Manuel Huerta es responsable del Laboratorio de Tecnología Forense LazaRus. Cursó estudios Tecnológicos y forenses en Florida (EE.UU.). Es Perito Judicial Oficial miembro de ASPEJURE, especialista en tecnología forense y recuperación de datos, campo en el que cuenta con 22 años de experiencia. Miembro de la Asociación de Técnicos de Informática (ATI). Miembro científico del Instituto de Ciencias Políticas, y dentro del mismo, Profesor Honorífico para la Cátedra de Cibernética de la Unesco, Profesor de Master de derecho de tecnologías de la información de la universidad Carlos III, participa habitualmente como experto en numerosos congresos, y colabora en el desarrollo de nuevas metodologías y técnicas de recuperación de datos en colaboración y para los Cuerpos y Fuerzas de Seguridad del Estado en materia de recuperación de datos y analítica forense. Experto en la utilización de herramientas de prueba digital. Cuenta con una dilatada experiencia en la preparación de informes periciales tecnológicos, así como en la ratificación de los mismos, tanto en las jurisdicciones judiciales, como en corte arbitral.
Ayer, la Policía Nacional terminó con la actividad de una organización criminal que había llegado a estafar 118.000 euros a través del fraude de las cartas nigerianas. ¿Somos tan incautos?
Lo que hace que funcionen las cartas nigerianas es básicamente la ley de los grandes números. En el momento que te mueves un poco por peculiares fondos de Internet, conseguir una base de taos con 2 millones de cuentas de correo y más o menos nombre y demás, es relativamente sencillo. De hecho, cuesta muy poquito.
Entonces, ¿qué sucede? Que, al final, tu mandas 2 millones de cartas con la supuesta historia del príncipe, jeque, heredero desterrado…la verdad es que las cartas tienen contenido de lo más variopinto. Muchas, a lo mejor un millón y medio te las van a rechazar los propios sistemas de spam, porque las van a aparcar, pero de los 500.000 usuarios que van a entrar, habrá mucha gente que sólo por criterio propio diga: pero, ¿qué me van a mandar algo que me va a dar 10, 15, 20 millones de euros? Porque luego están las cartas de donación. Alguien que ha decidido ser muy caritativo «porque me ha ido muy bien en la vida y te voy a dar 30 millones de euros». Tengo amigos que han llegado a recibir una carta de donación por valor de 150 millones de euros. Hay mucha gente que por mera sensatez va a eliminar ese correo y va a pasar del tema.
La gente que no esté tan familiarizada con recibir este tipo de cosas, al principio le chocará y le llamará la atención. La propia curiosidad del receptor es lo que hace que muchas veces se conteste a esos correos.
Hay un perfil medio que generalmente suele picar bastante, y es gente que está entre los 35 y los 60 años
Ahí la dinamica de contestaciones y demás ya va consiguiendo meter en el hilo al interlocutor, al incauto, diciéndole: «no, no te preocupes, porque vas a recibir todo el dinero, lo único que pagas es un depósito bancario para poder habilitar la recogida del dinero…son distintas escusas. Entonces tiene muchos puntos en los que puede fallar la cadena. Es decir, primero la credulidad del receptor. Luego el conocimiento de los sistemas bancarios internaciones, porque nadie para recibir dinero te va a pedir que hagas un depósito. La falta de conocimiento hace que muchas veces la gente realice ese tipo pagos con la ilusión de que va a recibir esas cifras tan golosas.
Hay una cosa relacionada con los grandes números. De los 500.000 que lo van a recibir, 450.000 lo van a deshechar de manera automática, 50.000 se van a quedar en dudas. Y habrá 5.000 que contesten y 2.000 que al final acaben intercambiando datos. Cuando hablamos de una base de datos de correo de 2 millones de usuarios, para dar unas estadísticas más o menos estándar- la cantidad de bases de datos con 2, con 20, y hasta con 150 millones de correos, no son difíciles de conseguir.
¿Cuál es el perfil de las víctimas?
Son personas que no están muy familiarizas con el tipo de delito que se mueve en Internet, con temas de seguridad y acaban teniendo un perfil de incauto. Y hay un perfil medio que generalmente suele picar bastante, y es gente que está en los 35 y los 60 años.
Analizan muy bien a la víctima y acaban metiéndola en una pseudo relación amorosa, donde terminan sacándole el dinero
¿Y no hay control sobre todos esos datos?
No hay una agencia de protección de datos velando por esas bases de datos de correos. Hay que tener en cuenta que, en la mayor parte de los casos, provienen de filtraciones, de ataques a terceras empresas…entonces, una vez se han robado los datos tenerlos bajo control es literalmente imposible.
Supongo que el repertorio de fraudes será larguísimo. ¿Cuáles están de moda?
Yo destacaría, por entrar en alguno que sí tiene más que ver con el tema de la ciberseguridad, la suplantación de identidad o famoso timo del CEO. Este afecta tanto a empresas como a particulares, porque se hacen pasar por una tercera persona y le pide el dinero porque tiene una situación de cualquier tipo y acaban pagando. Y luego estarían las cartas nigerianas que tienen un espectro super amplio, porque tienes desde donaciones a príncipes caritativos, y luego están las cartas del amor. Estas tienen un gran trabajo de ingeniería social por debajo. Analizan muy bien a la víctima y acaban metiéndola en una pseudo relación amorosa, por llamarlo de alguna manera, donde terminan sacándole el dinero, le enseñan muestras de fondos, le hacen ver que está todo estupendamente bien estructurado, que es una persona lícita y legítima.
