“El pasaporte digital puede se utilizado como cebo por los ciberdelincuentes”, señala Miguel Ángel Rojo, CEO de Botech FPI, en una entrevista en exclusiva para Tourinews. Botech FPI es una compañía que ofrece servicios de ciberseguridad, ciberinteligencia y antifraude a nivel global. La pandemia ha acelerado la digitalización de muchos ámbitos de la vida de las personas y eso ha incrementado la exposición de empresas y particulares a ser víctimas de la ciberdelincuencia.
El código QR es altamente vulnerable y, cuando estamos hablando del entorno de un dispositivo móvil, pues más todavía"
Pregunta (P): ¿Qué es Botech FPI?
Respuesta (R): Somos una compañía constituida en el año 2012, por lo que ya llevamos un ratito en el mercado, y nos dedicamos a tres aspectos fundamentalmente: prevención de fraude, ciberseguridad y ciberinteligencia. Estas son las tres cosas que sabemos hacer.
P: ¿En qué consiste el ciberfraude?
R: El ciberfraude está relacionado con las transacciones de comercio electrónico o banca, ya que nuestro principal cliente en este sector es la banca, tanto española como latinoamericana. Toda la parte de ciberinteligencia es la parte que, digamos, encontramos en redes sociales, en la dark web y en la web que puede tener repercusiones en nuestros clientes, para evitar un posible fraude en el futuro. Y la parte de ciberseguridad es una conjunción de todas estas cosas, ya que cada día estamos más afectados por el phishing, el malware y todas estas cosas que los delincuentes cibernéticos utilizan para quitarnos el dinero de la forma que sea.
Durante el año pasado, más del 53% de las Pymes de España tuvieron algún tipo de incidente de ciberseguridad
P: Y los usuarios, ¿cómo perciben que están expuestos a la ciberdelincuencia en su día a día?
R: En muchas cosas. Una de ellas, por ejemplo, es que puedan recibir una notificación simulando que es de su banco, pero en realidad no lo es. Eso es phishing tradicional. También hay campañas de cierto tipo de comercio aprovechando eventos. En este caso, por ejemplo, con el pasaporte digital o a través de un evento deportivo que se esté desarrollando en estos momentos como la Eurocopa o la Copa América. La gente utiliza este tipo de eventos para poder mandar phishing e invitar a los usuarios a regalos en los que, para obtenerlos, deben introducir cierto tipo de información personal. Lo hacen simulando que son tu entidad bancaria o algo que el usuario asocia como familiar. Pero hay que tener en cuenta una cosa: un banco, un estamento jurídico o estatal nunca va a pedir información confidencial a una persona a través de este tipo de plataformas.
P: Desde Botech, ¿le han encontrado al ‘pasaporte Covid’ alguna característica que pueda ser aprovechada por los ciber delincuentes?
R: Llevamos bastante tiempo trabajando con los códigos QR –que es Quick Response– y es una herramienta que es muy fácil de generar y, con lo cual, muy fácil de intervenir y de manipular. A través de una campaña de engaño que pueden desarrollar los ciberdelincuentes, pueden simular que son un estamento e intentar que el usuario, por ejemplo, escanee un código QR y que eso le lleve a una página en la que tenga que dar información adicional que realmente no es necesaria. Creo que aún no hemos visto cómo va a ser el pasaporte digital o cuál va a ser su método de acceso… Pero el código QR es altamente vulnerable y, cuando estamos hablando del entorno de un dispositivo móvil, pues más todavía.
El gancho que utilizaba el fraude es que esos usuarios, supuestamente, acababan de ganar un viaje para ir a ver a su selección jugar.
P: ¿Ustedes propondrían otro tipo de herramienta que sustituyera al código QR y que no fuera tan vulnerable?
