Segons els Mossos d’Esquadra, les ciberestafes ja representen el 15 % dels delictes a Catalunya, amb una mitjana de 300 a 350 denúncies diàries, el 90 % de les quals són per delictes comesos a Internet. Entre gener i agost de 2024 es van registrar unes 54.000 denúncies, és a dir, una cada sis minuts. Els fraus més habituals són els càrrecs bancaris falsos, els enganys en compres per Internet, les falses ofertes d’inversió o de feina i el phishing mitjançant SMS, correus o trucades simulades de bancs o empreses conegudes. Només el 2025, més de 96.000 persones ja han vist compromeses les seves dades personals, gairebé el doble que l’any anterior.

Les autoritats han reforçat la resposta amb noves mesures com el segon factor d’autenticació o la lluita contra l’spoofing, que simula números o missatges oficials. Tot i això, els delinqüents s’adapten constantment i aprofiten l’emoció, la urgència o la confiança per fer caure les víctimes. Els Mossos insisteixen en recordar la regla SANA: Stop, Analitza, No cliquis i Ajuda’t, i alerten que el millor antídot contra les estafes digitals és aturar-se abans de clicar i protegir les nostres dades, també a Internet, com ho faríem amb la porta de casa “no obrir a estranys”; aquell consell que ens han donat tota la vida els pares!

Josep Suñé: I avui comencem el programa amb una informació que us interessa a tots. I quan dic a tots, vull dir a cadascun de vosaltres, perquè parlem d’Internet i parlem de ciberestafes.
Parlem amb l’intendent Roger Sales Cases, que és el cap de la Regió Policial Virtual dels Mossos d’Esquadra. Roger, bon dia.

Roger Salas: Molt bon dia!

Això que he dit és veritat: interessa a tothom. A tothom li interessa el que estem a punt d’explicar, perquè aquí tothom pot caure.


Tothom ha rebut, en algun moment dels últims anys, un WhatsApp, un SMS o un correu electrònic que és l’inici d’una estafa. El que passa és que després hi ha gent que, malauradament, hi ha caigut i gent que no, però tothom ha rebut l’atac.

Hem de dir també que, tot i que ara som en una època de l’any en què ben aviat parlarem de Nadal, de campanyes de Nadal, suposo que això s’intensifica. Però aquests ciberdelinqüents no descansen mai. Això pot passar qualsevol dia de l’any, no?

Qualsevol dia. Sí que és cert, com tu molt bé has dit, que ara ve Nadal i hi ha unes etapes de l’any en què determinats tipus d’estafes són més habituals. Però el cert és que durant tot l’any rebem denúncies d’estafes en l’àmbit digital.

En paràmetres bàsics, què hem de saber quan ens arriba, per exemple al telèfon mòbil, un SMS o un missatge que creiem sospitós? Què hem de fer? Hi ha una frase que hauríem de memoritzar: «NO CLICAR». Seria un consell força general.

Exacte. No clicar, no entrar. Nosaltres, des de la Regió Virtual, parlem molt del concepte SANA, que és un acrònim. De sanar:

  • S vol dir Stop (atura’t)
  • A vol dir Analitza
  • N vol dir No (no cliquis)
  • A final vol dir Ajuda’t o Demana ajuda

Per què? Perquè aquestes estafes, majoritàriament, treballen sobre dos conceptes: generar una emoció i provocar urgència. El delinqüent utilitza l’enginyeria social: pot ser por, alegria, temes amorosos… però sempre amb pressa.
El típic SMS de «denúncia de trànsit»: si no cliques ara mateix i pagues, tindràs un recàrrec; o el clàssic “Mama, se m’ha trencat el mòbil, necessito diners urgentment”. Sempre és això.

Per tant, el primer pas és atura’t (STOP), no tinguis pressa. Després, analitza què està passant i què t’estan demanant.
Per exemple: si el meu fill diu que se li ha trencat el mòbil, com és que m’envia un WhatsApp en lloc de trucar-me?
Després, no cliquis ni truquis ni descarreguis res.
I finalment, demana ajuda: ves al teu banc a comprovar-ho, contacta amb els Mossos o escriu a internetsegura@gencat.cat. També pots demanar ajuda a algú de confiança que en sàpiga d’informàtica.

