martes, 9 de julio de 2024

Este país quiso librarse del efectivo. Ahora es un "Silicon Valley de la ciberdelincuencia"


Viandantes pasean por delante una sucursal en Estocolmo. 
(Reuters/Tom Little)



Las estafas online han subido como la espuma en Suecia, el país europeo que más esfuerzos ha hecho por librarse del papel moneda. Un espejo en el que se pueden mirar países como España, que también afronta su particular ola




Decir que un lugar se ha convertido en el Silicon Valley de esto o de aquello suele ser una manera de exagerar las bonanzas de algún proyecto de innovación o alguna inversión en tecnología. Daniel Larson, un pez gordo de la fiscalía general sueca dedicado a los delitos económicos, utilizó hace semanas esta hipérbole para todo lo contrario. Dijo que Suecia se había convertido en el “Silicon Valley del emprendimiento criminal”.

La declaración, un titular impactante, tenía como objeto señalar el preocupante auge de las ciberestafas en el país nórdico, el estado a nivel europeo (y probablemente mundial) que ha hecho más esfuerzos y más lejos ha llegado por librarse del dinero en efectivo y que lleva años abrazando una economía basada en los pagos digitales.

Un viaje de muchos años de duración que ha convertido a Suecia, junto a Noruega, en uno de los lugares de todo el continente donde más difícil es sacar dinero de un cajero, porque tienen la tasa más baja de puntos de retirada por habitante. En algunas regiones septentrionales, como Jämtland, Norrbotten o Västerbotten, un estudio gubernamental descubrió que muchos de los que allí habitaban tenían más de 40 kilómetros de distancia hasta la sucursal más cercana.

La metamorfosis de los medios de pago en Suecia llegó a su punto álgido a finales de la pasada década. En 2018, el dinero contante y sonante que se movía físicamente apenas llegaba a suponer el 1% del producto interior bruto, mientras que en el resto de Europa, esa estadística se dispara hasta el 11%. En 2020, según el Banco Central de aquel país, solo 8 de cada 100 personas habían pagado en efectivo recientemente. Diez años antes, esa estadística era cinco veces mayor.


Cibercrimen en el país donde no quieren billetes

En este escenario, por supuesto, se han reducido drásticamente los atracos de toda la vida, esos que tenían como objetivo llevarse un botín en metálico. Pero los cibercriminales han encontrado en este cambio de paradigma un terreno especialmente fértil. Los datos que ofreció Larson son bastante contundentes. Desde 2021 hasta 2023 se ha duplicado la cantidad sustraída en estafas online. Las estimaciones de la fiscalía apuntan a que la actividad de esta industria criminal online podría ascender hasta tener un valor equivalente al 2,5% del PIB.

Estos guarismos son, obviamente, razón suficiente para que el asunto entre de lleno en la agenda pública. El ejecutivo y el parlamento ya estudian diversas líneas de acción y, por supuesto, han dado un toque de atención a los bancos, a los que han pedido mejorar la seguridad de sus sistemas para proteger a los usuarios.

Esta problemática ha ayudado a que las autoridades locales hayan decidido pisar el freno, no mandar el efectivo a paseo tan rápido y aprobar normas para que siga vivo, siga siendo aceptado y, sobre todo, sea accesible. Pero hay otros motivos, como puede ser la brecha generacional o el miedo a una catástrofe o un hackeo contra sistemas e infraestructuras críticas en el marco de las tensiones geopolíticas con Rusia, acrecentadas tras el ingreso del país en la OTAN. “El efectivo es también el único medio de pago que se puede utilizar sin electricidad ni telecomunicaciones, por tanto es importante para una Suecia preparada ante emergencias”, afirmaba el Riksbank, el banco central, en un escrito hace unos meses.

El caso nórdico llama la atención poderosamente porque se presupone que un país que lleva tantos años trabajando en el fin del efectivo y la transición a la economía digital con tanto ímpetu lo haría con una red de seguridad que evitase lo que ahora está viviendo. Pero lo cierto es que todo esto es reflejo de una realidad que se vive con mayor o menor intensidad en los países desarrollados, como España, donde también se está atravesando un pico de casos que está preocupando a las autoridades.


Un fenómeno más global

Este mismo año, el aumento de afectados por casos de suplantación de identidad en llamadas y mensajes ha hecho que el Ministerio de Transición Digital de José Luis Escrivá convocase a fuerzas de seguridad, instituciones, bancos y operadores a aportar ideas de mecanismos para frenarlo. La incorporación masiva de la población a sistemas de pago digitales y aplicaciones bancarias ha hecho que en los últimos años los delincuentes tengan especial predilección hacia las víctimas individuales.

Un informe de UK Finance recogía que el fraude que más creció en 2023, mucho más que los golpes a grandes empresas a través de las brechas y vulnerabilidades de seguridad, fue el robo de credenciales de identificación bancarias de particulares, con un crecimiento del 14%. Las pérdidas asociadas a este fenómeno se dispararon un 53% hasta rozar los 80 millones de libras. Los casos de pagos fraudulentos autorizados por el usuario mediante phishing u otras técnicas aumentaron en ese mismo periodo un 12%.

