Els codis QR no són una novetat. Tanmateix, no ha estat fins a la irrupció de la pandèmia de COVID-19 i l’eclosió de la Low Touch Economy que els hem començat a veure per tot arreu. Escanejar-los per accedir a informació sobre un producte o servei és cada vegada més habitual, una pràctica no exempta de riscos. Per això, els negocis han de passar a l’acció i protegir els seus clients contra atacs com el phishing a través de QR o Qrishing.

Qui més, qui menys, té al seu smartphone un escàner de codis QR. I aquesta és una oportunitat que els ciberdelinqüents no podien deixar escapar. Aquesta és la raó per la qual, en els últims temps, han començat a proliferar els coneguts com a atacs de phishing a través de QR o Qrishing.

Aquests atacs cerquen que l’usuari d’un codi QR proporcioni les seves credencials mitjançant l’escaneig d’un codi que pot estar present en una pàgina web, missatge o correu electrònic, però també a la taula d’un restaurant o un cartell a la paret d’un establiment. En escanejar-lo, es redirigeix l’usuari a una pàgina web que suplanta la de l’empresa, que li sol·licitarà informació confidencial.

Es tracta d’atacs que combinen tecnologia amb enginyeria social i que s’aprofiten de la relació de confiança entre clients i empreses per aconseguir informació valuosa. Aquesta és la raó per la qual les empreses que utilitzin codis QR per informar els seus clients sobre productes o serveis han de romandre alertes per protegir-los. Tanmateix, no és l’única.

Els atacs de tipus phishing no són els únics que poden posar en risc els usuaris d’un negoci que utilitzin codis QR. Com que aquests elements poden fer molt més que obrir una pàgina web, les possibilitats de frau són molt variades.

Els codis QR poden executar comandaments directament. Per exemple, afegir contactes a la llista de l’smartphone, fer trucades o afegir una xarxa Wi-Fi amb credencials per connectar-se automàticament.

Això facilita, entre altres qüestions, la descàrrega de codi maliciós en el dispositiu, la subscripció a serveis premium no sol·licitada i fins i tot unir el telèfon a una botnet per participar en un atac contra un lloc web legítim. També obre la possibilitat d’agregar un contacte a la llista del telèfon per guanyar credibilitat en una trucada per intentar estafar l’usuari, fer trucades de cobrament a destinació o fins i tot identificar la ubicació de l’usuari.

Els segrestos de sessió a través de QR, per part seva, es caracteritzen per la captura de les credencials d’un usuari quan intenta accedir a un servei d’inici de sessió mitjançant un d’aquests codis. Els ciberdelinqüents després podran utilitzar-les per accedir a la informació continguda en el compte.

Està clar que hi ha persones disposades a aprofitar-se de la popularitat dels codis QR per fer diferents estafes. Tanmateix, els negocis no estan indefensos davant aquests atacs.

De fet, l’Institut Nacional de Ciberseguretat (INCIBE) proposa una sèrie de bones pràctiques i recomanacions que les empreses poden posar en pràctica. Així podran continuar utilitzant aquests codis amb seguretat i, sobretot, garantir la dels seus clients.

Revisar sovint que els codis QR presents en un establiment o en els seus canals digitals no han estat canviats ni modificats per tercers pot estalviar molts disgustos.

Entre altres comprovacions, convé cerciorar-se que ningú ha col·locat un codi QR fals per damunt de l’original per iniciar un atac de phishing a través de QR. Això serveix tant per a anuncis físics —sobre els quals resulta fàcil posar adhesius— com per a bàners i altres elements digitals en webs i apps.

El link al qual dirigeix el codi QR també s’ha de revisar de manera periòdica. En aquest cas, s’ha de comprovar que el codi QR redirigeix efectivament a la pàgina que li hem indicat i que coincideix amb la que s’indica a la carta o l’anunci. També que la URL pertany a un lloc de confiança i que no apareix escurçada per tal de dificultar la seva comprovació per part del client.

Precisament per permetre a l’usuari que comprovi fàcilment si l’enllaç que obrirà és legítim, és important deshabilitar l’obertura automàtica d’enllaços en escanejar el codi QR. D’aquesta manera, el link només s’obrirà si el mateix usuari atorga el seu permís després d’examinar-lo.

A l’hora de generar els propis codis QR, convé confiar en serveis que ofereixin prou garanties de seguretat i que proporcionin un enllaç correcte allà on es vol dirigir l’usuari.

A vegades, alguns negocis utilitzen els codis QR per facilitar l’accés a determinats serveis. Poden ser de transport, d’oci o fins i tot a àrees reservades. En aquest cas, convé ser el més discrets possibles i no difondre’ls a xarxes socials per evitar fraus.

És una qüestió molt important que ens preocupa a tots, encara que als nostres avis ni se’ls hagués passat pel cap perdre ni un sol minut pensant-hi. La veritat és que el concepte de seguretat ha canviat molt amb la introducció d’internet a les nostres vides. El que abans es limitava a evitar que algun enemic d’allò aliè entrés a la llar o mantenir els animals domèstics lluny de depredadors, avui també s’estén a una de les nostres possessions més preuades: les nostres dades.

