Cada sección de la Brigada de Fraude Informático tiene entre 6 y 8 agentes.

Cada sección de la Brigada de Fraude Informático tiene entre 6 y 8 agentes. C.S.

Reportajes CYBER MONDAY

Las estafas online se disparan hasta un 25% por el Cyber Monday: un día con la Unidad Central de Ciberdelincuencia

Carlos Subirá
Publicada
Actualizada

Con las ofertas del Black Friday todavía recientes y la Navidad casi encima, los consumidores se lanzan a celebrar este Cyber Monday el 2 de diciembre. Y como cada año desde el comienzo de esta tradición en 2018, habrá quienes caigan en las trampas tendidas por los ciberdelincuentes. 

En 2022 se contabilizaron 24.358 estafas informáticas, y los números no dejan de crecer: en 2023 esta cifra creció un 35,44%, con hasta 33.261 casos. Así se desprende del Portal de Estadísticas Criminales del Ministerio del Interior.

Que estos guarismos no vayan a más es uno de los objetivos de la Unidad Central de Ciberdelincuencia (UCC) de la Policía Nacional. EL ESPAÑOL acompaña durante una jornada a este cuerpo de élite policial dedicado a investigar y combatir los delitos relacionados con el comercio electrónico.

Esta unidad se creó hace 30 años y la componen "perfiles muy amplios", explica uno de sus agentes en conversación con este periódico: desde un ingeniero informático hasta puestos de tipo más operativo (GEO, UDYCO, escoltas...). Y también se realiza un trabajo de policía judicial con "un perfil muy de calle".

Dentro de la UCC se integra la Brigada Central de Fraudes Informáticos, la cual se divide en dos secciones. Una de ellas se encarga de investigar el fraude informático bancario, y la otra de las compras online.

Durante el desempeño de sus funciones, esta unidad tiene que acometer el acceso y registro de domicilios, llevar a cabo detenciones rápidas y prevenir riesgos tanto para los agentes del orden como para las pruebas materiales que pasarán a disposición judicial.

Base de datos conjunta de la UCC y la Europol

Base de datos conjunta de la UCC y la Europol C. Subirá

Las cifras de fraude informático durante el Black Friday y Cyber Monday se disparan. En 2023, sólo durante estas fechas se produjeron 50.000 intentos de estafa online en España, lo que se traduce en unas pérdidas de más de 15 millones de euros y un 25% más de este tipo de delitos con respecto al año anterior, según datos del proveedor global de ciberseguridad Lazarus Technology. 

Según fuentes policiales, el fraude informático muestra una "enorme tendencia al alza". Desde 2019 a 2024 se han duplicado los hechos delictivos denunciados. "Es una barbaridad", resume un agente.

Nuevas estafas

"Antes lo que más teníamos eran cargos fraudulentos de tarjeta bancaria". Pero la seguridad en este sector ha aumentado al introducir el segundo factur de autenticación. "Los delincuentes, como saben que hay esa modificación, ahora tratan de estafar directamente a los usuarios".

Las tretas empleadas para estafar a los usuarios son diversas. Por ello, la UCC ya está preparándose para luchar contra estrategias de fraude informático como phishing, smishing, typosquatting y malvertising.

Un espejo refleja una pantalla de ordenador que muestra un código binario.

Un espejo refleja una pantalla de ordenador que muestra un código binario. Ritchie B. Tongo EFE

Las fuentes consultadas mencionan el caso reciente de una persona que "pagó 11.000 euros por un tratamiento de cirugía plástica en Tailandia en una página web con apariencia completamente legítima que luego resultó ser falsa".

Este fue un ejemplo clásico de phishing, denunciado por la víctima tan pronto como llegó a su destino y conoció haber sido objeto de una estafa informática.

  • Phishing y smishing: las campañas de phishing (correos fraudulentos) y smishing (mensajes SMS maliciosos) dominan el panorama de los ciberataques. Estas artimañas buscan engañar a los usuarios para que revelen información confidencial como credenciales bancarias o datos personales. Los ciberdelincuentes clonan páginas web que aparentan promociones legítimas de marcas reconocidas.
  • Typosquatting: este método utiliza dominios web con ligeras variaciones ortográficas de sitios oficiales ("amaz0n.com" en lugar de "amazon.com") para redirigir a los usuarios a plataformas fraudulentas que recopilan datos personales o instalan malware (virus).

  • Cupones falsos y malvertising: las ofertas demasiado buenas para ser verdad se combinan con anuncios maliciosos (malvertising) con objeto de atraer a los usuarios a páginas de phishing. Esta técnica explota la urgencia típica del Cyberg Monday, aprovechando la impulsividad de los consumidores.

Un crimen transnacional

La ciberdelincuencia puede resultar especialmente escurridiza para la justicia. Los actores implicados en este tipo de operaciones suelen plantear sus estrategias desde más allá de nuestras fronteras. 

Este entramado transnacional queda bien reflejado a través del testimonio de uno de los jefes de brigada: "En la última operación en la que hemos participado en la unidad, los compañeros de criptoactivos tiraron abajo una página web donde estaba disponible un servicio de phishing as a service".

"Tú te registrabas en un entorno virtual que estaba alojado en Rusia y ese entorno virtual te facilitaba meter datos de potenciales víctimas y lanzar campañas de phishing. Lo automatizaba".

Mapa muestra la fuga de capitales producto del fraude informático

Mapa muestra la fuga de capitales producto del fraude informático C. Subirá El Español

Ya no es necesario tan siquiera acudir a la darknet para contratar este tipo de servicios cibercriminales. Ahora basta con frecuentar sitios en internet cuya ubicación se encuentre en países legislativamente más laxos o menos colaboradores con la justicia.

De hecho, los ciberdelincuentes pagan en Google Ads para posicionar sus páginas clonadas para que sus potenciales víctimas se las encuentren antes que a sus homólogas oficiales al efectuar una búsqueda en internet.

En este sentido, el cibercrimen organizado y trasnacional es una realidad multidisciplinaria que, al igual que las Fuerzas y Cuerpos de Seguridad del Estado, se reparte sus funciones, especializando a sus miembros en distintas áreas. Y ahora, además, ofrece el crime as a service, como en el ejemplo anterior del phishing.

Desde la UCC, los agentes de la Policía Nacional se afanarán un año más por capear el temporal y aguantar el chaparrón de denuncias que, a buen seguro, lloverán tras la impulsiva orgía consumista aproximándose inexorable.

*Carlos Subirá, autor del reportaje, es alumno de la segunda promoción 2024-2025 del Máster de Periodismo de EL ESPAÑOL/UCJC.