Però és possible, si us hi heu trobat, que fins i tot arribi una trucada simulant que truquen del banc. Una trucada real, amb les teves pròpies dades. I tu creus que és real.

Sí. Aquí hi ha dues coses. Una és la simulació que el número és del teu banc. Això és el que s’anomena spoofing. Si tot va bé, en els propers mesos veurem una davallada d’aquesta tècnica, perquè el govern ha aprovat una legislació que obliga les operadores a lluitar contra l’spoofing, és a dir, contra la simulació del número o SMS del banc.

Però, d’altra banda, hi ha el tema de les dades personals. Hem de ser molt curosos tant amb les que pengem a la xarxa com amb les que llencem a les escombraries. Sovint, per guanyar-se la nostra confiança, el delinqüent et dona els quatre últims dígits de la teva targeta. D’on els ha tret? Potser del rebut que hem deixat al caixer automàtic o de cartes bancàries llençades sense trencar.
Existeix el concepte de trashing, que és buscar informació a les escombraries. Amb el nom, cognoms i aquests dígits ja poden guanyar-se la nostra confiança.

En el tema de xarxes socials —Instagram, Facebook, etc.— de vegades hi entra publicitat amb grans ofertes. Cliques i vas a una pàgina que sembla de la marca, però l’oferta és massa bona per ser certa. Hem de sospitar, oi? I si ja hi hem entrat, què podem fer?

Primer de tot, cal dir que això implica una certa sofisticació per part dels delinqüents. Posar un anunci a Instagram costa diners; per tant, ja són professionals.
Un cop cliquem —perquè el preu pot atraure—, hem de mirar la capçalera de la pàgina web. A moltes denúncies veiem que la pàgina no és de la marca real, sinó una combinació estranya de lletres: per exemple, txyze.shop. Això ja ha de fer sospitar.

Després, cal revisar els mitjans de pagament: si no és un sistema conegut, sospita. I també comprovar si a la part inferior de la pàgina (contacte, política de privacitat…) els enllaços funcionen; sovint no s’obren.
Finalment, l’adreça de contacte: posa-la a Google Maps. Si surt un descampat, ja saps que és fals.

Són professionals, com deies. Tot i que també n’hi deu haver que simplement agafen un manual i s’hi posen.

Cada cop més, sí. Està creixent el concepte “crime as a service”, és a dir, paquets per cometre ciberdelictes que es poden comprar per Internet —sobretot a la dark web— i que permeten fer estafes massives amb pocs coneixements.

A nivell de Bizum, què hem de tenir en compte?

El que ens trobem molt és gent que intenta vendre un producte per Internet. El delinqüent li diu que li compra de seguida, sense veure’l, i això ja hauria de fer sospitar.
Llavors diu: “T’envio un Bizum perquè et pagui”, però en realitat envia una sol·licitud de pagament. La víctima, convençuda que està cobrant, accepta… i en realitat està pagant.

Quan rebem un paquet a casa, allà hi ha les nostres dades a l’etiqueta. El buidem i el llencem al reciclatge. Però aquestes dades se’n van cap allà també, oi?

Exacte, i això és un regal pels delinqüents. L’etiqueta s’hauria d’esmicolar o destruir. L’ideal seria tenir una destructora de paper. Si no, com faig jo: trenco l’etiqueta a trossets petits i els llenço en papereres diferents pel carrer. Així es redueix molt la possibilitat que algú pugui recompondre-la.

Què més hauríem de destruir d’allò que ens arriba a casa?

Tot allò que contingui dades personals: noms, cognoms, DNI, adreça, rebuts del banc, dades bancàries… Tot s’hauria de destruir tan esmicolat com sigui possible.

També tenim una mena d’identitat digital a les xarxes, i cal anar amb compte amb el que hi pengem?