La societat de la informació demanda, lògicament, mesures de seguretat a l’altura de les noves amenaces que han sorgit al voltant d’aquesta. Webs maliciosos, atacs per correu electrònic o fins i tot connexions wifi compromeses estan constantment a l’aguait per obtenir les nostres dades o fins i tot demanar-nos un rescat.

El Dia Internacional de la Seguretat de la Informació és un bon moment per dedicar uns minuts a aprendre bones pràctiques que ens ajudaran a mantenir les nostres dades fora de perill dels nous depredadors. Especialment aquest any, quan una pandèmia mundial ens ha portat a intensificar la nostra activitat on-line en tota mena d’àmbits.

Així ho indiquen les dades: el comerç electrònic s’ha disparat aquest any, fins al punt que tres de cada cinc espanyols ja compren per internet, segons l’Enquesta sobre equipament i ús de tecnologies d’informació i comunicació a les llars de l’INE. L’estudi també indica que, de mitjana, gastem uns nou euros més que l’any passat, entre altres raons perquè comprem molt més sovint. A més, el 81 % dels espanyols d’entre 16 i 74 anys utilitzen internet diverses vegades al dia, fet que suposa 6,1 punts més que l’any passat.

L’estudi també revela que la seguretat on-line ens preocupa: en els últims tres mesos, tres de cada quatre usuaris d’internet van mostrar la seva inquietud respecte que les seves activitats on-line s’estiguessin monitorant, mentre que dos de cada cinc declaren confiar poc o res en internet.

Què podem fer perquè la nostra experiència on-line sigui més segura i eliminar temors? És tan senzill com seguir alguns consells que ens ajudaran a mantenir la seguretat de les nostres operacions:

– Mantén actualitzats el sistema operatiu i les aplicacions: aquesta és una de les principals garanties per evitar que els ciberdelinqüents puguin aprofitar-se d’alguna porta oberta en el teu equip. Actualitzar no és la tasca més gratificant del món, ja que requereix temps i possiblement reiniciar l’equip. Tanmateix, és fonamental per evitar vulnerabilitats del software.

– Atenció amb els correus electrònics: en temps de pandèmia, has de parar una atenció especial als correus que rebis relacionats amb el coronavirus, sobretot els que poden despertar la teva curiositat, com els que prometen una cura, ja que poden ser atacs de phishing que cerquen quedar-se amb les teves dades. Per descomptat, evita baixar-te arxius l’origen dels quals desconeguis i que puguin infectar el teu equip.

Analitza també amb atenció el remitent dels missatges que reps. Encara que et sembli que és algú conegut, has de posar sempre atenció a l’adreça de correu i no refiar-te només del nom que es mostra. Aquesta precaució és resultat del fet que qualsevol servei legítim o entitat bancària o fins i tot una persona coneguda pot ser suplantada per enganyar-te. Si tens el més mínim dubte, contacta amb el remitent per un altre canal per verificar la legitimitat del seu missatge.

– Utilitza la signatura digital per confirmar les teves operacions bancàries: l’entrada en vigor de la normativa PSD2 (Directiva europea de serveis de pagament) obliga els proveïdors de serveis de pagament a aplicar determinats procediments per tal de millorar els drets i la seguretat del consumidor. Entre els procediments que la compleixen hi ha la signatura digital, que substitueix la tradicional targeta de coordenades per autoritzar operacions de manera més segura.

L’app CaixaBank Sign n’és un exemple. Permet als usuaris signar les seves operacions amb un sol clic des del mòbil, de manera totalment segura.

– Mantén la seguretat en totes les teves operacions amb el banc: a més d’utilitzar la signatura digital, pots prendre algunes precaucions extres per assegurar les teves operacions bancàries. Per exemple, llegir detingudament la descripció de l’operació abans de signar-la i verificar que les dades són correctes. També convé que protegeixis el teu mòbil amb una contrasenya per desbloquejar-lo i analitzis qualsevol notificació que t’arribi, abans de fer clic sobre cap enllaç.

– Atenció amb les wifi públiques: si n’has d’utilitzar alguna, cal que extremis les precaucions. El millor és que utilitzis una xarxa privada virtual o VPN que tingui un antivirus actualitzat. Davant d’una wifi pública, evita navegar per pàgines web que necessitin entrada de dades personals, com ara contrasenyes o usuaris.

– Cuida la informació que puges a internet: totes les imatges i informació sobre nosaltres que compartim a internet deixen un rastre que conforma la nostra identitat digital. Per això, només hem de compartir aquella informació personal que considerem cent per cent pública.

Mantenir la nostra informació fora de perill és qüestió de no baixar la guàrdia i incorporar una sèrie d’hàbits de seguretat. Així mantindrem les nostres dades lluny de l’abast de qui vulguin utilitzar-les sense permís.

Gestionar un negoci és una tasca apassionant i, alhora, àrdua. Són molts els factors que influeixen a l’hora d’assolir, o no, l’èxit i, si s’aconsegueix, mantenir-s’hi. És per això que és tan important protegir-lo contra amenaces com els fraus a empreses, un problema que pateixen tota mena de companyies, des de les més petites fins a les més grosses.

