Estafas en línea: "Estamos viendo phishing cada vez más específico y altamente personalizado"

Con el inicio del Cybermonth el 1 de octubre, Jérôme Notin, director general de Cybermalveillance.gouv.fr, asegura que la plataforma ya ha apoyado a más personas y empresas en 9 meses que el año pasado.

Linternaute.com – ¿Puedes presentar Cybermalveillance.gouv.fr en pocas palabras?

Jérôme Notin, Director General de Cybermalveillance.gouv.fr. - Fuimos creados por la ANSSI (Agencia Nacional para la Seguridad de los Sistemas de Información) en 2017, junto con el Ministerio del Interior, como un sistema nacional de asistencia para atender a las víctimas que la ANSSI no atiende. La ANSSI protege a operadores de vital importancia, incluyendo grandes ministerios y estructuras estratégicamente importantes, como las empresas que transportan o producen electricidad, por ejemplo (la lista es clasificada, pero se conocen los sectores de actividad). Nos encargamos de todo lo demás: proteger a las personas, las empresas no reguladas y las comunidades contra las ciberamenazas.

Desde la creación de Cybermalveillance.gouv.fr en 2017, se ha producido una evolución con otras normativas o leyes que han ampliado ligeramente el ámbito de intervención de la ANSSI (con las directivas Nis y Nis 2 - Nota del editor). En resumen, todo lo regulado es competencia de la ANSSI y nosotros nos encargamos de todo lo demás.

Como ciudadano común y corriente, ¿puedo dirigirme a Cybermalveillance.gouv.fr si me han engañado en Internet o si sospecho algo?

“Contamos con 1.200 proveedores que cubren todo el territorio nacional”.

Exactamente. Creamos la plataforma 17Cyber ​​junto con el Ministerio del Interior en diciembre pasado, cuyo objetivo es ayudar a las víctimas de estafas y fraudes en línea. Actualmente, no es un sitio de denuncias, sino un sitio de asistencia. Esto significa que, si tiene alguna duda o cree ser víctima y no sabe qué hacer, puede acudir a la plataforma 17Cyber , donde recibirá orientación, un diagnóstico, un breve proceso de calificación de amenazas y responderá algunas preguntas que le ayudarán a identificar el problema. Ya sea un particular, una empresa o una comunidad no regulada, podrá recibir asesoramiento.

Cuando sabemos que la amenaza es técnica, tenemos la opción de proponer una conexión con un proveedor de servicios local. Contamos con 1200 proveedores de servicios que cubren todo el país. También hemos creado una etiqueta llamada "ExpertCyber", que, gracias a AFNOR, federaciones y sindicatos de proveedores de servicios, nos permite evaluar las competencias técnicas de las empresas candidatas. Esto garantiza su capacidad para proporcionar remediación técnica, es decir, para ayudar a las víctimas, pero también, y sobre todo, para proporcionar la seguridad adecuada.

¿Cybermalveillance.gouv.fr también ofrece herramientas de prevención?

Además de campañas de concienciación como el Cybermonth para toda la población, también ofrecemos herramientas específicas, como un servicio de seguridad que permite a un líder empresarial o a un responsable de una autoridad local con un proyecto de infraestructura o sitio web, por ejemplo, recurrir a nosotros para protegerlo contra amenazas. Tras unas cuantas preguntas, podrán calificar su proyecto y les ofreceremos ponerlos en contacto con un proveedor de servicios local certificado que les brindará soporte.

Correo electrónico, mensajes de texto, redes sociales... Parece que los franceses se enfrentan cada vez más a estafas a diario, pero un reciente barómetro de Ipsos indica que pocas víctimas presentan denuncias. ¿Por qué?

Como ciudadanos, debemos presentar una denuncia cuando tenemos conocimiento de una infracción. Es un deber cívico.

La gente comete el error de pensar que presentar una denuncia no sirve de nada, porque creen que es complicado o que la gente está en el otro lado del mundo y que no la atraparemos. Por ejemplo, hoy en día tenemos una fiscalía en París muy consciente del problema, que lleva a cabo investigaciones con los servicios de policía judicial competentes: la PJ, el Servicio de Ciberseguridad de la prefectura de policía de París, la policía nacional y la gendarmería nacional. Y tenemos casos y resultados.

