Scareware, la "ciberestafa de la por" que busca arrabassar-te les dades i els diners

La ciberdelinqüència no descansa. Només a Espanya, els ciberatacs van augmentar un 24 % entre el 2022 i el 2023, superant els 83.000 incidents de ciberseguretat, segons el Balanç de Ciberseguretat de l'Institut Nacional de Ciberseguretat (INCIBE). L'any passat, gairebé 60.000 usuaris d'Espanya van ser víctimes d'un ciberatac. I, cada vegada més, es basen en una estratègia anomenada scareware. Consisteix, bàsicament, a fer por a la víctima perquè faci el que demanen els ciberdelinqüents.

La mateixa víctima fa la feina

L'scareware és una ciberestafa basada en "un programa maliciós que es fa passar per una altra mena de programa" lícit que s'insta l'usuari a baixar i instal·lar, "fent-li creure que necessita alguna actualització o algun programa especial per poder visualitzar algun contingut concret al qual es vulgui accedir", explica Jordi Serra, professor dels Estudis d'Informàtica, Multimèdia i Telecomunicació i investigador del grup K-ryptography and Information Security for Open Networks (KISON), de l'Internet Interdisciplinay Institute (IN3) de la Universitat Oberta de Catalunya (UOC).

En aquesta peculiar forma de ciberatac, s'utilitza la mateixa víctima perquè faci la feina, ja que "voluntàriament" decideix instal·lar el programari maliciós que s'encarregarà de contaminar el seu dispositiu per robar-li dades o diners. "Es considera un ciberatac basat en enginyeria social. Es busca 'espantar' la víctima perquè actuï ràpid sense temps per reflexionar", apunta Albert Jové, professor col·laborador dels Estudis d'Informàtica, Multimèdia i Telecomunicació de la UOC. "La pressa, les amenaces, qualsevol cosa que pugui crear angoixa és un símptoma que ha de fer-nos sospitar. També pot ser a l'inrevés, una oferta 'irresistible', un premi, etcètera", afegeix.

En aquest sentit, en l'scareware sembla tan important la part tècnica com la social, la qual cosa aporta veracitat a l'engany i facilita que l'usuari caigui en les seves xarxes i faci el que li demanin els ciberdelinqüents. "És un atac a la persona, no als sistemes", subratlla Jordi Serra. "L'objectiu directe de l'scareware és enganyar la persona per poder accedir a l'ordinador en instal·lar-hi aquesta solució que proposen com a ajuda. Es podria comparar amb la pesca de credencials, que també tracta d'enganyar les persones; però, en aquest cas, amb un programa que ens enganya sobre el mateix ordinador perquè instal·lem, sense adonar-nos-en, un altre programa maliciós amb el qual podran tenir accés a l'ordinador per després poder extreure dades i fins i tot acabar xifrant-lo", afegeix.

Enginyeria social per al mal

Al contrari que en altres ciberestafes, en què el programari maliciós és el pilar de l'atac, en l'scareware la peça més important, i alhora la baula més feble, és l'usuari. "Es tracta simplement de mostrar una pantalla que enganyi molt bé perquè es cregui i cliquem en l'enllaç, la qual cosa farà que s'instal·li l'altre programa, en aquest cas un programa maliciós, directament a l'ordinador", detalla Jordi Serra.

En aquest sentit, la clau de l'scareware és l'anomenada 'enginyeria social', un conjunt de tècniques que exploten vulnerabilitats psicològiques humanes per manipular l'usuari. Com destaca l'article de recerca titulat precisament així, "Ingeniería Social", publicat a la revista InGente Americana l'scareware funciona com un programa maliciós que fan servir els ciberdelinqüents per espantar les víctimes i fer-los creure que el seu ordinador o dispositiu està infectat amb un virus en aparèixer com a finestra emergent, en la qual col·loquen informació sobre com eliminar el virus que presenta l'equip. D'aquesta manera, quan les persones accedeixen a l'enllaç, ingressen a un lloc web infectat que propicia la instal·lació del veritable programa maliciós sense adonar-se'n.

"L'enginyeria social es basa en la persuasió a la víctima i guanyar-se la seva confiança per obtenir el control del seu dispositiu o robar-li la informació", explica Albert Jové. Això fa que siguin ciberestafes molt difícils d'identificar, ja que aprofiten el desconeixement de l'ecosistema digital i el fusionen amb pors per enganyar i robar. "Creen un moment d'ansietat, avisant que s'han trobat virus en el sistema, que no podem veure el vídeo que volem visualitzar per manca del visualitzador, etc. Intenten crear aquesta ansietat amb presses i desconcert, ja que molts no coneixem les repercussions i intentem accedir a la solució ràpida que ens proposen", relata Jordi Serra.

Com evitar l'scareware

Els estudis coincideixen que Espanya és un dels països que pateixen més ciberatacs al món, i està al capdavant entre els europeus. A això s'hi suma que, des del 2015, al voltant d'un milió de persones són víctimes cada dia d'un ciberatac de tipus scareware al món, segons dades de la Weber State University d'Utah, als Estats Units. I en el cas espanyol, el Ministeri de l'Interior, en l'"Informe sobre cibercriminalitat a Espanya del 2023", mostra que el frau informàtic és, de llarg, el principal delicte d'aquesta naturalesa, amb xifres que s'han duplicat en només cinc anys (2019-2023) i que han passat de gairebé 200.000 casos denunciats a més de 425.000, la qual cosa suposa el 90,5 % del total.

Per evitar l'scareware, el més aconsellable és no deixar-se portar per la por o la urgència i assegurar-se que la situació és real abans d'instal·lar cap programa nou. I, sempre, comptar amb un sistema de seguretat que protegeixi el dispositiu i permeti crear còpies de seguretat per evitar perdre informació en cas de caure en el parany. "Tenir una còpia dels arxius i el contingut que vulguem conservar és fonamental, ja sigui en discos USB o al núvol, però mai tenir la còpia d'aquest contingut en el mateix ordinador o connectada sempre a aquest. Podem tenir un disc USB, però el desconnectarem després de guardar les còpies dels fitxers, i el mateix per al núvol", aconsella el professor Jordi Serra.

La IA, enemiga o aliada?

En paral·lel, cal tenir en compte que aquests ciberatacs són cada vegada més sofisticats, sobretot pel paper que hi pot tenir la intel·ligència artificial (IA). "Es podran generar atacs més directes i molt més detallats amb l'ús de la IA, que pot seleccionar aquelles dades més concretes i efectives a l'hora d'identificar una persona i com enganyar-la. A més, ja podem generar contingut nou, com ara imatges o àudio específic d'una persona, si tenim suficients dades o converses per crear una conversa nova en directe", adverteix Serra. Això obligarà els usuaris a ser més desconfiats en navegar per internet o a usar dispositius electrònics, un dels consells de ciberseguretat més efectius.

No obstant això, aquest ús maliciós de la IA també haurà d'enfrontar-se a l'ús de la intel·ligència artificial per part de la mateixa ciberseguretat. "La IA ara és part del problema, però ja comença a ser part de la solució. La intel·ligència artificial pot ser, i de fet ja ho és, una gran eina per identificar aquests atacs", apunta Albert Jové. Això no significa que els usuaris puguin descuidar la seva ciberseguretat en creure's més ben protegits gràcies a la IA, però és un punt de partida per evitar l'scareware i reduir el risc de patir un ciberatac capaç de fer caure empreses o destruir els dispositius d'usuaris enganyats.