Efectivament, els fraus a empreses són un maldecap per a cada vegada més negocis. Així ho indica l’Enquesta Global sobre Frau i Delictes Econòmics 2020, elaborada per la consultora PWC: gairebé la meitat de les empreses -el 47%- havien estat víctimes d’aquesta mena d’enganys durant els dos últims anys. D’aquestes, el 13% havia perdut més de 50 milions de dòlars per aquesta causa.

La bona notícia és que els atacs dels estafadors es poden prevenir. Per fer-ho, convé conèixer les tècniques de frau més habituals i prendre algunes precaucions per evitar que arribin a afectar l’empresa.

En aquest sentit, els experts Jordi Sánchez i Javier Jiménez, del Departament de Seguretat de CaixaBank, van oferir algunes claus durant la jornada “Frau al client bancari en el context de l’empresa”, organitzada per l’entitat per als seus clients empresa. Durant la seva exposició, van explicar les greus pèrdues que provoquen els fraus i van oferir alguns consells útils per a qualsevol negoci, des dels més tradicionals fins als més tecnològics, que se’n vulgui protegir.

Tal com van explicar els experts, els delinqüents intenten provocar presses en les seves víctimes perquè actuïn com ells volen sense temps per pensar bé el que estan fent. Es tracta d’un dels trets més habituals en els fraus, que moltes vegades proposen terminis curts per fer una acció determinada.

De fet, les presses són una de les claus del conegut com a frau del CEO. En aquest frau, els ciberdelinqüents ataquen el correu electrònic de l’empresa o d’algun directiu per suplantar-li la identitat o fan servir una adreça molt similar a la seva. Llavors, envien un correu per sol·licitar a algun subordinat que faci una certa acció, com per exemple un enviament de diners. Aquests missatges solen incloure una crida a la rapidesa perquè el receptor del correu electrònic no tingui temps de comprovar si l’ordre rebuda és legítima.

Tal com van destacar els experts, la pressa és un factor que també és molt comú en altres menes de fraus. Un exemple n’és el phishing, amb el qual els delinqüents intenten obtenir informació personal i bancària dels usuaris suplantant una entitat legítima, com un banc, una xarxa social o una empresa. Un altre seria el frau del tècnic d’empresa informàtica, que alerta sobre un incident greu en un ordinador i demana fer comprovacions en remot, per acabar accedint a un compte bancari.

Els delinqüents solen manar la pressa a la seva víctima perquè faci una acció, com pot ser una operació financera, i també solen demanar confidencialitat per evitar que comprovi la validesa de l’ordre rebuda. Per aquest motiu, és aconsellable comprovar sempre l’autenticitat de la petició abans de fer accions d’aquesta mena.

Precisament per detectar a temps si estem sent víctimes d’un frau, convé prestar molta atenció a les comunicacions que rebem. D’aquesta manera, podrem apreciar algunes d’aquestes característiques que ens poden posar en alerta, com les comentades anteriorment de les presses o la petició de confidencialitat. També és habitual que els delinqüents demanin contactar amb tercers i fer pagaments mitjançant diverses transferències de diners en comptes d’una de sola, amb l’objectiu d’evitar que l’entitat destinatària els retingui.

També si observem amb deteniment les comunicacions rebudes, serà més fàcil detectar si procedeixen d’alguna adreça web falsificada. En l’exemple del frau del CEO, els delinqüents moltes vegades canvien només una lletra de l’adreça electrònica del remitent que intenten suplantar. Com a resultat, el destinatari no arriba a percebre la suplantació.

Per tot això, és important sospitar davant de qualsevol petició poc habitual, fins i tot si procedeix d’alguna persona coneguda. Tot seguit, cal verificar si, efectivament, ha estat aquesta persona qui l’ha formulat. Una verificació que s’ha de fer a través d’un canal diferent del que s’ha utilitzat per rebre la petició. També convé conscienciar el personal de l’empresa perquè estigui alerta davant d’aquesta mena d’atacs.

Així mateix, no convé facilitar dades a la lleugera que els delinqüents puguin utilitzar. En aquest sentit, és important restringir al màxim la informació pública de l’empresa, com ara l’organigrama que sol aparèixer al web o la informació accessible a través dels perfils de les xarxes socials.

Tampoc no s’ha de facilitar la identitat dels clients de l’empresa, que se sol utilitzar en el conegut com a frau de les factures. En aquest engany, els delinqüents es fan passar per la nostra empresa per reclamar en nom nostre el pagament d’alguna factura amb un número de compte modificat.

Tant si detectem que algú intenta defraudar la nostra empresa com si hem estat víctimes d’un d’aquests enganys, hem de posar-nos en contacte amb la nostra entitat bancària com més aviat millor. En aquest sentit, el temps de reacció és molt important per intentar minimitzar els danys. A més, contribuirem a evitar que altres empreses també s’hi trobin.

També és important presentar una denúncia policial, que permetrà que l’entitat bancària reclami, per exemple, una transferència en destí per intentar retrocedir-la. Finalment, és vital guardar tota la documentació que es tingui relacionada amb el frau, ja que pot ajudar les forces de seguretat a fer les seves pròpies investigacions.

