Olvido es taxista. El pasado jueves cuando esperaba su turno en una parada, le llegó un mensaje. Era de la DGT y le avisaba de que debía pagar la multa en 24 horas o la cuantía pasaría de 35 a 70 euros. A Olvido le habían puesto una multa un par de semanas antes.
“Pensé que el período de pago voluntario normalmente es más largo, y también me pareció raro lo de los 35 euros, porque me parecía que el precio era otro. Pero pensé que podía darme tiempo justo antes de cargar y así no se me pasaba”, explica. Pinchó en el enlace a una web idéntica a la de Tráfico, que incluso tenía un aviso de seguridad sobre las notificaciones de multas falsas. Olvido comenzó a rellenar los datos de pago, pero le llegó su turno para cargar a dos pasajeras, así que no pudo terminarlo.
En medio del servicio llamó su hija y quedaron para hablar después. Una vez completado el trayecto le devolvió la llamada. “Mamá, ¿no sería un mensaje falso?”, le preguntó cuando le explicó lo que estaba haciendo. Lo era: “Me regañó porque ya lo habíamos hablado, pero me pilló justo en la parada y podía aprovechar... no sé lo que me pasó”.
Casos como el de Olvido son cada vez más frecuentes en España. La ciberdelincuencia aumentó un 25,5% en 2023 con respecto al año anterior y ha vuelto a crecer un 13,5% en el primer trimestre de 2024. Según los datos de la Fiscalía, una de cada cinco infracciones penales que se cometen en España ya son ciberdelitos. El 90% son estafas informáticas. Estas acumulan un crecimiento del 509% desde 2016.
Aunque fuentes oficiales de la DGT desvinculan esta campaña de estafas del ciberataque sufrido por el organismo (“siempre somos uno de los objetivos habituales”, recuerdan), los expertos avisan que los robos de información que sufren las instituciones públicas y empresas ponen en la diana a sus clientes y usuarios. En la más reciente oleada se vieron afectadas Telefónica, Banco Santander, la Universidad Complutense o Iberdrola, además de la propia DGT.
El motivo es la “personalización de las estafas” que permiten este tipo de robos de datos, explica Josep Albors, director de investigación de la firma de ciberseguridad ESET. Pero no es el único motivo del auge de los timos digitales: “Hay otra serie de mejoras que hemos visto en los últimos años. Ahora este tipo de engaños de phishing son mucho más creíbles porque ya no usan plantillas con errores o problemas de traducción, sino que se apoyan en inteligencia artificial para copiar las comunicaciones oficiales, tanto en el texto como en los logos. Vemos facturas que son idénticas a la del emisor real”.
La tormenta no acaba aquí. Incluso bandas de bajo nivel están utilizando técnicas para suplantar a entidades reales y usar su mismo número de teléfono para llamar a sus clientes e intentar timarlos, recuerda el especialista. Pese a todo, los ciberdelincuentes siguen dependiendo de una cosa. En la inmensa mayoría de estafas, necesitan que sea su víctima quien les abra la puerta.
El paso clave de los timos por Internet sigue siendo engañar al objetivo del phishing. El refinamiento informático y los ganchos cada vez más sofisticados que lanzan los ciberdelincuentes se diluyen si el destinatario borra el mensaje. Necesitan engañarlo para que no lo haga y les abra la puerta. “Ahí no influye tanto la parte técnica. Es principalmente psicológico”, destaca Albors.
“Lo hacen explotando la sensación de urgencia. De estar esperando un paquete y pensar que ha habido algún problema en el envío, de pagar esta multa antes de que te cobren el doble. Lo aplican a cualquier asunto de actualidad que pueden; por ejemplo durante la pandemia hubo muchos casos con el tema de la vacunación. Intentan convencerte de que si no reaccionas ya y como ellos indican, habrá consecuencias”, detalla.
Aunque los timos sean diferentes, todas las víctimas coinciden en que “en ese momento dejas de pensar”, como expresaba una víctima de la estafa del hijo en apuros. Es un resorte mental que los ciberdelincuentes logran activar y derriba todas las defensas de su objetivo.
Esos trucos psicológicos no los han inventado los ciberdelincuentes. Están ampliamente documentados por los científicos del comportamiento. Se basan en explotar sesgos cognitivos y conocer los procesos de toma de decisiones para guiar la conducta humana. “Son hipótesis que ya expuso La Retórica de Aristóteles hace más de 2.000 años sobre cómo funciona nuestro cerebro que los científicos han validado en las últimas décadas”, explica Pilar Bringas, experta certificada en influencia ética.
“Estamos hablando de varios personajes que han ganado el premio Nobel, como Daniel Kahneman (autor de Pensar rápido, pensar despacio), o de Robert Cialdini, que no tiene el Nobel pero es uno de los científicos más citados del mundo en el campo de la persuasión. Lo que todos han demostrado es que tomamos decisiones de manera mucho menos racional de lo que pensamos”, constata Bringas.
“Además los académicos y estudiosos de este campo tienen una frase que podríamos traducir al español como: los mecanismos de la persuasión son decepcionantemente sencillos”, recuerda la especialista: “Además los atajos que se utilizan para persuadir a una persona o para manipularla son exactamente los mismos, ya que el mecanismo funciona igual y depende de la voluntad del que emite”.
Aunque algunas de estas técnicas se remonten a la Grecia clásica, la ciberseguridad las ha dotado de una nueva dimensión. Los especialistas en seguridad informática llaman a este campo ingeniería social. En el lado de la víctima, se suele conocer por el sentimiento de cómo es posible que haya caído en algo tan burdo.
