volem impedir que entrin al nostre correu o xarxa social. Altres contrasenyes populars van ser "123", "admin" o "password".

Fa anys que escollir una paraula de pas robusta és un dels principals missatges que pregonen els informàtics als cursos o xerrades de seguretat. Certament és important que la contrasenya no sigui la mateixa a tot arreu, però tampoc amb una estructura semblant. Sobretot perquè quan Facebook, per exemple, va patir un atac informàtic i els hackers van accedir a diversos milions de noms d'usuaris i contrasenyes, si per entrar a Facebook fèiem servir "facebook1234", els hackers probablement provin després "instagram1234" i ja ens hauran enxampat, no en una, sinó en dues xarxes socials.

Fa uns anys que va aparèixer una millora determinant, que ha deixat la recomanació d'una paraula de pas ben complexa en segon terme. És el que es coneix com a factor de doble autenticació, contraclau, o per les sigles angleses, 2FA (Two Factor Authentication). Consisteix que quan posem la paraula de pas per entrar al nostre correu, si la paraula de pas és correcta, després haurem d'introduir, a més, una seqüència de números que haurà generat el nostre mòbil o que ens pot haver arribat per missatge.

Una altra opció és l'autenticació biomètrica a través del mòbil, sigui amb l'empremta digital o gràcies al reconeixement facial. Per tant, si hem activat aquesta doble clau (no tothom ho ofereix), si els pirates informàtics tenen la nostra paraula de pas però nosaltres no col·laborem, difícilment podran entrar al nostre correu, compte corrent o xarxa social.

La responsabilitat dels bancs

Un dels objectius principals dels estafadors a internet són els comptes bancaris. És una de les principals línies de batalla on els cibercriminals centren el seu esforç. "Però els bancs ho podrien fer molt millor", denuncia Andreu Van den Eynde, advocat penalista i professor a la UB de ciberseguretat.

Els experts en ciberseguretat no deixen d'insistir en el fet que els bancs podrien detectar patrons de comportament estranys en els seus clients: "Un jubilat que paga el rebut de l'aigua, de la llum i quatre coses més, de cop i volta comença a fer transferències de milers d'euros. Aquest patró no és coherent, no és normal."

"Els bancs haurien de tenir un sistema de detecció de patrons. Aquí les entitats financeres també tenen un punt de responsabilitat, oi?"

A l'hora de la veritat, però, quan determinats bancs han de decidir entre la comoditat per al client o la seguretat, n'hi ha que opten pel primer. És el cas de l'ús dels SMS en la confirmació d'operacions amb el client, un canal de comunicació que els experts fa temps que denuncien que no és prou segur.

"Hi ha entitats financeres que et diuen: 'Si algun dia reps un SMS per part nostra, no li facis cas perquè pot ser fals'. És cert, els SMS es poden falsificar, però després, quan volen validar una transacció, t'envien un SMS amb el PIN. És una gran incoherència!", s'exclama Genís Margarit.

L'autenticació en dos passos tampoc és obligatòria quan accedim al nostre compte corrent. I si el tema seguretat ens amoïna, el pitjor és que majoritàriament, encara que vulguem, no la podem activar. Hi ha bancs que ens demanen de tant en tant una segona clau d'accés, però normalment si sabem usuari i contrasenya, qualsevol pot entrar en el compte bancari d'un tercer.

Prevenció, l'única opció

Andreu Van den Eynde explica una anècdota sagnant sobre la capacitat que té la policia per enxampar els delinqüents informàtics i quines mesures es poden prendre. "Me'n recordo molt haver anat una vegada a una conferència d'una inspectora de policia que el primer que va dir és: 'Si veniu a la comissaria a denunciar, nosaltres no us ajudarem en res'. I va començar a explicar prevenció."

"El sistema no està capacitat ni estructurat per dedicar-se a aquesta pandèmia de l'estafa informàtica. No ho pot fer."

Per aquest motiu tothom: policia, experts, bancs i empreses estan posat tot l'èmfasi possible en les mesures d'autoprotecció o de prevenció.

També s'ha d'assumir que accedir als nostres comptes d'internet i dispositius electrònics serà menys còmode i instantani. En el camp de la seguretat informàtica, lamentablement, seguretat no coincideix amb facilitat d'ús. Del que es tracta és que el pany que dona accés a les nostres dades i diners sigui el més reforçat possible. Així, quan els delinqüents busquin algú a qui atacar, optaran per algú altre menys protegit.

