Al llarg dels últims anys han proliferat modalitats d’estafa que requereixen, com a matèria primera, l’obtenció de les dades personals o contrasenyes de qui serà la futura víctima. Aquesta extracció es pot realitzar de dues maneres: 1) a través de la col·laboració de la víctima, per tal que ingènuament i voluntària entregui les seves dades; 2) mitjançant la seva compra al mercat negre (deep web), o aconseguint-les a partir de la col·laboració o l’intercanvi rutinari d’informacions entre estafadors professionals o bandes criminals.

Com funcionen les estafes que es realitzen a partir dels DNIs perduts o robats?

D’una banda, les organitzacions criminals empren els DNIs il·legalment obtinguts per obrir comptes bancaris, demanar crèdits o préstecs, llogar vehicles, per comprar bitllets de tren, vaixell o avió sota un nom fals, per identificar-se en hotels o establiments anàlegs, per adquirir targetes de mòbil (SIM)… En definitiva, per procurar-se l’anonimat. Així, qui delinqueix no només anhela obtenir carnets d’identitats per apropiar-se dels béns i dels diners de les víctimes, sinó que també els vol emprar per amagar la seva pròpia filiació, procurar-se la màxima clandestinitat i evitar que se’l pugui detectar, traçar i perseguir.

De l’altra banda, aquestes bandes, que disposen d’una enorme experiència i expertesa, estan perfectament jerarquitzades i especialitzades en la distribució de rols, i compten amb una logística curosament dissenyada, sobretot fan servir els DNIs per buidar comptes bancaris. A tales efectes, i de forma similar als delictes contra la salut pública, utilitzen a mules, persones en situació desesperada, fungibles, que formen l’escalafó més baix de la cadena, tenen certa semblança física amb les víctimes, i es presten a exposar-se de manera immediata al risc de la detenció. Un cop reclutades, les fan anar a les oficines a simular que son les titulars per suplantar-les i demanar un extracte. Així descobreixen si la víctima té un compte -o no- a l’entitat bancària. I si el té, hi ha saldo disponible, i l’empleat no descobreix l’engany, sol·liciten retirades de diners en efectiu, o ordenen transferències cap a comptes de terceres persones, que la banda ha obert amb més mules o DNIs robats. Aleshores, una altra mula es desplaça de seguida a un caixer, i retira els diners transferits.

Com es duen a terme les estafes en què es necessita la col·laboració de la víctima?

En la segona de les modalitats esmentades, el delinqüent no disposa de les dades personals o bancàries de la víctima abans d’iniciar el frau, de manera que ha de dissenyar un estratagema, una escenificació que li permeti enganyar a la persona perquè aquesta, actuant de forma ingènua, imprudent i inconscient, caigui a la trampa i ofereixi les seves dades personals, contrasenyes o números de targetes de crèdit, en el convenciment que qui es troba a l’altra banda actua amb altruisme i bona fe. El criminal pot obtenir aquesta claudicació de dues maneres: d’un cantó, a través de generar confiança i comoditat vers la víctima, en el sentit de fer-se passar per algú conegut, esperat o d’un cert prestigi o renom: el banc, Correus, l’empresa que ha de dur un paquet a casa, un conegut d’un amic o familiar, etc. De l’altre, a partir d’infondre temor o transmetre preocupació, fent-se passar per institucions “poc agradables” pel ciutadà com l’Agència Tributària, la Seguretat Social, la policia o una Administració Pública, com un Ajuntament o Diputació.

Quines diferències hi ha entre phishing, smishing i vishing?

Amb aquests tres anglicismes es distingeixen variacions d’un mateix mètode fraudulent. El phishing és el modus operandi clàssic, el primer que es va instaurar un cop va popularitzar-se arreu l’ús d’internet i dels correus electrònics, a finals dels anys noranta i principis dels dos mil. En el modus operandi “tradicional”, l’escenificació per enganyar a la víctima es fa a través de l’enviament d’emails, on se’t demana que cliquis un enllaç, sota qualsevol pretext (una notificació urgent, una actualització de dades, un avís de seguretat davant d’un simulat hackeig o atac informàtic, etc). A partir d’aquí, o bé se’t redirigirà a una web on hauràs d’introduir dades personals, o se t’instal·larà un troià que et robarà els arxius i informacions, o et segrestaran l’ordinador o el mòbil i et faran pagar un rescat per desbloquejar-lo. Si bé en un principi aquests correus tenien un contingut poc creïble, degut a les faltes d’ortografia, l’aspecte descuidat o les errades de contingut o de context, últimament s’han sofisticat fins al punt de semblar rèpliques creïbles. La segona variant, l’smishing, reprodueix exactament el mateix patró, però dut a terme a través de l’enviament d’SMS. Per últim, el vishing també es basa en idèntica mecànica, però incorpora un element humà que actua a temps real, i que pretén dotar de major versemblança i plausibilitat a l’engany dirigit contra la víctima, mitjançant una trucada de telèfon en què el delinqüent es fa passar per treballador d’un banc, d’una empresa o d’una agència; comportant-se talment com si ho fos, i simulant tenir coneixements sobre aspectes o dades que fan creure a la víctima que el seu interlocutor és un empleat real.

Shein: felicitats, has guanyat una targeta moneder! Pots introduir les teves dades?

Dins del progressiu perfeccionament de les tècniques d’estafa que requereixen de la col·laboració de la víctima, un ham recurrent és dels falsos premis. Aquí el que es pretén és jugar amb la candidesa de les persones, ja que es dirigeix a les més vulnerables o menys experimentades, sobretot, canalla, adolescents o gent gran. No és difícil imaginar que les seves emocions i confiança poden manipular-se fàcilment quan a l’altra banda s’hi troba algú expert en les “arts” de la manipulació, amb suficient experiència per aconseguir que la víctima relaxi les precaucions i cedeixi, sobretot quan se li ofereix el caramel d’un regal valuós i inesperat. És el cas dels anomenats falsos sortejos. Últimament ha saltat a la premsa el reclam ofert per suplantadors de Shein, la popular cadena xinesa de fast-fashion, en què s’etiquetaven persones en una publicació de les xarxes socials amb el pretext que havien guanyat un val per gastar centenars d’euros en roba. També és habitual l’estratègia de comunicar el fet d’haver guanyat un iPhone (o dispositiu similar), un viatge a un destí exòtic, o fins i tot un vehicle, i sol·licitar a la víctima que faciliti dades personals o bancàries amb l’excusa de “tramitar l’enviament del premi”.

Recomanacions de prevenció, seguretat i reacció

1. Desconfiar de qualsevol correu, SMS o trucada que no provingui de canals o mètodes de comunicació oficials, sobretot quan es demanin dades personals o contrasenyes. Cal tenir en compte que no és gens habitual que les entitats contactin els clients per aquest via.
2. Si tot i així, pel motiu que sigui, la persona afectada segueix tenint dubtes, ha de posar-se en contacte immediatament amb el seu gestor bancari, o amb el departament d’atenció al client de l’entitat, per contrastar la veracitat del correu, SMS o trucada rebuda.
3. Què faig si m’han robat o he perdut el DNI o la targeta de crèdit? És imprescindible avisar ràpidament el banc perquè la cancel·li o doni de baixa. A continuació, també caldrà personar-se a la comissaria dels Mossos més propera per denunciar la sostracció. Aquest punt és de vital importància, perquè suposa una mesura d’autoprotecció per la víctima de cara als futurs actes delictius que les organitzacions criminals puguin dur a terme utilitzant els DNIs dels que s’hagin apropiat il·lícitament.

Xavier Castellana Font

Roqueta-Torras

Grup Mateos Legal