Europol alerta del aumento de estafas por ‘phishing’: modus operandi, incidencias y mapa de vulnerabilidades detectadas en España

Realizaban llamadas masivas haciéndose pasar por el banco de la víctima. Incluso, conseguían que en el teléfono apareciera el número de la entidad. En la llamada, decían que habían detectado un acceso no deseado o una transferencia no consentida a través de su banca en línea, y que necesitaban sus credenciales para poder solucionarlo. Una vez tenían los datos, accedían a las cuentas de la víctima y las vaciaban. Así es cómo funciona una red común de estafas por phishing, según relata el Ministerio del Interior.

Así es cómo funciona el phishing, el tipo de fraude más común en cuanto al número de ciberataques que ha habido contra ciudadanos, instituciones públicas y compañías privadas de la Unión Europea (UE), según el informe Internet Organised Crime Threat Assessment (2024) de Europol. El informe también alerta de que el phishing va en aumento, y representa una gran amenaza.

• Otras modalidades. El smishing (se realiza mediante SMS) fue el tipo de phishing más común en 2023, mientras que el quishing (mediante código QR) es una “amenaza emergente”.

En el contexto español, las ciberestafas y, en concreto, las estafas por phishing sumaron 14.261 casos en 2023, y acapararon un 17% de todos los problemas digitales por ciberseguridad detectados el año pasado, según el Instituto Nacional de Ciberseguridad (Incibe). Cerca de una media de 40 estafas diarias.

• En los últimos años, los ciberdelincuentes han empleado nuevas técnicas en sus ataques, «como la propagación por diferentes plataformas y la automatización con la llegada de la inteligencia artificial», señala Moreno.

• A ello hay que añadir que se pueden adquirir servicios de ‘kits de phishing‘, lo que ha permitido que delincuentes sin habilidades avanzadas puedan «lanzar ciberataques», añade el experto.

• Contexto COVID-19. Los ataques se incrementaron, además, durante la pandemia porque «la sociedad vivía con miedo e incertidumbre», asegura el profesor. «Los ciberdelincuentes suplantaban la identidad de organizaciones legítimas simulando prestar ayuda o aportando información», concluye Moreno, pidiendo a los usuarios que abrieran archivos o enlaces «de forma urgente».

Consultas. El Incibe recibió 80.920 consultas y problemas relacionados con la ciberseguridad el año pasado, lo que supuso un incremento del 16,8%.

• El 56% de las llamadas pretenden prevenir un incidente, mientras que el 44% restante buscaron solucionarlo.

• El 18,5% de las empresas contactaron al Incibe para denunciar correos electrónicos que llegaron mediante phishing; un 14,3% por suplantación de identidad; y un 11,4% reportaron fraudes a través del sistema BEC (Business Email Compromise, por sus siglas en inglés), que se refiere a una forma de phishing mediante la cual un cibercriminal engaña a un alto ejecutivo para que transfiera fondos o revele información sensible, según la definición de The National Cyber Security Centre del Reino Unido.

• El 12% de los ciudadanos denunciaron llamadas de vishing –el mismo modus operandi que el phishing pero a través de una llamada–; el 11,5% reportó casos de smishing –la misma técnica que el phishing pero a través de un SMS– mientras que un 11,7% dio cuenta de una suplantación de identidad.