En Suecia hay una herramienta que está en el centro del debate. Se llama BankID y su origen se remonta a 2001. Es una suerte de firma digital que se activa por un PIN numérico o por un sistema de biometría (como el reconocimiento facial o dactilar del móvil o del ordenador) y que sirve para autorizar pagos inmediatamente. Fue desarrollado por las entidades bancarias y aunque en origen se utilizaba para transferencias al momento, acabó por ser más que una validación para un simple Bizum.

A día de hoy es una suerte de superaplicación que se utiliza para cosas tan mundanas como pagar en una cafetería, en el transporte público, presentar la declaración de impuestos o crear una sociedad. Esa omnipresencia ha hecho también que sea un caramelo para los hackers, que también están explotando la plataforma para blanqueo de dinero a través de compañías ficticias y otros fraudes. En los últimos tiempos los responsables de BankID han tomado medidas de doble factor de autenticidad y otras salvaguardas, pero muchas veces estos añadidos tienen que ser activados por los usuarios o muchos de ellos lo toman como un trámite, confiando ciegamente en elementos visuales conocidos o en páginas oficiales, que a la hora de la verdad también pueden ser clonadas. Por eso, hay quien también ha puesto bajo el foco la inmediatez con la que funcionan sistemas como el sueco, herramientas como Bizum o las apps de los bancos. Independientemente de que introduzcas dos o tres claves de seguridad obtenidas por distintas vías, cuando se da al botón de aceptar no hay punto de no retorno.


Transferencias inmediatas, urgencia y pesca de arrastre

Y eso es lo que intentan explotar diferentes estafas. Una de las que más ha dado que hablar en España en los últimos meses ha sido la del 'hijo en apuros'. Se recibe un mensaje de un familiar por WhatsApp u otra aplicación de mensajería, diciendo que su teléfono está roto pero que necesita urgentemente una cantidad de dinero para resolver un problema. Lo que se pretende es generar esa sensación de urgencia y provocar fallos humanos por el nerviosismo.

Muchos, la gran mayoría, lo ignorarán, pero hay veces que hacen blanco. “Esto es pesca de arrastre. Nos puede pasar a cualquiera”, apuntaba recientemente a El Confidencial Eusebio Nieva, director técnico de Check Point Software en España y Portugal, respecto a este tipo de tretas y otras como las del paquete que está retenido en aduanas o en una oficina porque falta pagar tasas o las páginas webs falsas que se han multiplicado por internet.

Hay otros fraudes más elaborados, que utilizan datos filtrados y de venta en la dark web y otros foros de internet para desmontar las reticencias de las posibles víctimas o que incluso son capaces de suplantar teléfonos oficiales de sucursales con ese fin. Es el caso de Miguel Ángel, un joven madrileño que relató a este periódico cómo le robaron 11.000 euros en 20 minutos. Lo hicieron gracias a una elaborada estafa donde los responsables contaban con abundante información de sus cuentas y aplicaron la técnica del spoofing para que el número que apareciese en la pantalla de su terminal coincidiese con el de su oficina de ING. Le embaucaron haciendo creer que había un acceso ilícito a sus cuentas y las prisas.

“Todo esto de los pagos digitales nos lo venden muchas veces como inclusión financiera, que en parte lo tiene, pero lo que persigue principalmente es un control de los capitales y de la economía sumergida”, reflexiona Chus Hernández-Elvira, abogada del despacho RSM, jueza en excedencia y profesora del Instituto de Empresa. Esta especialista señala la paradoja de que se fomenten estos sistemas para lograr mayor vigilancia sobre ciertos elementos, pero que provocan elementos y efectos inesperados que “escapan a ese control que se pretendía conseguir”.

El fiscal sueco explicaba perfectamente esta paradoja. Criticó que el crimen online quedase en un segundo plano frente al aumento de la violencia que han provocado algunas bandas en el país. La transición a un modelo de dinero digital se supone que daría más control para cortar el riego a estas organizaciones. Sin embargo, Larson pedía la misma firmeza en el combate a estas estafas, porque sus beneficios también beneficiaban a estos grupos organizados.

“La inclusión financiera está ocurriendo y eso se traduce en que más gente y más gente entran a utilizar estos sistemas y por tanto hay más masa crítica de ser susceptible de ser víctima de estas prácticas”, apunta la abogada de RSM.

Hernández-Elvira cree que son muchos los elementos que hacen que sea difícil combatir y perseguir a posteriori estos fraudes. Desde el lugar donde se cometen hasta las criptodivisas con las que intentan ocultar lo estafado. “La gran mayoría de veces el lugar de la víctima no es el mismo del lugar del que comete el fraude”, señala. Un ciberataque puede tener éxito en Madrid pero haber sido ejecutado desde Singapur, la India o Kenia. Comisiones rogatorias sin respuesta, sociedades fantasma, proveedores de servicios de terceros países… “Luego hay cientos de criptomonedas distintas, con funcionamientos distintos… El conocimiento y el rastreo conlleva mucho tiempo”.

Las barreras para tirar del hilo son muchas y los recursos son limitados. “Creo que normativamente, aunque no se recoge un tipo penal específico para toda este tipo de estafa, sí que hay una base. Lo que no hay es recursos y capacidad humana para hacer todo el trabajo que hay que hacer de investigación en este tipo de delitos informáticos”, resuelve este jurista. Un rosario de complicaciones que hace que el foco para combatir este fraude se haya desplazado a otro punto anterior de la cadena: el de la precaución de los usuarios y las medidas de seguridad de las aplicaciones de bancos y de pago digital.