Radiografía del fraude 'online' en España

«Me di cuenta de que me habían timado, pero pensé que 32 euros no eran una gran pérdida, así que decidí olvidar el tema», comenta Virto. Sin embargo, al cabo de unas semanas recibió dos cargos de unos cien euros en su tarjeta de CaixaBank. «Me enteré porque me mandaron un código para autorizar un tercer pago que no había hecho». Se puso en contacto con el banco, le dieron de baja la tarjeta, en la que los estafadores aún trataron de cargar más cosas, y no perdió más dinero. «Ahora tengo mucho más cuidado y solo compro en páginas totalmente fiables», sentencia.

El suyo es un caso de miles. El fraude 'online' está al alza de forma paralela al crecimiento de las compras por Internet, que se han popularizado con la pandemia. Según la empresa de consultoría Kantar, las ventas de productos en la Red aumentaron un 26% desde que se inició el confinamiento de marzo. IAB añade que un 23% de los consumidores españoles ya solo compra de forma virtual, y el CIS indicó que el 1% de todos los habitantes españoles ha hecho su primera compra 'online' durante la pandemia.

Pero, para todo el sector del comercio electrónico, la CNMC reduce el crecimiento en el segundo trimestre de 2020 al 0,2%, porque el comportamiento de los diferentes ámbitos fue muy dispar. Mientras el textil, los electrodomésticos y los alimentos disfrutaron de un volumen de negocio que llegó a duplicar el del año anterior, y se realizaron un 15,6% más de transacciones, las ventas del sector turístico se desplomaron un 84%.

En cualquier caso, la tendencia al alza es imparable y aún tiene un gran recorrido. «El comercio electrónico en España supone menos del 5% del global. Casi el 50% se concentra en alimentación y bebidas, donde todavía tiene un peso muy bajo. Por otra parte, gran parte de esas ventas 'online' son en verdad híbridas, ya que se recogen en tiendas físicas», afirma Laureano Turienzo, presidente de la Asociación Española de Retail (AER). «Lo que sucede es que, ahora, muchos han descubierto las compras en Internet y comprarán online en el futuro», añade antes de vaticinar que, en la próxima década, todavía se impondrá ese sistema híbrido. eMarketer espera que el volumen de negocio del comercio electrónico en nuestro país continúe creciendo a un ritmo de dos dígitos y adquiera un volumen de más de 35.500 millones de euros.

Esta coyuntura también es un aliciente para los estafadores, que continúan sofisticando sus sistemas para engañar a más gente. «Un día, al principio del confinamiento, la contable de mi empresa se metió al Banco Santander para hacer las gestiones diarias. Le salió un 'pop up' diciendo que requería una actualización de seguridad. Tenía que poner las claves que se generan en la criptocalculadora móvil, y después me llamó diciendo que se le había bloqueado el ordenador. Entonces me di cuenta de que algo iba mal», relata el catalán Aleix González, propietario de una escuela de idiomas.

Para entonces, los estafadores ya habían transferido casi 15.000 euros a tres cuentas diferentes. Su empresa había sido víctima de 'phishing', una de las más habituales y peligrosas. «Pusimos una denuncia y fuimos al banco a pedir que se responsabilizaran. Al final, nos devolvieron el dinero, pero no sabemos qué ha sido de la investigación porque no nos han llamado para nada», apostilla.

Este tipo de casos son cada vez más comunes y tienen un importante efecto en las cuentas de los bancos. Según un análisis de Kaspersky, en 2019 el 2% de todas las transacciones bancarias 'online' fueron realizadas por estafadores y el 16% eran sospechosas. Sin embargo, el más reciente Estudio de Medios de Pago y Fraude Online de la Asociación Española de la Economía Digital (Adigital) afirma que el 78% de las empresas españolas consultadas asegura tener una tasa de fraude anual inferior al 0,25%, y solo el 4% reconoce un porcentaje superior al 2%.

«Los delincuentes digitales no trabajan de forma individual, sino como auténticas corporaciones. Incluso con sus propios con 'call centers' desde donde se realizan diariamente miles de llamadas a todo el mundo buscando víctimas que les den acceso a sus equipos, consiguiendo introducir malware, u obteniendo datos personales y números de tarjetas o códigos de acceso», explican desde el departamento de Seguridad Operativa del Banco Sabadell.

¿Pero cuánto cuesta el fraude a las entidades bancarias, que suelen devolver el dinero estafado a clientes como Virto o González, y quién asume esas pérdidas? «Es un sistema bastante opaco y ni siquiera nosotros sabemos siempre quién paga el pato», comenta un empleado de una entidad vasca que pide mantenerse en el anonimato porque no tiene permiso para hablar con la prensa. «Hay diferentes seguros que cubren algunas situaciones, pero otras las asumimos nosotros», comenta.

Desde el Banco Sabadell, concuerdan. «El cliente debe poner una denuncia y, después, el seguro se hace cargo», explican. Pero, según un estudio de KPMG, más de la mitad de las entidades recupera menos del 25% del importe defraudado a nivel global, y el mismo porcentaje ha visto incrementado ese volumen. El principal riesgo está en los ciberataques. «Los estafadores obtienen los datos de los clientes 'hackeando' sus terminales o a través de ingeniería social, pero estos consideran que los bancos son responsables de prevenir estas situaciones», afirma KPMG.

