“Me suplantaron la identidad y acabé en el calabozo”, dice Mohamed Kadari, de 25 años y de Olesa de Montserrat (Barcelona). Durante la pandemia buscaba trabajo y vio en la aplicación Indeed una buena oferta como transportista. “Me seleccionaron en seguida y necesitaban DNI y carné de conducir por ambas caras, cuenta bancaria y número de afiliación”, explica. Lo mandó y nunca le llamaron ni supo más hasta que en junio de 2022, al levantarse, fue la policía local a su casa con una citación judicial.
La citación era de Elche (Alicante), llamó al juzgado y le dijeron que tenían una denuncia por estafa: “¿A quién he estafado?”, preguntó. A una mujer por un alquiler turístico de unos 900 euros, le dijeron. No era verdad. Alguien había suplantado su identidad en una cuenta bancaria solo con su nombre y número de DNI. Debía declarar un día por videoconferencia pero, tras horas de espera, se suspendió. Desde Elche le declararon por error en busca y captura. Kadari se presentó en la comisaría: “Me quitaron la ropa, me tomaron las huellas, fotos. Me metieron en el calabozo y me llevaron esposado en coche a declarar. El comportamiento de los mossos fue genial”, añade. El caso de Kadari sigue aún abierto. Con su nombre hubo otra estafa ya sobreseída en Murcia y ha encontrado en otros bancos al menos otra cuenta a su nombre.
La desventura de Kadari tiene que ver probablemente con su origen: “He llevado casos similares y se archivan en seguida”, dice su abogada, Tania Ferreras. “Mi experiencia me dice que es por su nombre”, añade. El caso de Kadari es solo una de las 335.995 denuncias que hubo por ciberestafas en 2022. Es el tipo de crimen que más ha crecido en la última década: entre 2015 y 2022 han pasado del 3% al 15% de los delitos denunciados, según el Ministerio del Interior. Son el segundo tipo de delito con más denuncias tras el hurto. Su impacto es aún mayor porque muchas ciberestafas quedan sin denuncia.
Esta semana el CIS publicó una encuesta donde casi la mitad de españoles admitía haber sufrido un intento de ciberestafa. Es probable que esa cifra sea mayor: ¿quién no ha recibido un SMS para pagar “tasas” de un paquete, un Whatsapp de un número indio o ha visto un anuncio falso de un famoso? Todo este crecimiento tiene una explicación simple: hay más cibercrimen porque somos más digitales. “Va muy ligado al uso de la tecnología”, explica Steven Kemp, profesor de Criminología de la Universitat de Girona y autor de un manual reciente sobre ciberestafas. “Hay una correlación con las actividades cotidianas, que ponen en el mismo espacio a posibles infractores y víctimas”.
El ciberfraude más común tiene que ver con la identidad y el acceso a cuentas bancarias o tarjetas, dice Kemp. Pero las que logran más dinero por víctima, sin contar las que afectan a empresas, son las románticas o de inversiones. Nada de esto tiene mucho que ver con la sofisticación técnica. “Los fraudes se van perfeccionando desde la perspectiva social, no técnica”, dice Fernando Miró, director de Crimina, centro para el estudio de la delincuencia de la Universidad Miguel Hernández. Antes el robo implicaba presencia física. Ahora basta con poner millones de anzuelos a ver quién pica. Y hay un sector de la población más proclive: los mayores.
Un despiste y 233.000 euros menos
En septiembre del año pasado un agricultor mayor de un pueblo de clddd buscaba cómo invertir en criptomonedas. No recuerda en qué enlace pinchó ni en qué plataforma lo vio, pero “invirtió” 5.000 euros. “Luego le dijeron que estaba subiendo mucho y que para verlo debía descargarse un servicio llamado Anydesk”, explica Carlos Solano, cofundador de Ardiciber, firma especializada en víctimas de ciberestafas. Anydesk permite tomar el control remoto de un dispositivo. Se lo descargó en el móvil. En diez días en octubre le limpiaron 233.000 euros de su cuenta con transferencias de 15.000 realizadas por los estafadores sin que el banco lo detectara. Eran los ahorros de toda una vida. Su dinero, mientras, circulaba por cuentas y bancos lituanos y polacos.