Potser aquest any no hem ballat la cançó de l’estiu, però sí que hi ha hagut una frase que s’ha repetit pertot arreu: “Quin estiu més estrany!”. I és cert que aquests mesos han estat molt diferents. La pandèmia de la COVID-19, que ho ha inundat tot, hi té molt a veure.

Una de les seves conseqüències més quotidianes té relació amb la falta de contacte físic: la manera de comprar un gelat o demanar la carta en un restaurant ha canviat, i tampoc no anem a concerts o espectacles com abans. Fins i tot hem vist platges amb semàfor per regular l’aforament amb un objectiu clar: reduir el contacte entre persones per evitar contagis.

En realitat, la pandèmia només ha accelerat una transformació que ja tenia molta influència en la nostra manera de relacionar-nos i que també afectava diversos sectors econòmics. La Low Touch Economy o economia de baix contacte ja era una realitat que es materialitzava en gestos tan quotidians com la compra a distància, el pagament a través del mòbil o, fins i tot, l’oferta de formació en línia.

Llavors es tractava d’eliminar barreres físiques i facilitar l’experiència dels consumidors. Ara, a més, cal reduir a la mínima expressió el contacte de superfícies comunes per evitar contagis. Per aconseguir-ho, ha sorgit una sèrie de productes i serveis que conformen aquesta Low Touch Economy, un concepte que sembla haver arribat per quedar-se.

El cert és que la falta de contacte en certes circumstàncies és un avantatge enorme. Hi ha una infinitat de processos que es poden beneficiar de les tecnologies i serveis sense contacte. Potser el més evident és el pagament de productes i serveis: hem passat de comptar monedes a la caixa del súper a fer un simple gest per abonar la compra. Tanmateix, no és l’únic.

De fet, el concepte Low Touch Economy al·ludeix un context en què l’economia s’ha intentat adaptar a un context que exigeix menys contacte físic. Això comprèn des de les targetes i smartphones que eviten utilitzar diners en efectiu a les solucions de signatura digital. També els autocines, les visites virtuals a museus o les plataformes de reunions en línia. Molts eviten l’aglomeració de persones i haver de tocar superfícies comunes, però també eliminen barreres físiques alhora que generen negoci.

Es tracta de productes i serveis que ens ajuden a evitar riscos en temps de pandèmia, però, sobretot, a fer la nostra vida diària molt més senzilla. Aquesta serà, precisament, la clau per la qual es quedaran amb nosaltres fins i tot quan el virus només sigui un mal record. Benvinguts a l’era de la Low Touch Economy.

Els ciberatacs són el pa de cada dia i a hores d’ara ja hi ha molts ciutadans que n’han patit les conseqüències. Entre aquestes s’hi troben les relacionades amb la suplantació d’identitat, una malifeta que sol tenir sempre el mateix origen: el robatori d’informació personal. És a dir, un atac a la privacitat on-line en tota regla.

La qüestió és que, amb la crisi del coronavirus, aquesta privacitat on-line està especialment exposada. La raó principal és l’important flux d’informació digital que circula aquests dies, sobretot la relativa a la pandèmia.

Vídeos, enllaços, mems… tota mena d’arxius salten de correu en correu i de missatge en missatge. També tota mena d’informació sobre la nostra situació actual en què ens trobem i que publiquem en xarxes socials. Els nostres telèfons mòbils i els nostres ordinadors treuen fum amb la gran quantitat de dades que compartim. Fins al punt que l’Organització Mundial de la Salut (OMS) ha qualificat la situació actual d’“infodèmia”, referint-se a la sobreabundància d’informació que circula.

Els ciberdelinqüents saben com aprofitar aquest flux, així com el nostre desig de rebre la màxima informació possible. Per això han trobat l’ocasió perfecta per intentar apoderar-se de les nostres dades. És el primer pas cap a una possible suplantació d’identitat, que pot crear més maldecaps del que sembla.

Pot semblar que la suplantació d’identitat és un problema que només afecta els famosos de tant en tant. Això es deu al fet que els seus casos solen ser els més sonats. Cada dos per tres sentim parlar d’alguna personalitat a qui han piratejat el seu perfil en una xarxa social per publicar-hi qualsevol cosa en nom seu. Tanmateix, qualsevol pot ser víctima d’aquesta mena d’activitat fraudulenta.

Tal com recorda l’Oficina de Seguretat de l’Internauta (OSI), qualsevol persona que tingui a internet informació personal, com ara nom i cognoms, edat, lloc de naixement o fotografies, i no tingui controlat qui pot accedir a aquestes dades pot ser víctima de suplantació d’identitat. Fins i tot si aquesta informació no està publicada a internet, sempre hi ha un cert risc.

Pel que fa als llocs on es desenvolupen les suplantacions d’identitat, solen donar-se en xarxes socials, ja que resulta senzill recopilar-hi informació sobre una persona i fins i tot crear un perfil fals per fer-se passar per ella. De fet, és habitual l’ús de bots que es fan passar per persones reals per promocionar productes i serveis o sembrar la zitzània.

