En Joan Tomàs, de 25 anys, va caure en el parany d’una ciberestafa telefònica. Un SMS i una trucada. Res més els va fer falta als delinqüents per robar-li 1000 euros del seu compte bancari. “Crec que l'error que vaig fer va ser clicar a l’enllaç. Al cap d’una estona van trucar fent-se passar pel meu banc”. En aquesta trucada, els cibercriminals, al·legant ser un sistema de seguretat de l’entitat i amb el pretext d’una possible bretxa dins el seu compte bancari, li demanaven seguir unes instruccions detallades.

“No sé com ho van fer, però en aquell moment ells ja veien el meu compte bancari, d'alguna manera, perquè me n'anaven dient els extractes bancaris dels últims dies i això em va transmetre seguretat.” Els criminals no només sabien tota aquesta informació, sinó que “tenien un català molt correcte, amb soroll d’oficina de fons”. En Joan admet que l’estafa estava “molt ben feta” i per això no va desconfiar.

Els estafadors, amb l’excusa d’enviar els seus diners a un altre compte més segur, li van demanar fins a 5 codis de verificació de doble factor de Bizum. “En els dos últims, vaig veure després que em fessin l'estafa, que eren de 500 euros cadascun”. El remitent de la trucada, segons recorda en Joan, no era un “número desconegut”. Aquesta tècnica de modificar el número remitent “funciona mitjançant aplicacions de veu IP que permeten falsificar el número d'origen. Els estafadors aconsegueixen el número oficial del Banc Sabadell o ING Direct i truquen a clients d'aquests bancs", explica Santi Romeu Sala, cap de la Unitat de Ciència i Analítica de Dades de l'Agència de Ciberseguretat de Catalunya. Després de presentar la denúncia als Mossos d’Esquadra, el banc li va acabar abonant la quantitat sostreta. 

Segons l’article 43 del Reial Decret llei 19/2018, les entitats financeres tenen l’obligació de retornar l’import robat per aquests tipus de frau, tot i que si hi ha negligència greu per part del client que pugui ser demostrada pel banc, no hi estan obligades.

Ell no és a l'únic a qui li ha passat. La seva situació és una de les 71.772 estafes informàtiques que es van produir l’any 2024 segons recull l’últim informe del Ministeri de l’Interior sobre ciberdelinqüència. Catalunya lidera el rànquing per aquest tipus de delicte respecte a altres comunitats autònomes, seguida per Andalusia i Madrid, segons dades del 2023.

El perfil del ciberdelinqüent ha canviat en els últims anys. “Cada vegada més, aquestes estafes ja no venen de lluny, sinó que venen d’aquí al costat. Per això són tan bones”, aclareix Santi Romeu Sala.

Durant el 2023, el 76% dels detinguts a Catalunya per ciberdelictes no eren estrangers, segons Interior. “No són sempre bandes organitzades, però en aquests esquemes de modalitat acostumen a ser-ho. Funciona com una indústria. Tenen diferents àrees d'estafa, diferents tècniques i es dediquen a explotar-les”, explica.

Una de les més habituals és la que va patir en Joan Tomàs. A través d'SMS o de correu electrònic (tècnica coneguda com a phishing), els estafadors fan entrar a la víctima a una pàgina web falsa per robar-li les credencials d'accés al seu compte bancari. Un cop a dins, només necessiten els codis de doble-identificació per poder efectuar operacions bancàries i poder cometre el delicte. Però els ciberdelinqüents han sofisticat les seves tècniques i no només actuen a través d’enllaços sospitosos.

Una altra estratègia molt utilitzada és el vishing, en què els criminals es fan passar per empreses legítimes mitjançant trucades telefòniques per enganyar la víctima. Això és exactament el que li va passar a la Laura Sabaté, de 33 anys. Tot va començar amb una trucada de qui suposadament era la seva companyia de telefonia. 

"Em van dir que havien de tallar el servei i que em quedaria sense connexió Wi-Fi", explica. Coneixent que ella teletreballava, li van oferir una instal·lació d’urgència d’un nou rúter. Ella i la seva parella van acceptar. Minuts abans de l’arribada dels suposats tècnics, els van tornar a trucar demanant que confirmessin que ja tenien el nou servei actiu, per evitar retards per una alta demanda, malgrat ningú haver passat encara per casa. La Laura, confiada, ho va fer. Poc després, van descobrir un càrrec de 800 euros i dues línies contractades que mai havien sol·licitat. Quan van intentar contactar amb el mateix número, ja ningú no els va respondre. Actualment, es troba en procés judicial per recuperar els diners sostrets. 

Aquests tipus d’estafes es basen en la manipulació de la confiança. Els ciberdelinqüents suplanten la identitat d’una empresa o institució coneguda per la víctima, creant una falsa sensació de seguretat. Presentant-se com a bancs o companyies de telefonia, aconsegueixen que la persona afectada prengui decisions ràpides sense sospitar-ne les conseqüències. És aquest vincle de confiança el que exploten per aconseguir les dades o diners. Això fa que el vishing i altres formes de phishing siguin cada vegada més difícils de detectar.

Tomàs Moré, cap de la unitat de Cultura de l'Agència de Ciberseguretat de Catalunya, apunta que les webs utilitzades a les estafes són "clons de la web oficial, amb un URL lleugerament diferent, cosa que les fa difícils d'identificar per a l'usuari comú".

Moré també destaca la proliferació d'eines de clonació de veu que permeten als ciberdelinqüents imitar amb precisió l'entonació i el timbre de persones reals. Aquesta tècnica encara no s’ha detectat a Catalunya, tot i que sí que s'està començant a utilitzar a altres llocs, on els delinqüents es fan passar per un conegut per sol·licitar diners amb urgència. A més, subratlla que moltes d'aquestes trucades fraudulentes “provenen de dins del mateix país i no de centres de trucades estrangeres, cosa que augmenta la seva credibilitat”.

L'impacte de la intel·ligència artificial en les ciberestafes és un tema “preocupant”. Segons Moré, les eines de generació de text i veu han permès que els enganys siguin més sofisticats. "Ara, amb la clonació de veu, poden suplantar identitats en trucades o enviar notes de veu a WhatsApp que semblen completament reals", adverteix. "És una tècnica emergent, però en els anys vinents podria esdevenir un problema encara més gran", assegura.

El Ministeri de l'Interior estima que el 88,9% dels delictes informàtics estan relacionats amb ciberestafes, fet que dona compte de la magnitud del problema. En els darrers anys, especialment a partir de 2022, les estafes bancàries afecten més a dones que a homes, amb un 53% de víctimes femenines el 2023.

La millor defensa, segons els especialistes, és la prevenció: desconfiar de qualsevol sol·licitud d'informació personal, verificar sempre l'autenticitat de les comunicacions i, en cas de dubte, contactar directament amb l'entitat corresponent. "Els bancs mai demanaran codis ni contrasenyes per telèfon", recalca Romeu Sala. A més, recomana que, en cas de rebre una trucada sospitosa, la persona es prengui un moment per reflexionar abans d'actuar i, si cal, consultar a algú de confiança.

Les estafes digitals han convertit el telèfon i el correu electrònic en armes de doble fil. La immediatesa de la comunicació ha facilitat la proliferació de fraus, però també ha fet que la desconfiança sigui una eina de protecció. L'única forma de combatre aquest tipus de delictes és a través de la informació i la precaució. Com conclou Tomàs Moré: "Si alguna cosa sembla massa urgent o massa bona per ser veritat, probablement sigui una estafa".

Les teves dades són teves, mai comparteixis informació sensible amb ningú.