Selecciona Edición
Entra en EL PAÍS
Conéctate ¿No estás registrado? Crea tu cuenta Suscríbete
Selecciona Edición
Tamaño letra

Sexo y dinero, los ejes del cibercrimen

Especialistas en delitos a través de la tecnología desvelan las técnicas más habituales y los ataques más denunciados

Óscar de la Cruz, comandante de la Unidad Operativa Central de la Guardia Civil, muestra en la Universidad Pablo de Olavide las principales armas del cibercrimen.
Óscar de la Cruz, comandante de la Unidad Operativa Central de la Guardia Civil, muestra en la Universidad Pablo de Olavide las principales armas del cibercrimen.

Sexo y dinero son los ejes centrales del cibercrimen, un tipo de delito que acapara ya hasta el 25% de los casos judiciales, según resalta Manuel Damián Álvarez, presidente de la Audiencia de Sevilla. La tecnología ha transformado el mundo de la delincuencia, que se ha convertido en “transfronteriza, susceptible de agruparse e bandas organizadas y que, aunque deja huellas, estas son más fáciles de eliminar y exigen un preparación e instrumentos específicos para seguirlas”, advierte Álvarez.

“De un teléfono móvil se puede sacar mucho más que de un armario”, alerta Antonio del Moral, magistrado del Tribunal Supremo. De esta realidad se aprovecha el mundo del crimen, que ha encontrado en la tecnología una puerta para todo tipo de ataques. Óscar de la Cruz, comandante de la Unidad Operativa Central de la Guardia Civil resume la “anatomía” de estos: el medio natural es tecnológico, los sistemas amparan el anonimato eliminando la trazabilidad y se aprovecha de la “ingeniería social”, las redes donde la barrera de la confianza elimina muchas cautelas habituales y deja al descubierto nuestra intimidad. Estos son los medios habituales, según el agente especializado:

Fuerza bruta. Es el método de probar con combinaciones habituales y predecibles para vulnerar cuentas en Internet. Cada día tiene menor incidencia por las barreras informáticas de los servidores, que bloquean los accesos ante un fallo reiterado en las claves de acceso. Su incidencia se ha convertido en menor.

Phising. Se trata del engaño mediante mensajes y páginas falsas que llegan al usuario solicitando que introduzca determinada información. Uno de los últimos detectados es de una compañía eléctrica que reclama al usuario sus datos de cuenta para devolverle dinero cobrado de más. “Seguí todos los pasos y, cuando ya había dado mi número de tarjeta y estaba a punto de incluir mi contraseña, me llamaron del banco preguntándome si había realizado una compra de 940 euros. Era un robo”, relata Ángela Espina, quien ha reenviado a sus amigos de Whatsapp la advertencia para evitar que se repita.

Mensaje falso en nombre de Endesa recibido por una cliente a finales del pasado mes de mayo.
Mensaje falso en nombre de Endesa recibido por una cliente a finales del pasado mes de mayo.

“Llega a tener hasta un 58% de éxito si está bien hecha”, afirma De la Cruz mientras recuerda el timo del CEO, una estafa con la que los ladrones consiguieron en cuestión de horas robar cinco millones a cuatro empresas. Este procedimiento consiste en enviar un correo falso con un remitente conocido, como el del director de una compañía, en la que reclama a un directivo o un trabajador de administración una transferencia urgente para hacer frente a un pago de la sociedad. La dirección de correo y los términos de la petición son los habituales, por lo que nada hace sospechar del timo. El propio agente demostró en un curso de la Universidad Pablo de Olavide (UPO) y la Universitat Oberta de Catalunya (UOC) cómo con páginas disponibles en Internet se puede simular el correo electrónico o la página corporativa. Durante la demostración generó en cuestión de segundos un correo del rector de la UPO.

Malware. El método es similar, pero envían un vídeo, una foto o un pdf asociado a un enlace que, al pinchar, el ordenador personal queda infectado. Con él se puede operar como si fuera el usuario habitual, robar la información e incluso instalar micrófonos y cámaras. “También se puede hacer en los móviles”, advierte De la Cruz.

Páginas como Have I been pwned? advierten si su correo ha sido interceptado. La información se vende en la Intranet oscura por precios ridículos: desde 10.000 cuentas por cinco dólares

Leaks. Son los robos masivos de información de grandes compañías y de sus usuarios. Casi ninguna se ha librado de un ataque. Si quiere saber si su correo ha estado en manos ajenas, existen páginas web en las que se almacenan los casos detectados, como Have I been pwned?, donde hay registradas más de 5.000 millones de cuentas afectadas en alguna ocasión. La información se vende en la Intranet oscura por precios ridículos: desde 10.000 cuentas por cinco dólares.

Sniffing. Es el robo de información a través de la creación de un punto de acceso wifi gratuito. Bajo la apariencia de un servicio, detrás puede haber un ladrón al que brindamos toda nuestra información de forma inconsciente, pero voluntaria.

Man in the middle. Se trata del robo de información creando un elemento intermedio entre nuestro terminal y el servidor habitual. Se puede utilizar con dos sistemas, uno para inhibir la señal contratada y otra para redirigir los ordenadores hacia el punto creado por el delincuente. Generalmente, con una web fácil de recrear, se nos avisa de una interrupción en la comunicación y se nos pide que volvamos a identificar el usuario y contraseña del router. A partir de ahí, somos transparentes.

Delitos habituales y en auge

Con estos métodos se obtiene, en la mayoría de los casos, dinero. Es el principal móvil del cibercrimen, según el agente especializado De la Cruz. “Lucro, sexo y poder”, añade Gabriel González, fiscal y profesor de la Universidad Abierta de Cataluña (UOC, en catalán) y de la UPO.

González identifica los principales delitos que se suman a los chantajes, robos y estafas más habituales: ciberbullying (maltrato, principalmente entre escolares), stalking (acoso directo mediante medios informáticos o dando de alta a la víctima en servicios y redes sociales de contactos e índole sexual), childgrooming (hacerse pasar por un menor para ganarse la confianza de otros), sexting (envío de mensajes y fotografías íntimas), pornografía infantil, ciberextorsión, amenazas, coacciones, injurias, calumnias, delitos de odio y contra la propiedad intelectual o industrial. En la mayoría de los casos, existe concurrencia de dos o más delitos.

Más información