També hi ha atacs de phishing que utilitzen malware per infectar els nostres equips i apoderar-se de la nostra informació personal. En aquests atacs, els ciberdelinqüents solen utilitzar tècniques d’enginyeria social per suplantar la identitat d’entitats o persones conegudes per tal d’enganyar les seves víctimes i obtenir les seves dades. I un cop tinguin aquestes dades, intentaran accedir en nom seu a diferents serveis.

Els atacs de phishing solen seguir aquest esquema: obrim un correu electrònic o missatge que sembla enviar una persona o entitat de confiança; el missatge sol·licita que s’accedeixi a un web per facilitar-hi informació personal; el web sembla legítim, per la qual cosa facilitem totes les dades sol·licitades, inclosos el nom d’usuari, la contrasenya o el número d’identificació fiscal. A partir d’aquí, els ciberdelinqüents tindran a la seva disposició les dades necessàries per intentar suplantar-nos, per exemple, en les nostres interaccions amb el banc. En aquesta mena d’atacs també són habituals els missatges que ens anuncien que hem guanyat un premi i que hem de proporcionar informació personal per poder-hi accedir.

En plena pandèmia de la covid-19, aquesta mena d’atacs s’ha sofisticat i aprofita aquest tema com a ganxo per apoderar-se de dades d’usuaris. Des d’arxius amb suposats consells en vídeo per mantenir-se fora de perill de la malaltia que oculten programa maliciós fins a cibercriminals que es fan passar per l’Organització Mundial de la Salut, tot s’hi val per trencar la privacitat on-line dels internautes.

Les circumstàncies especials que vivim actualment exigeixen que siguem més curosos que mai amb la nostra informació personal. Els atacs de suplantació d’identitat no només afecten la víctima de l’estafa, sinó també les persones o organismes pels quals es fan passar els ciberdelinqüents, que es poden veure envoltats en un problema de manera totalment inadvertida.

Hi ha algunes mesures que podem prendre per mantenir les nostres dades fora de perill i evitar que tercers puguin contactar amb altres en nom nostre o accedir a diferents serveis on-line fent-se passar per nosaltres.

– Fer servir sempre contrasenyes robustes: tant per accedir al perfil de la xarxa social com a les nostres aplicacions bancàries, l’OSI explica que triar una bona contrasenya és fonamental. També ho és gestionar aquestes credencials de manera adequada, sense compartir-les amb ningú, sense fer servir la mateixa per a diversos serveis i fent ús de gestors per recordar-les quan les necessitem.

En aquest sentit, CaixaBank ha estat el primer banc del món a utilitzar la identificació biomètrica en les aplicacions pròpies i el reconeixement facial en caixers, que evita haver d’introduir el PIN per fer reintegraments. A més, l’entitat disposa de sistemes robustos per protegir les dades dels seus clients davant dels atacs dels pirates.

– Evitar el phishing: el millor per no patir les conseqüències d’un atac de phishing que acabi amb el robatori de la nostra informació és evitar-lo. Per fer-ho, convé fixar-se en els missatges i correus que es reben i estar alerta davant de contactes inesperats o respostes que no s’han sol·licitat.

També cal analitzar amb detall els correus, sobretot els que ens demanen que introduïm credencials en un web extern amb qualsevol excusa, i recordar que un banc mai no ens demanarà les nostres dades per correu electrònic, missatge de text o telèfon perquè ja els té.

Convé examinar l’adreça electrònica del remitent, no fiar-se de peticions urgents que imposin terminis per modificar claus d’accés i comprovar que els enllaços inclosos siguin legítims. Simplement passant el ratolí per sobre del text de l’enllaç, podrem veure l’adreça web a què dirigeix i comprovar si coincideix, o no, amb la que apunta el contingut del missatge. Que la seva redacció sigui incorrecta també ens ha d’alertar.

– Incrementar el grau de privacitat dels nostres perfils: a les xarxes socials, convé configurar els perfils de la manera més privada possible, per tal d’evitar que usuaris desconeguts accedeixin a la nostra informació personal. L’OSI també aconsella assegurar-se de la identitat de qualsevol usuari que ens vulgui agregar com a amic, per evitar així que qualsevol tingui accés a la nostra informació personal, fotos o vídeos.

– Revisar la política de privacitat: l’OSI recorda que, si ens fixem en les condicions de servei de les xarxes socials, sabrem l’ús que fan de les nostres dades, el seu tractament i emmagatzematge i si es comparteixen amb tercers.

Seguir aquests consells ens ajudarà a preservar la nostra privacitat a internet. Una precaució que, en aquests moments, és més important que mai.

“En temps de sobreinformació, la creativitat desapareix”. Així definia el neuropsicòleg Andrey Kurpatov alguns dels efectes de la sobrecàrrega d’informació durant l’últim Fòrum Econòmic Mundial de Davos. El que no preveia l’expert és la capacitat dels ciberdelinqüents per idear formes noves d’atacar les seves víctimes. Una creativitat que s’ha disparat enmig de la pandèmia del coronavirus, quan ciutadans i empreses demanen més informació del que és habitual.

Aquestes últimes setmanes han començat a proliferar ciberatacs relacionats amb la crisi del coronavirus. El fet cert és que l’escenari és propici per a aquesta mena de delinqüència: el consum d’internet s’ha disparat, amb increments de trànsit pròxims al 40%, igual que el teletreball.

