El Certificado Digital Europeo, también conocido como pasaporte COVID, es un documento que facilita los desplazamientos en el marco de la Unión Europea –más Noruega, Islandia y Liechtenstein– sin necesidad de tener que realizarse ninguna otra prueba que acredite que el viajero no está contagiado de coronavirus, ya sea por tener anticuerpos al haber pasado la enfermedad, por estar vacunado con la pauta completa o por haberse realizado previamente una PCR con resultado negativo. Las comunidades autónomas, en coordinación con el Ministerio de Sanidad, han emitido más de 3.200.000 certificados desde su entrada en vigor, el pasado 1 de julio.
Esta demanda no pasa inadvertida a los ciberdelincuentes, que aprovechan cualquier resquicio para colarse en los dispositivos electrónicos y hacerse con los datos del usuario, secuestrar el equipo o incluso hacer chantaje. El pasaporte COVID no es el único anzuelo relacionado con la pandemia que lanzan los ciberdelincuentes para atacar un equipo. El inicio de la campaña de vacunación y la app Radar COVID fueron empleadas anteriormente para timar o cometer fraude a través de internet.
“Los ciberdelincuentes no se detienen. Siempre van uno o dos pasos por delante de las autoridades. ¿Por qué? Porque el ciberespacio es un mercado muy goloso. A día de hoy, el ciberdelito mueve más dinero que el tráfico de drogas. Están muy profesionalizados y organizados, y además generalmente son mafias globales, con lo que se puede atacar a los usuarios gallegos desde cualquier punto del planeta”, advierte Fernando Suárez Lorenzo, presidente del Colexio Profesional de Enxeñaría en Informática de Galicia (CPEIG).
Cualquiera puede ser, además, el blanco de los ciberdelincuentes, por lo que Suárez recomienda no confiarse, ser prudente y desistir de abrir cualquier enlace que nos llegue por cualquier red de mensajería –correo electrónico, WhatApp o SMS– que no nos resulte familiar o que nos cause dudas.
“Todos tenemos muchísima información personal en los móviles, cada vez más, lo que nos hace a todos posibles víctimas del ataque de un ciberdelincuente. Por eso, tenemos que ser siempre precavidos. Es mejor pecar de precaución que aventurarnos y que nos instalen un ‘software’ malicioso en nuestro teléfono a través del cual nos puedan expiar, obtener información personal y acceder a nuestros contactos y contraseñas”, explica.
La última diana es el pasaporte COVID, un documento totalmente gratuito que contiene un código QR con una firma digital que le protege ante posibles falsificaciones. “Una de las principales ventajas de los códigos QR es que son muy ágiles para, por ejemplo, su comprobación en una terminal de aeropuerto o en una estación de ferrocarril. Además, hoy prácticamente todos los teléfonos están adaptados a esta tecnología. El código QR lleva es a una página en la que se certifica que es información fiable, fehaciente y que quien la origina es alguien de confianza. Por esa parte podemos tener ciertas garantías”, explica el representante de los ingenieros informáticos de Galicia.
Sin embargo, esto no es óbice para que este documento también sea una gran oportunidad para los ciberdelincuentes. “Es algo que está pasando con todo, no solo con las cuestiones relacionadas con esta pandemia. Como en todo, la clave está en la educación y en asegurarnos de que hacemos un uso adecuado de las tecnologías de las que disponemos”, asegura.
“El ciberespacio es muy goloso y el ciberdelito mueve más dinero que el tráfico de drogas”
En Galicia, el pasaporte COVID puede solicitarse en formato digital a través de la aplicación de la Xunta PassCovid.gal, disponible para Android e iOS, especializada en información sobre el coronavirus, o a través del sistema Chave365, en el apartado “Mi historia clínica”. En el caso de optar por la primera, es recomendable bajarse la app directamente de la app de la tienda de aplicaciones oficial.
Uno de los medios más empleados por los ciberdelincuentes es el “phishing”, que consiste en la suplantación de identidad de una persona, empresa u organismo de confianza –en este caso las autoridades sanitarias– para ganarse la confianza del usuario y hacerse con sus datos o infectar su dispositivo. Por ello, Suárez insiste en que hay que recelar de los mensajes de procedencia desconocida y no hacer clic en el enlace que incluyen, ya que redireccionará al usuario a una página web fraudulenta o ejecutará directamente un ‘software’ malicioso. Y, desde luego, no facilitar nunca datos personales o bancarios, como números de cuenta y de tarjetas de crédito.
La redacción del mensaje también puede dar la voz de alarma. “Muchas veces este tipo de información llega con faltas de ortografía o expresiones incorrectas, lo que significa que se haya utilizado un traductor automático. El Sergas no nos va a mandar una información por SMS con una redacción incoherente, con palabras que no existen o con expresiones mal utilizadas”, afirma.
Según Suárez, la ventaja de estos ataques es que resultan tan económicos para el ciberdelincuente como difíciles de rastrear. “Muchas veces se trata de campañas masivas, por lo que con un porcentaje ínfimo de gente que pique ya les compensa porque mandar uno o un millón de correos prácticamente tiene el mismo coste. Por otra parte, perseguir estos delitos es muy difícil. Primero, porque llegar al origen es muy complicado porque hay muchas estrategias para eliminar la trazabilidad y segundo, porque la parte jurídica se complica muchísimo cuando estamos en territorio internacional”, argumenta.
Muchas veces, los ciberdelincuentes también se aprovechan de la inercia. Si en un momento concreto es habitual que el usuario reciba mensajes para acudir a vacunarse, por ejemplo, o avisos para descargarse el certificado de vacunación, como es el caso de Galicia, es más probable que baje la guardia ante el “phishing”. “Los ciberdelincuentes buscan crear confianza. Hace dos años sería mucho más difícil que ahora que alguien picara en un enlace de Sanidad”, explica.
La denuncia, clave para dejar al “phishing” sin víctimas potenciales
Las ciberestafas están proliferando a la sombra del coronavirus. Ocurrió con la aplicación de rastreo Radar Covid y con el inicio de la campaña de vacunación. El Centro Criptológico Nacional ha avisado en varias ocasiones de la circulación de aplicaciones fraudulentas que se han pasar por rastreadores de la evolución del coronavirus, cuando en realidad, lo que hacen es ejecutar un “malware”. Muchos de estos programas maliciosos lo que hacen es bloquear el dispositivo. En muchos de estos casos, para poder volver a utilizarlo, el propietario tiene que pagar un rescate a los piratas informáticos. Este tipo de aplicaciones suelen estar en internet o llegar a través de mensajería.
“Ante cualquier sospecha, podemos llamar a la Guardia Civil, Policía o incluso al Sergas, y también a nosotros, que también estamos para resolver duda”, afirma el presidente del Colexio Profesional de Enxeñaría en Informática de Galicia (CPEIG).
También resulta clave para evitar otras eventuales víctimas de “phishing” ponerlo en conocimiento de las autoridades. “De esta manera, pueden hacer campañas en los medios de comunicación para que la gente sepa que existen estos ataques y que hay fuentes vinculadas con el COVID que no son fiables”, explica Suárez, que recuerda que esta pandemia también ha sido la de los bulos o “fake news”, que han circulado por el medio digital a la misma velocidad que el propio virus desde que estalló la crisis sanitaria.
