Estafes a internet: com intenten enganyar-nos?
El correu electrònic, WhatsApp o les xarxes socials són canals de comunicació cada cop més utilitzats pels ciberdelinqüents per cometre estafes. Es tracta d’espais on rebem missatges de tota mena, des de comunicacions personals fins d’altres de caràcter professional i promocional, de manera que sovint els percebem com a canals segurs i de confiança. Amb tot, el 2022, les Forces i Cossos de Seguretat de l’Estat van comptabilitzar 375.506 infraccions penals a través d’aquests canals, un 72% més que el 2019, segons dades del ministeri de l’Interior.
Arran de la pandèmia, les gestions i les compres a través d’Internet han augmentat exponencialment, de la mateixa manera que ho ha fet la cibercriminalitat: actualment un de cada cinc delictes es cometen a la xarxa.

Evolución de los ciberdelitos en España. Fuente: Ministerio del Interior
A Catalunya, l’any passat, els Mossos d’Esquadra van rebre més de 92.000 denúncies per aquest tipus de delictes. I malgrat que la dada és astronòmica, podria quedar-se lluny de reflectir la realitat, perquè, segons el cos, hi hauria molts més casos, ja que la majoria de persones estafades no arriben mai a presentar denúncia a la policia.
Tipus de ciberdelictes més freqüents
Totes les estafes digitals tenen una cosa en comú: parteixen d’una història o un escenari fictici en què l’atacant tractarà que la víctima comparteixi una informació que, d’una altra manera, no revelaria. “D’això se’n diu enginyeria social, es tracta de persuadir l’usuari perquè faci una acció i faci clic en un enllaç, ja sigui per accedir a les seves dades, fer malbé el seu dispositiu o espiar-lo”, explica Jorge Chinea, responsable de ciberseguretat de l’ Instituto Nacional de Ciberseguridad (INCIBE).
Phishing
La pesca (phishing) és un dels fraus digitals més estesos. L’atacant intenta enganyar la víctima a través del correu electrònic perquè faci una acció en contra dels seus interessos. Per exemple, revelar les seves credencials bancàries o donar accés a informació personal; descarregar programari maliciós o visitar webs que atacaran els seus dispositius.
Smishing
Es tracta d’una variant del phishing, però en aquest cas s’utilitzen els missatges de text a través d’SMS per cometre l’engany. Smishing, de fet, és una paraula composta que fa referència a SMS i phishing. Els usuaris acostumen a caure-hi perquè no esperen ser enganyats a través d’aquesta via.
Vishing
Un altre tipus de delicte a l’alça és l’anomenat vishing. En aquest cas, l’estafa es comet a través d’una trucada telefònica que suplanta la identitat d’una empresa, organització o persona de confiança. Com en els casos anteriors, l’atacant intenta accedir a les dades personals de la víctima per utilitzar-les en benefici propi.
Baiting
En aquest cas, l’estafador presenta una oportunitat temptadora a la víctima. A diferència del phishing i les seves derivades, no es tracta d’un atac massiu i indiscriminat a través del correu electrònic, l’SMS o una trucada telefònica, sinó que l’atacant dissenya un esquer (bait) a mida i espera que la víctima caigui en el parany. Per exemple, si es busca atacar docents universitaris, s’estudien els seus hàbits de navegabilitat i es pot determinar que estan especialment interessats en l’adquisició de llibres, així que es fa servir un esquer relacionat amb el tema. Suposadament, se’ls hi regala un llibre a canvi de dades o se’ls permet descarregar un arxiu que en contingui un, quan en realitat s’infecta el dispositiu.
Quid pro quo
Els atacs quid pro quo es basen en la manipulació psicològica i la creació de confiança per obtenir informació de la víctima. A diferència del baiting, on s’espera que la víctima caigui en el parany i infecti el seu dispositiu fent clic en un enllaç, l’estafador ofereix un servei a la víctima a canvi de les seves dades. El terme quid pro quo significa, literalment, “alguna cosa a canvi d’alguna cosa” i és un atac que acostuma a funcionar perquè els humans obeïm al principi psicològic de la reciprocitat, de manera que quan algú ens dona alguna cosa o ens fa un favor, volem tornar aquest favor.
Cinc consells per detectar-los i prevenir-los
Protegir la nostra identitat digital
“La nostra informació té un valor que pot ser explotat en positiu o en negatiu”, explica Joana Marí Cardona, delegada de Protecció de Dades i Responsable de Projectes Estratègics de l’Autoritat Catalana de Protecció de Dades. “Per protegir-nos de qualsevol ciberestafa el primer que hem de fer és ser conscients del valor que tenen les nostres dades pels ciberdelinqüents i protegir la informació que compartim tant a les nostres xarxes socials com al correu electrònic o el WhatsApp. La foto de perfil, el nom d’usuari, l’edat, l’estat civil, el centre on hem estudiat, el lloc de feina que ocupem… tot pot servir a un delinqüent per crear un escenari fictici. No es tracta que tinguem coses a amagar, sinó que prenguem consciència del que volem compartir i el que no”, afegeix.
Fixar-se en els detalls del missatge
Les faltes d’ortografia, el tipus de font que fa servir o el remitent són alguns dels elements en què val la pena parar atenció per determinar si el missatge que rebem és autèntic o un intent de frau. “És bàsic fer cas omís d’un missatge que diu que ens arriba un paquet que no hem demanat i desconfiar de qualsevol missatge que ens ofereix duros a quatre pessetes. Les estafes digitals no deixen de ser les estafes de tota la vida aplicades a l’entorn digital”, explica Chinea. Cal prestar especial atenció al remitent, ja que les suplantacions d’identitat a vegades es poden descobrir perquè canvia alguna lletra de l’adreça web, el nom d’usuari o el correu electrònic.
Contactar amb el suposat remitent i desconfiar de las presses
En cas de sospitar que som davant d’una estafa, el més recomanable és aturar les comunicacions i contactar a través del telèfon o presencialment amb l’empresa o entitat que reclama les nostres dades o vol que fem clic en algun enllaç o ens descarreguem algun arxiu. Cal ser especialment curosos si el remitent ens anima a actuar de forma immediata. El 017 és un telèfon gratuït i confidencial que ofereix INCIBE per atendre les persones amb consultes sobre ciberseguretat, estafes digitals, ús segur d’Internet i privacitat.
No clicar sobre cap enllaç ni donar cap dada personal
Cap empresa o institució ens demanarà dades personals a través del correu electrònic o SMS, així com tampoc les credencials per accedir aquestes dades. En cas d’haver-les donat, cal posar-se en contacte amb l’empresa com més aviat millor per protegir-nos de possibles usurpacions. Qualsevol fet que pugui constituir una infracció en matèria de protecció de dades també es pot denunciar davant l’Autoritat Catalana de Protecció de Dades o bé l’INCIBE.
Protegir els nostres dispositius
Sovint els atacs es cometen per deficiències d’un sistema que poden permetre que un atacant accedeixi a la informació del dispositiu”, explica Chinea. “Una de les contrasenyes més utilitzades avui dia continua sent 1234”, exemplifica. Per evitar aquests casos, els experts recomanen alguns consells bàsics de ciberseguretat, com ara, fer servir contrasenyes segures i actualitzar-les regularment; no tenir sempre la geolocalització activada; no fer servir xarxes de wifi públiques i actualitzar el sistema i les aplicacions que es fan servir de manera regular, i desinstal·lar les que no es fan servir.