Los organismos de ciberseguridad creen que muchos de los ciberdelitos no se denuncian precisamente por esa sensación de vergüenza que produce en los afectados, algo que no se da con otro tipo de infracciones. “Lo que tenemos que hacer es cambiar la narrativa”, pide Bringas: “No es que tu cerebro te traicione, es que está programado para funcionar así y ser capaz de tomar decisiones rápidas de manera intuitiva. Es el resultado de miles de años de evolución en entornos hostiles. Pero tenemos que ser conscientes de que se puede utilizar contra nosotros”.
El campo de la ingeniería social está tan desarrollado que las grandes bandas de crimen organizado digital, auténticas multinacionales de los ciberataques, contratan psicólogos para desarrollar sus propias técnicas. En su carrera entre gato y ratón, las firmas de ciberseguridad hacen lo mismo para establecer estrategias de defensa.
Ruth García, del Instituto Nacional de Ciberseguridad (Incibe), desgrana en conversación con elDiario.es cómo se utilizan estas tácticas para las ciberestafas: “Apelan a las emociones. Intentan aprovecharse de sensaciones tanto negativas como positivas para que seamos menos reflexivos a la hora de actuar”.
“Un ejemplo son los trámites con Hacienda. Saben que es algo que estresa mucho a las personas, así que lo que hacen es informar de un problema y rápidamente ofrecer la solución, proponerte que te lo quites de encima cuanto antes. Si no se conocen estas técnicas de engaño, lo que te pide el cuerpo es resolverlo cuanto antes y no pararte a reflexionar, facilitándoles los datos que te están pidiendo”, abunda.
Un ejemplo es Hacienda. Saben que es algo que estresa mucho a las personas, así que lo que hacen es informar de un problema y rápidamente ofrecer la solución, proponerte que te lo quites de encima cuanto antes sin reflexionar
Pese a que la Agencia Tributaria es uno de los organismos más suplantados y las fuerzas de seguridad reiteran las alertas sobre ciberestafas cada año, es un ataque que sigue teniendo un gran éxito “estacional”, coincidiendo con las fechas de la declaración de la renta. El Incibe lo encuadra en la “sensación de necesitar resolver el problema cuanto antes” que invoca Hacienda en la mayoría de los ciudadanos.
De nuevo, muchas de las tácticas habituales consisten en activar resortes emocionales muy básicos. “Otra de las estrategias más repetidas es intentar asustarte, como cuando te dicen que ha habido un cargo muy alto en tu tarjeta o que te van a bloquear la cuenta por un problema de seguridad. Saben que eso puede generarte muchas dificultades e intentan que actúes sin pararte a pensar”.
García recuerda que este mecanismo funciona en los dos sentidos y que el organismo de ciberseguridad detecta frecuentemente intentos de timo basados en ofertas o promociones. “Ahí lo que te dicen es que es temporal y que la aproveches cuanto antes”.
Todas las fuentes consultadas para este reportaje coinciden en que no existe un entrenamiento secreto para contrarrestar un ataque de ingeniería social. El método más efectivo consiste en evitar hacer lo que piden los ciberestafadores: frenar la sensación de urgencia. Sea lo que sea, seguro que puede esperar unas horas.
“Hay que activar el cerebro racional”, pide Guillermo Fouce, doctor en Psicología Social. “Hay que frenar la impulsividad y evitar responder inmediatamente. Ponerlo entre paréntesis y controlar. Es la única manera que tenemos de evitar que nos dejemos llevar por las emociones”, detalla en conversación con este medio. “Es la misma fórmula que utilizamos para la compulsión o algunas adicciones, como la adicción a las compras”.
El psicólogo, profesor de la Universidad Complutense y presidente de Psicología Sin Fronteras, recomienda a su vez establecer la rutina de hacerse una pregunta antes de actuar: “Para protegernos de cualquier proceso de persuasión que venga desde fuera hay que cuestionarse a quién beneficia que adoptemos un determinado comportamiento. Someterlo a un análisis racional: ¿Quién me está pidiendo que actúe así? ¿Desde dónde me escribe? ¿Puedo contrastar lo que me dice?”
Esta última es la recomendación de los expertos en ciberseguridad: esperar a tener la certeza de que se está utilizando un canal de comunicación seguro. Incluso en el caso más extremo, cuando los estafadores logran replicar el número de teléfono de la entidad bancaria para lanzar un timo del falso agente, su montaje se viene abajo si el objetivo cuelga y llama él mismo al banco o abre la app oficial. Los ciberdelincuentes pueden suplantar a una entidad u organismo, pero no controlar sus comunicaciones.
El propio Kahneman era consciente de que era una persona complaciente. Para protegerse de su propio cerebro se impuso una rutina que consistía en decir: te daré mi respuesta mañana
Como especialista en influencia ética, Pilar Bringas propone el método que utilizaba el propio Kahneman, ganador del Nobel en 2002. “Él era consciente de que era una persona complaciente, le gustaba decir que sí siempre a todo. Para evitar caer en ello, se impuso una rutina para evitar aceptar cualquier propuesta que consistía en decir: te daré mi respuesta mañana. Él decía que esa norma era lo único que le protegía de su propio cerebro, que le empujaba a decir que sí a todo”, recuerda.
“Son mecanismos que operan de forma inconsciente. Así que cuando tengas que tomar una decisión importante, hay que evitar tomarla de manera inmediata”, resume Bringas. “No nos podemos llenar de reglas autoimpuestas, pero esta es una sencilla que además se puede aplicar para datos concretos, los más sensibles. ¿Me piden datos de salud? ¿Me piden decisiones económicas? ¿Me piden información de seguridad? Mi respuesta es que esto es un dato confidencial que no voy a proporcionar. Voy a esperar, a liberarme del estímulo y a reflexionar, porque esa es mi regla”, concluye.
