Les ciberestafes, cada cop més difícils de detectar per l'ús de la intel·ligència artificial
Fa uns anys, quan rebíem un correu sospitós, si te'l miraves amb una mica de detall es podia arribar a identificar elements --com faltes d'ortografia o un redactat estrany-- que ens podia fer pensar que es tractava d'una estafa. És el conegut com a phishing, correus falsos en què se suplanta una entitat o organisme, com per exemple un banc. Ara, però, els ciberdelinqüents van més enllà i han millorat l'engany perquè fan servir la intel·ligència artificial generativa (IA).
Els ciberdelinqüents aconsegueixen ara fer e-mails més realistes i perfeccionats. Així ho adverteix l'Agència de Ciberseguretat de Catalunya, tal com explica a TV3 la seva directora, Laura Caballero.
El 82,6% de correus falsos d'aquests tipus han estan generats amb IA.
Les ciberestafes es tornen molt més sofisticades, explica Caballero: "Amb la IA es pot generar textos, veus i vídeos d'una manera que és molt difícil de distingir el que és legítim i el que no."
Robatori de dades personals i suplantació d'identitat amb IA
En fòrums a internet, i també en webs de la coneguda com a "dark web" (la xarxa fosca), es mou el mercat negre del robatori de dades personals aconseguides en ciberatacs.
Recentment, hem pogut comprovar com en el web DarkForums un usuari ven dades de clients que assegura haver aconseguit amb el ciberatac que va patir l'empresa elèctrica Endesa a principis d'any.
Només a l'estat espanyol, les víctimes de ciberdelinqüents pel robatori de dades personals es compten per milions. L'adjunt de l'Agència Espanyola de la Protecció de Dades, (AEPD), Francisco Pérez Bes, explica que "la ciberdelinqüència és un greu problema".
El 2024 estàvem amb 50 milions i el 2025 en 200 milions. Això demostra que va creixent.
"Cada persona, cadascun de nosaltres, hem estat víctimes de mitjana de més 4 incidents durant l'any 2025", diu Pérez Bes, en referència als robatoris de dades.
En aquests fòrums a la "dark web" també trobem com un altre ciberpirata ofereix fotografies de DNI reals de persones anònimes que, per contractar un servei per internet, van pujar una foto del seu carnet i una selfie per acreditar la seva identitat.
Les seves signatures, dates de naixement... exposades. Un material que permetria als ciberdelinqüents poder suplantar la identitat de les persones afectades o fins i tot, crear imatges i vídeos falsos. Un dels principals perills de la IA, tal com adverteix la directora de l'Autoritat Catalana de Protecció de Dades, APDCAT, Meritxell Borràs: "Anirà a més. Estem veient com des de la intel·ligència artificial se'ns pot simular la nostra veu o la nostra fisonomia. I aquí és on hem de posar l'alerta."
Víctima d'una ciberestafa bancària: l'entitat pot ser corresponsable?
Les ciberestafes són el segon delicte més denunciat a Catalunya, només al darrere dels furts. De mitjana, cada dia els Mossos tenen notícia d'una trentena de casos.
Un dels enganys recents que està passant és quan rebem un SMS fals dins del fil de missatges que ja teníem prèviament amb la nostra entitat bancària. En fer clic en l'enllaç pot provocar que els ciberdelinqüents puguin accedir als comptes i treure'n diners.
Aquesta estafa, segons la degana del Col·legi de l'Advocacia de Barcelona, Cristina Vallejo, comporta una discussió legal: "És un problema de la falta de diligència del consumidor o és una corresponsabilitat civil de l'entitat financera que, amb la innovació que hi ha, no està posant barreres de seguretat per impedir aquestes ciberestafes?".
Fins ara, en aquest tipus de casos, davant dels tribunals les entitats financeres al·legaven que és un problema de l'usuari que no s'ha assegurat prou que el missatge fos veritable.
Ara, els tribunals per la via civil comencen a sentenciar a favor dels consumidors, en considerar que l'entitat financera també és corresponsable que l'usuari hagi patit la ciberestafa perquè hauria de posar més mesures de seguretat.
Quines són les tendències dels ciberdelictes
Els "ransomware", el segrest de dades d'entitats públiques o privades per a ciberatacs --com el que va patir l'Hospital Clínic l'abril 2023-- continua molt actiu.
També el robatori de credencials de persones (correus electrònics o contrasenyes de feina) torna a créixer en un 160%. Unes dades que serveixen per vulnerar els sistemes informàtics de les empreses.
La directora de l'Agència de Ciberseguretat explica que els casos de "ransomware" seguiran, i n'hi haurà més casos per l'ús de la IA. Per contra, una bona notícia: cada cop menys les empreses paguen per rescats per aconseguir recuperar les dades.
L'any 2019 la quantitat d'empreses que pagaven un rescat era del 85%, en l'actualitat el pagament s'ha reduït al 23%.
"Això vol dir que les empreses i organismes estan invertint més en prevenció i resiliència informàtica", diu Meritxell Borràs.
La transició quàntica és un altre dels escenaris futurs als quals els experts asseguren cal estar atents. Cada cop hi ha ordinadors més potents i intel·ligents que són capaços de trencar el xifratge de les comunicacions que fem per internet, com per exemple, mitjançant els programes de missatgeria. Per això caldrà que les empreses generin nous sistemes de xifratge.
En relació amb el nombre d'atacs rebuts durant l'any passat a Catalunya. Segons dades de l'Agència de Ciberseguretat de Catalunya, hi va haver 6.900 milions d'atacs compatibilitzats i, d'aquests, 3.372 van acabar sent "incidents rellevants".
Què podem fer davant els perills cibernètics?
Cada cop més els fabricants i les plataformes de xarxes socials s'estan reforçant amb sistemes propis d'IA per identificar els continguts falsos. La tecnologia ha de lluitar contra la tecnologia.
També és important que la ciutadania sigui conscient dels perills i de les ciberestafes. Per això, si rebem SMS o trucades estranyes, cal validar per altres mètodes si el missatge rebut és real. Per exemple, si el missatge estrany és del banc, és important trucar a l'oficina per verificar que és cert.