Tanto las cartas nigerianas como las cartas del amor no tienen prácticamente ningún componente que comprometa la seguridad tanto de una cuenta como de un dispositivo físico. En cambio, la suplantación o timo del CEO sí que tiene que ver, porque eso parte de una filtración de una cuenta de correo. Es decir, una cuenta de correo que se ha comprometido, han accedido al contenido y lo que hacen es: bien suplantan la identidad porque han conseguido información para meterse en un hilo de transacciones entre empresas, clientes, proveedores y demás… y suplantan los datos de pago para que alguien que tiene que ejecutar ese pago lo haga a la cuenta que no es.
¿Y al alza?
Este viernes publicamos un informe sobre seguridad en el que se constata que crece un 50% sostenido, desde 2019, el fraude del CEO.
No te puede tocar la lotería de un país al que ni has ido. Por tanto, no te puede conocer un príncipe caritativo
Un gran entramado para un fraude frecuente…
Hay que tener en cuenta que la primera vez que se cogió una red de cartas nigerianas aquí en España tenían 50 millones de euros en efectivo. Es un negocio muy lucrativo, que cuesta muy poco ponerlo en marcha. Sólo necesitas un móvil con un correo o un ordenador. Y a medida que te va resultando bien tienes más gente involucrada en emitir, interactuar e ir hablando para meter a más gente en este circuito.
¿Recomendaciones de un experto para no caer en el cebo?
Confianza cero. Lo cuento mucho en las conferencias sobre ciberseguridad: ¡cómo te van a escribir para mandarte un premio de la lotería de Australia si no has salido de Albacete! Es imposible. Entonces hay que tener en cuenta que no te puede tocar la lotería de un país al que ni has ido. Por tanto, no te puede conocer un príncipe. Todo este tipo de cosas son siempre una estafa.
Me decía usted que tiene especial interés en recalcar las diferencias entre una ciberestafa y un ciberataque. Pensé que estaba claro…
Para mi es muy importante, porque desde un punto de vista técnico, cuando hablamos de ciberseguridad lo que tenemos que pensar es en la protección perimetral de los dispositivos que albergan la información. A ti un ciberataque te puede dejar sin continuidad de negocio, pueden retirar fondos si consiguen datos comprometidos de tu equipo, pueden meterse en las cadenas de pagos de todas las empresas. Y además esto le afecta a todo el mundo, porque nosotros que hacemos muchísimas investigaciones y no te puedo contar las empresas que son, pero vamos, por darte alguna pista sin muchos datos, por ejemplo empresas en las que echas gasolina todos los días. Y no te puedes imaginar la millonada de intentos de fraude que tienen con la suplantación de identidad. Es algo brutal. No se libra nadie. Luego otra cosa es que a nivel doméstico sea más fácil sacarle a alguien 500, 600, 1.500, 2.500 euros, porque las cantidades con lo que teóricamente es el premio hacen que la gente pique.
Caso Pegasus: Lo dijimos desde el primer momento. Es imposible que se hayan dado cuenta después de un año
La noticia del espionaje al presidente del Gobierno, Pedro Sánchez y varios ministros mediante Pegasus nos ha sorprendido a todos por los tintes cinematográficos de la historia. ¿Cuál es su análisis sobre lo ocurrido?
Hay que tener en cuenta que el eslabón más debil en toda la cadena de la seguridad informática siempre es el usuario. Aquí todavía hay incógnitas de si el teléfono era el teléfono oficial o el privado, cuántas medidas de seguridad se habría saltado Sánchez en su comportamiento, porque sí que hay una cuestión que ha trascendido de todo esto, y lo dijimos nosotros desde el primer momento: es imposible que se hayan dado cuenta después de un año. Porque además conocemos a las entidades que están detrás de la seguridad de los dispositivos electrónicos y sabemos cómo trabajan. Y trabajan bien. Osea, no te das cuenta pasado un año. Si te das cuenta después de un año es que han estado quitándote información y no te enteras. Pero luego, al final, acabó trascendiendo que, en abril, esto se sabía.
En el juego de la inteligencia o juego de los espías unas veces ganas y espías tú. Y otras veces te ganan y te espían a tí. Y eso es así. Y ese balancín continuo en la parte de seguridad a nivel de inteligencia va a ser siempre así, porque van a buscar la manera más inteligente de poder colocarte algo con lo que te puedan extraer información, te pueden atacar de manera directa, indirecta, y por muchos miles de medios. Pensamos que sólo existe Pegasus y no es cierto. Nosotros llevamos detectando sistemas de inteligencia en móviles con cierta relevancia desde hace ya muchos años y no todos son Pegasus.
Yo muchas veces me planteo si me paso al lado oscuro o me quedo en este
Entonces, ¿podemos estar tranquilos?
Los ciudadanos respecto a Pegasus podemos estar tranquilos. Nos espía más Hacienda que las centrales de inteligencia.
Ten en cuenta que es un negocio super lucrativo porque tu te compras un portátil de 400 euros, te entrenas un poquito, consigues información y a la primera que consigues igual son 15.000, 20.000, 50.000. Nosotros hemos manejado suplantaciones de identidad de hasta 18.000 millones de euros. Yo muchas veces me planteo si me paso al lado oscuro o me quedo en este.
¿Habla en serio?
Yo lo digo abiertamente, que muchas veces me lo pienso. Puede reproducirlo sin problema (bromea entre risas).