Presentar una denuncia es beneficioso por dos razones. La primera es que proporcionará información técnica a los servicios de investigación. Esto es fundamental. Hace unos años, la empresa Wintech fue identificada y condenada, y el responsable de la red recibió una condena de ocho años de prisión y una multa de 500.000 euros. Esto solo fue posible gracias a la presentación de denuncias. Es importante recordar: presentar una denuncia es gratuito, a menos que se acuda a un tribunal civil. Como ciudadano, incluso tiene el deber de presentar una denuncia cuando tiene conocimiento de una infracción. Es un deber cívico.

El segundo punto es precisamente que debemos informar a las autoridades públicas sobre la importancia de un fenómeno. Si no presentamos una denuncia, las autoridades públicas no tendrán conocimiento y, por lo tanto, no implementarán medidas para limitar el delito. Y esto es un buen vínculo con 17Cyber.

"Deberíamos aumentar entre un 15 y un 20 por ciento, o incluso entre un 20 y un 30 por ciento, las rutas de asistencia para 2025".

Desde su lanzamiento el pasado mes de diciembre, ¿cuál es su primera valoración de este nuevo servicio?

Positivo, la verdad. Siempre hay cosas que mejorar, pero francamente positivo. Con el Ministerio del Interior, añadimos la posibilidad de comunicarse las 24 horas del día, los 7 días de la semana, con un policía y un gendarme, por mensajería instantánea o chat. Esto facilita el proceso judicial y la presentación de denuncias, y guía a las personas en los procedimientos que deben iniciar, indicándoles cómo presentar una denuncia.

El año pasado completamos más de 400.000 viajes y ya hemos alcanzado esa cifra. Deberíamos completar entre un 15% y un 20%, o incluso entre un 20% y un 30% más de viajes de asistencia para 2025. Esto se debe a la creciente amenaza para la población, pero también a que este 17Cyber ​​está empezando a ser poco conocido. Más del 93% de los viajes son realizados por particulares. Y cuando preguntamos a los usuarios de internet sobre su nivel de satisfacción, obtenemos una satisfacción superior al 80% o al 87%.

Y luego, seguimos desarrollando el servicio. Vamos a ampliar el número de amenazas para las que ofrecemos la conexión con un agente de policía o un gendarme. El sitio web y la aplicación de seguridad del Ministerio del Interior también nos consultan. Tenemos la original posibilidad de proporcionar a cualquier sitio web un pequeño widget, una especie de módulo de 17Cyber, que permite al visitante completar el proceso de calificación de amenazas y luego acceder a 17Cyber ​​para obtener asesoramiento si ha sido víctima.

Con esta brecha entre quienes sufren ciberdelitos y quienes presentan una denuncia, 17Cyber ​​también nos permite comprender qué buscan los usuarios de internet cuando son víctimas de estafas o fraudes. Hoy en día, podemos afirmar con seguridad que tenemos la mejor visión de lo que viven nuestros conciudadanos, una visión sin duda más detallada que la del Ministerio del Interior o el Ministerio de Justicia.

"Estamos viendo cada vez más phishing dirigido con elementos altamente personalizados en mensajes de texto o correos electrónicos".

¿Cuál es la principal amenaza para las personas en 2025?

Como era de esperar, el phishing sigue siendo la amenaza más extendida hoy en día. Pero desde principios de año, hemos observado una tendencia que temíamos: cada vez más ataques de phishing dirigidos con elementos altamente personalizados en mensajes de texto o correos electrónicos. Lo que ahora recibes ya no es un "Hola, soy el repartidor, tu paquete no cabe en tu buzón". Todavía los recibimos, y por desgracia, siguen funcionando, pero ahora recibimos mensajes con los nombres de los destinatarios, e incluso a veces con sus IBAN.