Los criminales no tenían suficiente. Luego le escribieron, siempre en WhatsApp, presuntos empleados de un banco británico: “Le dijeron que tenían el dinero, pero que debía pagar 20.000 euros en tasas para recuperarlo”, cuenta Solano. El agricultor pidió el dinero a compañeros porque no le quedaba nada. Los delincuentes con acceso a su cuenta bancaria pidieron también un préstamo preconcedido de 30.000 euros. “A veces le escribían en italiano o polaco por error. Tienen un call center y deben estar estafando a toda Europa”, dice Solano. Los mensajes oscilaban entre los que le trataban de “cariño” y los ofendidos porque les acusaba de “estafadores”. La inteligencia artificial ayudará a perfeccionar estos métodos y con mejores traducciones. En el caso de este agricultor había además una connotación afectiva: él mandaba de vuelta mensajes enseñando su tractor y sus campos, para compartirlo con ese alguien que había al otro lado. Tiene difícil recuperar lo perdido.
Esta delincuencia es muy similar a un trabajo organizado: “Son profesionales, tienen división de trabajo, los hay especializados en conseguir acceso, engañar, mover dinero”, dice Kemp. Hay también países con especialidades: en India hay más call centers, en Ghana y Nigeria tratan más las estafas románticas y blanquean gracias a su diáspora por todo el mundo, y las ciberestafas que requieren más conocimiento tecnológico pueden venir de Europa del Este.
Este agricultor estafado es mayor, pero sigue trabajando. Su vida en un pueblo remoto y su probable falta de habilidades digitales y sociales, sin embargo, le hacen presa fácil: “Hay muchos delitos que probablemente ocurren con una frecuencia superior a la que consideramos”, dice Nieves Erades, profesora de la Universidad Miguel Hernández. Ocurre con gente que está “en una situación de vulnerabilidad, muy relacionada con la soledad o cierta exclusión y además tiene cierta estabilidad económica”, añade Erades.
Los mayores han ganado fama como víctimas propicias de ciberestafas. Pero aunque quizá sean la mayoría en valor económico, no lo son en número. Las víctimas están repartidas en toda las franjas de edad: “En términos de volumen afecta a más jóvenes. Quien juega más a videojuegos, quien tiene más actividad online tiene más probabilidades”, dice Kemp.
Los timos en los anuncios
Virginia clicó en un anuncio de Instagram que prometía ganar de 100 a 500 euros diarios: “Me salían a montones, harta de verlos, pinché”, asegura. Virginia, que está desempleada, prefiere no dar su nombre porque ni su pareja lo sabe. El anuncio la llevó a WhatsApp. Allí le habló un tal “Charles”, con una foto de avatar de un chico con traje: “Yo soy mujer y me hablaba en masculino. Había palabras que no las decía bien, pero no le di más importancia hasta que vi cosas raras”, dice.
Las ciberestafas suelen ir rápido. En poco tiempo Virginia estaba poniendo reseñas de 5 estrellas en una página falsa de una célebre cadena de supermercados. Por cada reseña le daban 5 euros, que se sumaban a su cuenta. “Tenía que hacer 40 tareas diarias, pero lo malo es que en la tarea número 5 te sale un ‘pedido’ que cuesta 300 euros y se te pone la cuenta en negativo. Para que se te ponga en positivo tienes que ingresarlos. Si no, pierdes lo que llevas acumulado, se me queda ahí todo ese dineral que es mío”, explica.
Ese dinero no existía. Solo podía retirar dinero si antes ingresaba el suyo. Virginia ingresó hasta que le pidieron 3.000 euros que no tenía. Pagó hasta 800 usando una tarjeta de crédito y se salió. Durante los días que “trabajó” la metieron en un grupo de Whatsapp donde había docenas de mensajes positivos escritos desde números falsos, pero con identidades reales. EL PAÍS ha comprobado nombres de personas reales con mensajes fabricados. Todo ayuda a convencer a la víctima de que no es una estafa, aunque lo parezca.
Quién puede hacer más
Las ciberestafas han dejado casi de ser noticia, pero el problema crece. Como en otros delitos se tiende a pensar que la policía y la cárcel son la solución. Pero en este caso no lo parece para la mayoría de casos: “Una parte del sistema penal se basa en que las penas disuadan a futuros delincuentes. Pero si se logran muy pocas penas, el sistema penal no disuade y no es el adecuado para este problema”, dice Kemp. “No sirven de nada”, añade Miró.
Ambos ponen el foco en las grandes plataformas digitales para mitigar el problema: “Deben hacer más para proteger a los consumidores”, reclama Kemp. El nuevo Reglamento europeo de Servicios Digitales “considera la ciberestafa un riesgo sistémico”, dice Miró. “Eso es clave porque establece que las plataformas evalúen y gestionen los riesgos”, añade Miró. Si no, llegarán las sanciones.