L’elevada demanda d’informació sobre la pandèmia per part de ciutadans i professionals ha obert noves oportunitats per als ciberdelinqüents. Mentre que alguns han promès no actuar en certs casos mentre duri la pandèmia, altres han decidit aprofitar la situació per difondre els seus atacs. En qualsevol cas, mai no s’ha d’abaixar la guàrdia davant la possibilitat de ser un dels seus objectius. I menys en una situació tan excepcional com l’actual.

Els atacs de segrest d’informació, o ransomware, no han trigat a aparèixer. El que passa és que, aquest cop, ho fan adaptats a la situació actual de pandèmia. És a dir, aprofiten la tirada informativa que té aquests dies la temàtica del coronavirus per accedir als nostres arxius, encriptar-los i sol·licitar després el pagament d’un rescat si els volem recuperar. Si a tot això hi sumen la sobrecàrrega de feina que pateixen els professionals de certs sectors, com els de la sanitat, els ciberdelinqüents troben l’ocasió perfecta per intentar segrestar informació sensible.

Aquest va ser precisament el cas d’un enviament de ransomware reportat per la Policia Nacional. Consistia en l’enviament de correus electrònics a personal sanitari de diferents hospitals espanyols relacionats amb la temàtica del coronavirus. Incloïen arxius adjunts amb els quals els ciberdelinqüents pretenien corrompre la informació del centre mèdic per demanar després un rescat.

Aquesta mena d’atacs de segrest d’informació també s’han detectat en altres països. Un exemple és el del ransomware que utilitzava el domini coronavirusapp[.]site per assolir el seu objectiu. Contenia un mapa de calor dels Estats Units en què es mostraven els focus de més contagi per captar l’atenció de l’internauta. En concret, aquesta pàgina sol·licitava que es baixés una app mòbil per continuar informat. En fer-ho, s’instal·lava un ransomware anomenat Covidlock, amb el seu consegüent missatge d’infecció i sol·licitud de rescat.

La ruptura de la normalitat també deixa exposada la població davant les ciberestafes. Com que en aquests moments cerquem constantment informació relacionada amb el coronavirus, els ciutadans estem més exposats a patir aquesta mena d’enganys.

De fet, les xifres d’ús de la temàtica del coronavirus com a ganxo per estendre ciberatacs entre la població s’han disparat el març, coincidint amb la declaració del coronavirus com a pandèmia global. A més, s’ha detectat un increment de fins al 70% de correus amb atacs de phishing que fan ús d’aquesta temàtica per recopilar informació personal de manera fraudulenta. L’FBI mateix alerta sobre una onada sense precedents d’aquesta mena de delictes, en aquest cas relacionats amb la pandèmia.

A Espanya, els últims informes del Centre Nacional de Protecció d’Infraestructures i Ciberseguretat (CNPIC, dependent del Ministeri de l’Interior) alerten sobre una quinzena de ciberestafes amb l’esquer del coronavirus. Per perpetrar-les, els delinqüents aprofiten el sentiment de vulnerabilitat que empeny molts ciutadans a cercar informació sobre la pandèmia.

Cal tenir en compte que aquestes ciberestafes no arriben exclusivament a través de correus electrònics. També es fan servir aplicacions, webs i fins i tot missatges de text per comprometre la seguretat de les persones i la seva privacitat.

Un exemple n’és l’ús de missatges de text per oferir una aplicació que ajuda a aconseguir mascaretes sanitàries. Quan es baixa l’aplicació, s’instal·la un virus que reenvia el missatge a tots els contactes de l’agenda del telèfon infectat. Un altre atac detectat utilitzava un missatge de WhatsApp per suplantar el Ministeri de Sanitat i redirigir a un web de venda de mascaretes.

També proliferen estafes amb troians, com el conegut Cerberus, que afecten dispositius Android. Aquest atac té com a objectiu principal el robatori de credencials bancàries o tipus RAT, amb el focus posat en la distribució i el robatori de dades sensibles de la víctima.

En un moment en què ens veiem bombardejats constantment per la difusió d’informació per mitjans electrònics, el sentit comú és més necessari que mai. Protegir-nos de ciberestafes en un moment especialment vulnerable com el que vivim ens evitarà més d’un disgust.

Algunes recomanacions per mantenir-se fora de perill d’aquesta mena d’atacs són les següents:

– Eliminar, sense obrir-los, els correus electrònics sospitosos o amb un origen del qual no tinguem constància.

– Evitar les cadenes de missatges, que moltes vegades es fan servir per recopilar dades de contacte, així com els missatges que rebem de coneguts amb enllaços o adjunts i que semblin fora de context o no encaixin en la conversa.

– No fer clic ni prémer sobre enllaços dubtosos, ja que ens poden redirigir a webs fraudulents.

– Davant del dubte, contrastar sempre amb persones de confiança i fonts oficials qualsevol informació que rebem i ens resulti sospitosa.

– Extremar les precaucions en les compres en línia, sobretot les de productes relacionats amb la pandèmia, com mascaretes o guants.

– Mantenir actualitzats els sistemes dels dispositius electrònics, inclosos els antivirus.