5 consells concrets

Contrasenyes

Més de 12 caràcters amb majúscules, minúscules, números i símbols. A cada lloc on hàgim de crear un usuari i una contrasenya, la paraula de pas ha de ser diferent.

El més fàcil és fer servir un gestor de contrasenyes que les genera de forma aleatòria i les guarda encriptades al nostre dispositiu. Té l'inconvenient que cal introduir un codi de desencriptat cada vegada que les vulguem llegir o fer servir.

Correu electrònic

Fem servir mails diferents en funció d'on els farem servir. Per als bancs, un correu que no farem servir enlloc més. Per a l'alta a les xarxes socials, també un altre.

Per als amics, família i coneguts, un tercer.

Un quart, tipus "mail escombraria", per a llocs de poca confiança. Un cinquè per a compres. I finalment, si al lloc de treball no ens en donen un perquè treballem per compte propi, un correu estrictament laboral.

Targetes i comptes bancaris

És bo disposar d'un compte d'estalvi sense accés a internet, o que com a mínim no estigui vinculat a cap targeta. Pel que fa a les targetes bancàries, fem servir la de dèbit i crèdit només en llocs de confiança absoluta.

Per a la resta de transaccions tenim dues opcions: fer servir una targeta moneder on carregarem els diners per a la següent compra o els que estiguem disposats a perdre. Encara millor són les targetes d'un sol ús que ofereixen alguns bancs. Després del pagament són targetes que queden inutilitzades per a qualsevol altra despesa, però es mantenen en funcionament per a un reemborsament.

A banda d'això, no permetre que cap botiga on comprem per Internet emmagatzemi les dades de la targeta. Si comprem sovint, és cert que és còmode, però el dia que aquella web tingui una esquerda de seguretat, els hackers hauran robat, no només les dades personals, sinó també les dels mitjans de pagament.

Mòbil i ordinador personal

L'accés al nostre ordinador o mòbil sempre ha d'estar protegit amb un codi d'accés, que hauria d'activar-se quan no hi som davant o deixem el mòbil sobre la taula.

De fet, hi ha gent que afegeix un segon codi d'accés a determinades aplicacions del mòbil, per permetre, per exemple, que hi jugui un nen o que algú consulti unes fotos.

Còpies de seguretat

A la pregunta d'on és recomanable guardar les còpies de seguretat del nostre mòbil o ordinador, la resposta seria que una còpia en un dispositiu extern (com un disc dur) i una altra al núvol (o dos núvols independents). Aquesta còpia, a més, hauria d'estar encriptada.

Enllaços per a usuaris avançats

Si voleu anar una mica més enllà a l'hora d'investigar qui us ha enviat un e-mail o un SMS sospitós, hi ha enllaços d'internet que donen informació. Un cop hàgiu identificat cap a quina adreça web us remet un enllaç (passant amb la punta del ratolí per sobre, sovint us mostrarà la URL o direcció web), una primera opció és mirar quina reputació digital té.

Dues bones opcions són les webs virustotal.com o urlscan.io. Només heu d'introduir la web on us remetia el missatge sospitós i obtindreu un registre d'avisos. Si veieu algun avís per malware, per exemple, ja podeu donar per segur que l'enllaç és maliciós.

Si la curiositat és més forta que la prevenció i no us podeu reprimir de clicar un enllaç (el que sempre diuen que no s'ha de fer), ho podeu provar des del que es coneix com un "sandbox". En un parc infantil un "sandbox" és la caixa de sorra on els nens juguen amb seguretat, sense prendre mal. Un "sandbox" en informàtica és un entorn virtual on podem executar enllaços sense que afectin el nostre ordinador. Un bon lloc on "jugar" amb seguretat és browserling.com

Si compreu per internet i veieu una oferta insuperable d'algun producte que us interessa, consultar la reputació de l'adreça web és important. Hi ha una web que és molt popular i funciona bé, trustpilot.com. Si la web a la qual voleu accedir té comentaris recents i són positius, segurament estareu en un entorn segur.

Pel que fa a trucades en general de números desconeguts, una de les webs que millor funciona és listaspam.com. Només cal que poseu el número que us ha trucat i que no heu despenjat i us dirà si altres usuaris han consultat el mateix número. Si no sou el primer que busca aquell número, ja podeu donar per segur que era publicitat o algun servei de televenda.

Pel que fa a les aplicacions de doble autenticació, us en podem recomanar tres: authy.com, 2fas.com o getaegis.app. I per acabar, des de l'Agència Catalana de Cibserseguretat, tenen un apartat pensat exclusivament per a la ciutadana on podeu trobar encara més recomanacions, avisos i consells.