No obstante, hay muy poca información sobre el volumen real de las pérdidas. En 2018, el FBI las estimó para Estados Unidos en 2.700 millones de dólares. En España no hay cifras. Y los bancos prefieren no dar datos al respecto. Pero es evidente que las empresas apuestan por un elemento clave para combatir el fraude: la tecnología. No en vano, Adigital afirma que, aunque un 46% de los comercios que venden en Internet aún no cuentan con un sistema de gestión de fraude 'online', su implantación ha crecido un 12% en 2020.

Son los nuevos sistemas de autenticación reforzada que la Unión Europea ha hecho obligatorios desde el pasado día 1: la generación de una segunda clave en el móvil, el envío de un código por SMS, o los sistemas biométricos se han generalizado, y la banca en la Red es también cada vez más sofisticada. «Hasta ahora, cada vez que un usuario realizaba una compra por Internet, la entidad emisora de la tarjeta le solicitaba algún dato concreto para poder confirmar el pago. A partir de ahora, será necesario aplicar una doble verificación que cumpla con la autenticación reforzada», explican desde CaixaBank, que ha hecho de la ciberseguridad una de las prioridades de su Plan Estratégico 2019-2021 y que incide también en «la prevención del riesgo del factor humano a través de formación y acciones de concienciación para empleados y clientes».

Es evidente que los bancos comienzan a destinar más recursos a la ciberseguridad, en la que son necesarios sistemas cada vez más avanzados. «Hemos ido implementando algoritmos transaccionales y conductuales para poder detectar los intentos de fraude antes de que se produzcan. En este sentido y gracias a estos sistemas y a los equipos humanos el porcentaje de fraude evitado es muy elevado frente al consumado», añaden desde el Sabadell.

El BBVA, por su parte, ha sido pionero en la introducción de una nueva tarjeta de crédito sin número impreso y con un código CVV que se renueva constantemente para evitar que los ciberdelincuentes puedan utilizarlo. Ya ha distribuido casi 200.000. «Le quitamos al cliente el temor de perder la tarjeta o que se la roben, y de que su numeración acabe en manos de alguien al hacer un pago por Internet», explicó Gonzalo Rodríguez, director de Desarrollo de Negocio de BBVA en España, durante la presentación de Aqua.

Todos estos sistemas mitigan el impacto de las estafas, pero, ¿se investigan estos fraudes fuera de los bancos? Las estadísticas dan a entender que no. Según cifras de 2019 proporcionadas por el Ministerio del Interior, de los 218.000 ciberdelitos conocidos, que duplicaron el número de 2016 y entre los que destaca el fraude informático con 192.000 casos, solo se esclareció un 14%. Únicamente el 4% acabó en la detención o investigación judicial de sus responsables y solo el 0,8% se cerró con una condena.

El esclarecimiento de los casos crece, pero a un ritmo muy inferior al del crimen: de 22.147 casos resueltos en 2016 se pasó a 30.841 en 2019. «Seguimos la pista del dinero, pero muchas veces acaba en cuentas abiertas con documentos falsos o en países con legislación muy permisiva con los delincuentes, como Ucrania o Chipre», comenta el empleado de banca vasco, que añade que también descubren a 'mulas' que, inconscientes, reciben un dinero por permitir que los delincuentes utilicen sus cuentas.

Diego Alejandro, inspector jefe de la Sección de Comercio Electrónico de la Unidad Central de Ciberdelincuencia de la Policía Nacional, corrobora todos esos datos. «Las investigaciones son extremadamente complicadas porque a menudo requieren la colaboración con otros países y los delincuentes siempre van por delante en el aspecto tecnológico porque invierten mucho en ello. Hay casos en los que han llegado a controlar por completo la banca 'online' de las víctimas porque incluso han duplicado sus tarjetas SIM del móvil», cuenta.

«Pero cuando detectamos un 'modus operandi', ellos pasan al siguiente», añade. A pesar de que Alejandro reconoce que la Policía solo llega a descubrir un 10% del daño que provocan estos cibercriminales, no considera que su trabajo sea frustrante. «Porque es una tarea tan complicada, cuando conseguimos una condena es un gran subidón y un acicate para seguir trabajando», comenta el inspector, que asegura que cuenta con los medios necesarios «aunque siempre hacen falta más».

La clave para el consumidor, subraya Alejandro, está en el sentido común. «Los delincuentes se ganan su confianza de muchas formas y luego borran las pistas enmascarando sus IP, utilizando datos falsos, redireccionando los números de teléfono, o utilizando esas cuentas de mulas, que pueden ser a su vez víctimas», enumera. Pero, además de investigar, Alejandro cree que es necesario que los bancos se personen más a menudo en las causas judiciales y que se armonice la legislación para que sea más fácil perseguir a los malhechores a través de las fronteras. Aun así, la AER recalca que «el comercio electrónico en España es muy seguro, más incluso que en los países de nuestro entorno».