Hay vídeos con millones de visitas en Youtube sobre cómo romper un patrón de un móvil, millones de mensajes falsos circulando por WhatsApp o Telegram, y montones de anuncios en Instagram, X o TikTok que no son transparentes o llevan a páginas que facilitan timos o directamente roban contraseñas o credenciales bancarias. Los caminos del ciberfraude son extensos y no paran de crecer: “Los prestadores de servicios son arquitectos del ciberespacio, no son solo vigilantes, construyen la manera en que nos relacionamos”, explica Miró, que hace un par de meses se reunió con Google para analizar las crecientes estafas a mayores. “Los prestadores deben responsabilizarse de estas cosas. No pueden permitir que el usuario acceda a ella de forma libre y sencilla”.
“Hay que ser muy cuidadosos con la información que compartimos. Si no dejamos a nadie nuestro DNI en la calle, ¿por qué mandamos alegremente imágenes del mismo en internet al primero que nos lo pide?”, advirtió la inspectora Beatriz Gómez Hermosilla, de la Unidad Central de Ciberdelincuencia de la Policía Nacional, al presentarse los datos de Interior.
“Tengo pánico de tocar el móvil”
Un motivo para no denunciar ciberfraude es la vergüenza, parecer tonto. Pero el ataque puede llegar por más vías de las imaginadas. A María le robaron el móvil en un autobús de Zaragoza a las 14.00 de un viernes de enero. Lo tenía bloqueado con un patrón y no tenía descargada la app de ING. Solo seis horas después, tenía 15.000 euros menos en su cuenta de ese banco. Los delincuentes se descargaron la app y entraron en su perfil con su número de DNI y fecha de nacimiento. Crearon otra cuenta en ING para transferir el dinero y pidieron una visa, que usaron inmediatamente de manera virtual. También intentaron entrar sin éxito a su otro banco: “Se metieron en todo, en la galería de fotos, en Whatsapp, en programas que yo tenía, en todo a ver lo que encontraban”, explica.
Cuando María duplicó su tarjeta sim, la antigua se quedó sin servicio y allí recuperó el control. ING le ha devuelto 4.000 euros, pero María no se explica cómo el banco no puso más capas de seguridad. El DNI con el que abrieron la cuenta nueva estaba caducado. No le avisaron de las transferencias. Las llamadas de atención al cliente fueron en vano. Los bancos han logrado pasar a millones de usuarios de las oficinas a internet, ahora deben empezar a hacer más para vigilar el fraude, señalan los especialistas. Para atracar un banco ya no hay que ir con pasamontañas.
María tampoco quiere dar su nombre real porque no ha contado lo que le ha ocurrido ni a padres ni a suegros: “No estoy preparada para hablar de esto porque estoy con ansiedad. Tengo pánico de subirme en un autobús, de tocar el móvil; yo era de las que dejaba el móvil y podía estar cuatro horas sin usarlo, y ahora oigo que se mueve el móvil y voy como una loca pensando que es una transferencia que yo no he hecho. Pensaba que estaba segura”, lamenta, en un recordatorio de que los tiempos han cambiado.
¿Qué hacer para minimizar riesgos?
- Actuar con «desconfianza racional» y sentido común ante ofertas o mensajes de fuentes desconocidas.
- Nunca clicar en un enlace sospechoso y verificar el adjunto con el remitente.
- Comprobar el remitente en los correos electrónicos y SMS.
- Vigilar las horas a las que se envían los mensajes sospechosos, si finge estar en España y envía en otros husos horarios.
- No hacer caso a la sensación de urgencia que apremien en los mensajes.
- Cuando se recibe una oferta muy tentadora, es mejor desconfiar: si un desconocido ofrece un chollo demasiado bueno para ser cierto, probablemente sea falso.
- No dar siempre por supuesto que tu interlocutor vía web, correo electrónico o red social es quien dice ser.
- Fijarse detenidamente en la dirección URL de las webs para asegurarse de que no son falsas.
- Si recibes un SMS o un correo pidiendo que actualices tus datos bancarios, de tarjeta o cuenta, no contestes ni rellenes formularios de ningún tipo.
- No es tan fácil ligar, nadie se enamora en dos mensajes de redes o SMS.
- Nunca ofrezca datos personales por Internet, a menos que sea en sitios de total confianza.
- No aportar nunca datos bancarios sin cerciorarse de que se trata de la empresa o entidad en cuestión.
- No facilitar nunca información de tarjetas, documentos de identidad, declaración de la renta, nóminas, nombres de usuario, claves y contraseñas.
- Utilice contraseñas “de calidad” (con letras, números y otros caracteres). Cámbielas periódicamente.
- No introducir el número de tarjeta en páginas de contenido sexual o pornográfico, en los que se solicita como pretexto, para comprobar la mayoría de edad.
- Extreme la precaución en los archivos que recibe en sesiones chat.
Puedes seguir a EL PAÍS Tecnología en Facebook y X o apuntarte aquí para recibir nuestra newsletter semanal.