Hace unas semanas recibimos una alerta sobre una suscripción falsa a Amazon Video. El correo electrónico estaba muy bien redactado: «Hola Sr. Jean Martin, soy Amazon Web Service, hemos tenido en cuenta su suscripción anual por un importe de [...]. Debitaremos este importe de su cuenta», todo con el IBAN de la víctima. La suscripción no existía, así que solo tuvieron que cancelar el pago para activar la estafa.

¿Cómo obtienen los estafadores acceso al IBAN de la víctima en este tipo de casos?

Sencillamente, porque el año pasado un operador telefónico sufrió un hackeo masivo de datos. Los estafadores tienen el IBAN, pero no el número de la tarjeta de crédito. Basta con hacer clic para supuestamente cancelar la suscripción, introducir el número de la tarjeta de crédito para supuestamente obtener un reembolso y te llama un falso asesor bancario. Este phishing extremadamente selectivo ha sido relativamente poco frecuente en los últimos años, pero ahora es posible gracias a las filtraciones masivas de datos que ocurrieron el año pasado y este año.

¿Ha cambiado algo en las técnicas de estafa con la aparición de la IA?

Sabemos que un día se producirá el cambio y que el uso de la IA permitirá cometer este tipo de actos a gran escala.

Hoy en día, no podemos atribuir ninguna evolución del cibermalware al uso de la inteligencia artificial. Estamos convencidos de que es una herramienta utilizada por estafadores y ciberdelincuentes, ya que utilizan todo lo que tienen a su disposición para cometer sus delitos. Sin embargo, hoy en día no hay pruebas de que se esté utilizando.

Cuando los medios hablan de deepfakes, su uso es relativamente marginal y no se generaliza. En Cybermalveillance.gouv.fr, monitoreamos cuándo el fraude se vuelve recurrente, es decir, cuando hay muchos casos y aún no es evidente. Pero, obviamente —llevamos dos años aclarándolo en nuestros informes de actividad—, sabemos que algún día se dará el salto y que el uso de la IA permitirá cometer este tipo de actos a gran escala.

Para los ciudadanos, ¿cuál es la mejor manera de protegerse contra los delitos cibernéticos?

"Lo llevamos diciendo años, pero la gente sigue haciendo clic en los enlaces".

Puedo darte tres consejos fundamentales. Primero, nunca hagas clic en enlaces recibidos por correo electrónico, SMS ni ningún otro medio. Llevamos años diciendo esto, pero la gente sigue haciendo clic en enlaces. Si recibo un mensaje de Hacienda, voy directamente a su sitio web porque tengo mi cuenta, y si Hacienda me debe dinero, lo sabré en mi espacio privado. Así que es fundamental no hacer clic en enlaces. Si el banco me envía algo, voy a su aplicación o sitio web para ver si realmente me han intentado escribir.

El segundo punto son las actualizaciones. Esto es muy importante. Debes actualizarlas cuando se te ofrezcan (en un smartphone, una app, una computadora - Nota del editor), ya sea porque traen nuevas funciones o porque corrigen vulnerabilidades. Esto es importante porque los ciberdelincuentes explotan las vulnerabilidades y pueden acceder a nuestros smartphones y computadoras.

Y el tercer punto, igual de clásico, son las contraseñas. Y añadiré algo un poco más original: debes tener una contraseña única y segura en todas las plataformas, pero si no es posible, al menos debes tener una en tu correo electrónico. Porque el correo electrónico es el corazón de nuestra vida digital. Y si alguien accede a tu correo, puedes restablecer las contraseñas de todos los sitios en los que hayas iniciado sesión. Solo tienes que recibir el famoso correo de "Contraseña olvidada".

Cuando recibo un mensaje de texto falso o un correo electrónico de phishing, ¿significa que cometí un error en los últimos meses?

No, eso era cierto hace un tiempo, pero la mayoría de las veces se debe a que tus datos fueron robados durante una filtración de datos. Sin embargo, si recibes una llamada de un asesor bancario falso, lo más probable es que sea porque hiciste clic en un enlace o ingresaste el número de tu tarjeta. Este es otro paso más en las garras de los estafadores.