R: El código QR tiene una ventaja significativa y es que tiene un coste de producción muy sencillo y hay una cantidad de dispositivos que pueden leerlo que son realmente de coste muy bajo. Con lo cual, es muy fácil disponer de la infraestructura. Simplemente creo que aquí, la recomendación es al concepto usuario. Dejarles claro que el Ministerio de Sanidad no va a pedir nunca el número de tu tarjeta de crédito o cierto tipo de información sobre su banco. Tampoco va a pedir que, para obtener o utilizar el pasaporte, el usuario haga un pago. Yo creo que la parte de concienciación de los usuarios es muy importante. Existe un dato muy significativo para mí: en el año 2020, España fue el país de la Unión Europea con más ataques cibernéticos. Este tipo de delitos aumentaron casi un 24%. La compañía de seguridad SISCO también acaba de anunciar que, durante el año pasado, más del 53% de las Pymes de España tuvieron algún tipo de incidente de ciberseguridad. Con lo cual, hace falta herramientas de concienciación y nosotros es algo que estamos intentando hacer con nuestros usuarios. Además, a nivel divulgativo, tenemos información gratuita en nuestra página web. Todos llevamos la mano pegada a una cosa que se llama smartphone y con ellos operamos, trabajamos, mandamos correos y hay mucho malware fabricado exclusivamente para dispositivos, sobre todo, del mundo Android.
P: Entonces, estamos hablando de dos temas. Uno es la vulnerabilidad del código QR y, otro, el mailing que aprovecha las circunstancias. ¿Cuál es el más peligroso ahora mismo y cómo se contrataca?
R: El mailing, sin duda. Cuando recibimos una invitación de phishing, supuestamente desde nuestro banco, lo primero que tenemos que hacer es leer el texto del correo. Muchas veces, es un texto traducido de otro idioma y ves que, incluso, tiene faltas de ortografía y no tiene cohesión. Y, luego, es muy importante que nos fijemos en la dirección de la página que estamos abriendo, para comprobar que es la de nuestro banco. Cuando se trata de phishing, si nos fijamos en el navegador, estéticamente la página que nos están presentando es igual que la de nuestro banco, pero, en lugar de poner “Banco X”, pondrá un nombre que no tiene nada que ver con ellos. Además, nuestras entidades bancarias, en general, nunca van a utilizar este canal para pedirnos información.
P: Es decir, que la ciberdelincuencia se ataja, en primera instancia, con formación y concienciación de la población que usa Internet
R: Absolutamente. Yo tengo una anécdota muy curiosa del último mundial de fútbol. En un país donde nosotros trabajamos, se desarrolló una campaña de phishing masiva en la que picaron aproximadamente unos 10.000 usuarios y dieron las tarjetas de coordinadas de su banco. El gancho que utilizaba el fraude es que esos usuarios, supuestamente, acababan de ganar un viaje para ir a ver a su selección jugar. Su selección había sido eliminada del mundial el día anterior.
P: Que se vayan a expedir millones de pasaportes Covid en toda Europa ¿es un caldo de cultivo para la ciber delincuencia?
R: Yo creo que sí. En Europa tenemos un concepto de mercado europeo –mercado y criterios unificados– que creo que da más seguridad. Pero se trata de hacer un dispositivo común para cualquier ciudadano. Yo, por ejemplo, acabo de venir el domingo de México y cada país tiene unos sistemas de entrada y salida diferentes y cada comunidad autónoma también tiene su sistema. Al final, eso genera que los ‘malos’ tengan bastantes huecos para delinquir.
P: Entonces, el problema del ciber fraude no está en la falsificación del pasaporte, sino en todos los procesos paralelos a su obtención
R: Claro. Tú imagínate que mañana te digo que, para acceder a tu pasaporte Covid tienes que dar acceso a una app desde tu dispositivo móvil. Nosotros tenemos controlados 500 markets no oficiales, que significa que son 500 sitios en los que un usuario se puede descargar aplicaciones aparentemente iguales que, por ejemplo, la de su banco, pero que en realidad no es la oficial. Nosotros siempre decimos lo mismo: cuando se vayan a bajar una app, que sea desde Google Play o desde Apple Store, que son los dos grandes sistemas operativos donde las compañías o estamentos ponen sus apps oficiales. Hay muchos sitios en los que la aplicación es exactamente igual, pero realmente está troyanizada y generada para clonar toda la información y mandársela a un tercero. Hay que vigilar de dónde nos descargamos las aplicaciones, que no nos lleven a ningún sitio desconocido, que no nos pidan información ni formularios extraños… Yo creo que esas son las pautas básicas de seguridad.