– No facilitar mai claus ni contrasenyes sol·licitades a través de correu electrònic, missatges de text o qualsevol altre canal.

– Que un web comenci per https i mostri un cadenat a la barra del navegador no garanteix que sigui segur. De fet, pot tractar-se d’un web fraudulent. Convé fixar-se bé en si l’enllaç es correspon realment amb el del lloc web al qual ens volem connectar. Sempre serà més segur teclejar l’adreça web autèntica a la barra de navegació que accedir-hi des d’un enllaç obtingut d’una altra font.

Mantenir a ratlla els ciberatacs no és només un acte de protecció individual. En moments com els actuals, la responsabilitat ciutadana és especialment important, per la qual cosa també s’ha d’evitar al màxim la seva propagació a altres persones. La calma i el sentit comú són, un cop més, les millors eines que tenim al nostre abast per aconseguir-ho.

L’SPIM (acrònim d’Spam over Instant Messaging) és un missatge no desitjat amb finalitat comercial, normalment maliciosa, que es distribueix a través d’aplicacions de missatgeria instantània, SMS o missatges privats en pàgines web. SPAM i SPIM són molt similars, l’única diferència entre els dos és el mitjà pel qual rebem aquest missatge fraudulent.

L’enviament d’SPIM es coneix amb el terme d’smishing, que prové de la unió d’SMS i phishing, una pràctica que engloba tots els fraus que es duen a terme mitjançant sistemes de missatgeria instantània.

Amb el desenvolupament de les noves tecnologies i els avenços en la comunicació interpersonal, s’obren noves vies de cibercrim de les quals hem d’estar informats. Termes com phishing o vishing estan a l’ordre del dia pel que fa a ciberatacs. A aquests dos últims, s’hi suma el no tan conegut smishing. Quina característica comuna comparteixen aquests ciberatacs? La suplantació d’identitat.

Els ciberdelinqüents, mitjançant programes informàtics automatitzats, rastregen l’agenda d’adreces de l’usuari de les aplicacions de missatgeria instantània. Un cop aconseguida la llista de contactes, el ciberdelinqüent envia un missatge a l’usuari que, depenent de l’aplicació utilitzada, apareixerà en forma de finestra emergent o de text en una conversa. Aquests missatges solen incloure un enllaç a una pàgina web o document, generalment de caràcter fraudulent.

L’objectiu és aconseguir que l’usuari faci clic a l’enllaç adjunt al missatge enviat, la qual cosa dona lloc a la descàrrega de malware, que li permetrà accedir al compte i al dispositiu de l’usuari.

A diferència de l’SPAM, que podem identificar abans d’obrir-lo i eliminar-lo sense riscos, l’enviament d’SPIM ens pot fer caure en la trampa, ja que apareix durant la conversa amb algun familiar o amic, i aconseguir que fem clic sobre l’enllaç per error en pensar que procedeix de la persona amb la qual conversem.

Encara que tots correm el risc de rebre un missatge fraudulent, hi ha una sèrie de recomanacions que podem seguir per detectar si ens trobem davant d’un ciberatac d’smishing:

– Si rebem un missatge d’un contacte conegut que està fora de context o que no encaixa en la conversa mantinguda, preguntar-li abans de fer-hi clic.

– No fer clic en enllaços o elements adjunts si no estem segurs de la identitat del remitent.

– Comprovar la procedència de qualsevol enllaç rebut abans de fer-hi clic.

– Configurar adequadament les opcions de privacitat de les aplicacions de missatgeria instantània que utilitzem per evitar que ens arribin missatges de remitents desconeguts.

– Mantenir actualitzades tant les aplicacions de missatgeria, com els nostres dispositius.

Sens dubte, la informació i la conscienciació són el primer pas per combatre el frau electrònic, que afecta tant particulars com empreses. El nostre consell davant d’aquestes amenaces: doble check abans de fer clic en un enllaç sospitós i, si no ho veus clar, confirmar el missatge per una altra via de contacte.

«Li faré una oferta que no podrà rebutjar». Potser els mètodes han canviat des de l’època dels mafiosos de El padrí, però l’objectiu segueix sent el mateix: obtenir els teus diners de manera il·lícita. L’última moda del cibercrim és el vishing, combinació dels termes «veu» (en anglès voice) i phishing, és a dir, la pràctica de suplantar la identitat del nostre banc i robar-nos utilitzant les nostres dades.

La diferència amb el segon mètode és el mitjà utilitzat pel vishing per als seus objectius delictius: la veu, tant a través de sistemes telefònics tradicionals com, en el cas més comú, mitjançant veu sobre IP.

Sona el telèfon. El número que apareix a l’identificador correspon a la teva zona geogràfica, o potser fins i tot és un número conegut. Despenges el telèfon. A l’altra banda de la línia sona una veu robòtica que assegura que el teu compte bancari ha estat atacat i que, per protegir-lo, has de trucar al número que et faciliten. I cal fer-ho ràpid, perquè si no ho fas, t’arrisques, diu la veu robòtica, a perdre tots els teus diners. En canvi, asseguren que si els proporciones el teu número de compte o de targeta de crèdit et poden ajudar a impedir transaccions fraudulentes amb el teu compte.

Aquesta és només una de les estratègies possibles que pot utilitzar el vishing per obtenir els teus diners. Altres possibilitats són reclamar impostos suposadament impagats, dir que has guanyat un premi o un concurs, oferir assistència tècnica per poder accedir al teu ordinador, simular trucar en nom d’algun organisme estatal o d’alguna associació benèfica… L’únic límit és la imaginació dels ciberdelinqüents.

Així doncs, què podem fer? Algunes accions que, si bé no eliminen completament el risc de ser víctima del vishing, sí que el redueixen a la seva mínima expressió, són:

• No contestar trucades de números desconeguts: si qui truca és un estafador, respondre suposa obrir-li les portes, confirmar-li que el número està actiu i deixar-li la via lliure perquè torni a trucar. Si en canvi deixem que salti el contestador, serà més fàcil esbrinar si la trucada és fraudulenta o no.
• Si contestes, mai donis informació personal: els bancs i organismes oficials mai te la demanaran, perquè ja la tenen. Si et demanen les teves dades privades per telèfon, comença a sospitar.
• Utilitza una aplicació d’identificació de trucada: les nombroses opcions de veu sobre IP permeten crear molt fàcilment números falsos. Una bona opció seria baixar una aplicació específica d’identificació de trucada, com ara Truecaller, que bloqueja els números que ja s’han confirmat perillosos i permet afegir números nous a la seva base de dades. No obstant això, encara que la tinguem instal·lada, tampoc no ens n’hem de refiar al 100%: si ens truca un número desconegut, el més prudent sempre serà no respondre.

I si som víctimes de l’smishing, és a dir, rebem SMS sospitosos, el que cal fer és fàcil: actuar exactament igual que en el cas del vishing.

Finalment, si malgrat tot som víctimes d’algun d’aquests cibercrims, abans de recórrer a padrins sempre tenim la possibilitat de denunciar-ho a Internet.

La banca electrònica, també coneguda com a banca en línia, e-banking o banca virtual, consisteix en la possibilitat de consultar i fer operacions bancàries a través d’Internet. Ofereix molts i grans avantatges: es pot accedir al banc 24 hores al dia, 7 dies a la setmana i suposa un gran estalvi de temps i diners, tant per als clients com per als bancs. A priori, també pot presentar alguns dubtes, com ara la possible sensació d’inseguretat, que podria provocar una certa desconfiança cap a la banca en línia.

Per evitar aquestes sensacions, el tercer capítol de “Finances per a followers”, el programa de CaixaBank per impulsar l’educació financera, tracta precisament el tema de la ciberseguretat. Després dels dos primers vídeos de la sèrie, que se centraven en els conceptes de pressupost familiar i inversió, els presentadors Javier Muñiz i Rosa del Blanco compten ara amb la participació de la cantant Marina Jade per donar-nos alguns consells per operar per Internet de manera segura.

Amb l’ajuda d’uns aneguets de goma, els presentadors ens expliquen de forma molt gràfica què és el phishing, una tècnica fraudulenta que consisteix a “suplantar la identitat del nostre banc i robar-nos utilitzant les nostres dades”, explica Rosa del Blanco.

La paraula és un neologisme que en anglès sona igual que fishing (pescar), ens explica Javier Muñiz, perquè la pràctica més habitual és imitar el web del banc, enviar-nos un correu electrònic en nom seu demanant les nostres dades i, senzillament, esperar que algú piqui. Davant d’això, cal prevenir i aplicar certes normes per protegir-nos. Finances per a followers ens ofereix quatre grans consells:

1. No donis les teves dades a desconeguts. Si no ho fem al carrer, en el món real, tampoc hem d’anar donant les nostres dades en el món virtual.
2. Mantingues actualitzada la teva app bancària. Com més actual sigui la versió de l’aplicació que fas servir al teu telèfon mòbil, més segura serà. I si et connectes al teu banc des de l’ordinador, fes servir sempre un antivirus.
3. Utilitza claus complexes i no habituals. Sempre és millor tenir contrasenyes que combinin majúscules i minúscules, lletres i números, i caràcters especials. Mai no utilitzis claus fàcils d’endevinar, com el teu aniversari, el teu número de DNI o 123456.
4. El teu banc mai no et demanarà les teves dades. Així que, si reps una trucada o un correu electrònic que et sol·liciti les teves dades, no les donis, no contestis i no facis clic en cap enllaç.

En efecte, quan ens connectem des del nostre ordinador, sempre serà millor escriure nosaltres mateixos l’adreça del nostre banc en el navegador, sense clicar en enllaços. I també haurem de fixar-nos que l’adreça sigui un URL segur, que comenci per “https”, com per exemple https://www.caixabank.es/index_es.html. Finalment, quan acabem de fer les nostres operacions, cal tancar sempre la sessió. Si seguim aquests consells, operar amb la banca en línia serà igual de segur que anar al banc en persona.

“Finances per a followers” tornarà molt aviat amb una nova entrega, i recorda seguir el hashtag #FinanzasXaFollowers i el perfil de CaixaBank a Twitter, @caixabank, per estar informat.