Exacte. A la bústia d’internetsegura@gencat.cat ens arriben molts casos de gent que ha penjat documents o informació compromesa. Hem de tenir clar que, quan prems enviar, perds el control del que has compartit.
Si tens el perfil privat, és més difícil, però tots aquells a qui donis accés hi podran entrar. Hem de ser molt curosos.
Ens hem trobat, per exemple, caps d’empresa que pengen a Internet que són de vacances. Després, algú truca a l’empresa fent-se passar per ells i demanant gestions.
Compte també amb fotos aparentment innocents —fills, mascotes…—, perquè també donen informació valuosa.

També és habitual que se’ns vulguin fer amics o amigues per Internet, nois o noies molt ben plantats, amb noms perfectament occidentals. Hem de sospitar si no els coneixem, oi?

I tant. Ho hauríem d’assimilar al fet d’anar pel carrer i que algú encaputxat et digui que vol ser el teu amic o que s’ha enamorat de tu. És el mateix. No sabem qui hi ha a l’altra banda, per tant, cal ser molt curós, sobretot quan detectem intencions amoroses.

Parlem amb Roger Salas, cap de la Regió Policial Virtual dels Mossos d’Esquadra, sobre ciberseguretat. També cada dia paguem més amb el mòbil o amb targeta. I al mòbil hi tenim totes les dades, contrasenyes… Hem de tenir una cura especial amb aquest aparell?

I tant. Internet ha reduït la distància entre el delinqüent i la víctima. Abans, per robar-te, el delinqüent havia de tenir contacte físic. Ara no: amb un clic ja pot actuar.
El mòbil ens fa estar hiperconnectats —24 hores sobre 24—, i això vol dir 24 hores en risc. Per tant, hem d’anar amb molt de compte, especialment amb el mòbil.

Allò de clonar el mòbil encara passa? Es pot clonar pel carrer si no el portem protegit?

No exactament. Ara ja no cal passar pel teu costat per accedir-hi. El teu mòbil està connectat a Internet i, per tant, pot ser atacat des de qualsevol lloc.
És convenient securitzar-lo: tenir un antivirus, una xarxa privada virtual (VPN) i protegir les comunicacions. No podem tenir el mòbil “despullat”.

Quina és l’última estafa que heu detectat?

Darrerament hem vist un augment dels càrrecs bancaris. Gent que es troba càrrecs que no reconeix. Abans els delinqüents aconseguien l’usuari i la contrasenya i feien el càrrec directament.
Ara, amb el segon factor d’autenticació, necessiten també el codi que t’envien al mòbil.
El que fan és trucar-te o enviar-te un missatge per aconseguir aquest codi. Ja tenen usuari i contrasenya, però els falta el codi.
És una cursa constant: la delinqüència fa un pas, la seguretat reacciona, i ells s’adapten.

O sigui, cada cop més sofisticats. Però vosaltres també, que lluiteu contra ells.

Sí, però sempre anem un pas darrere. És com Terminator: hi havia el T-1000 i el T-800, que era el bo, però era la versió antiga. Nosaltres som el T-800.

Una curiositat: m’ha passat que truquen amb una suposada oferta de feina, dient que els he enviat el currículum. No cal trucar, oi?

No. A mi també m’ha passat. Estem en el mateix de sempre: juguen amb les emocions. Fan milers de trucades, i si un 1% pica, ja són 10.000 víctimes potencials amb dades personals i bancàries.

Cada cop som més sofisticats i, per tant, també hem d’estar més alerta?

Exacte. Hem d’estar tan alerta com quan érem petits. Jo, que soc del Raval de Barcelona, recordo que els meus pares em deien: «No obris la porta als desconeguts». Doncs és el mateix: no cliquis als desconeguts.

Per acabar, els codis QR. Darrere d’un codi QR s’hi pot amagar de tot?

Exacte. Un codi QR és, al cap i a la fi, un enllaç. El que cal saber és d’on prové.
Si és el codi d’un restaurant, plastificat, no hi ha gaire risc. Ara bé, si veus un tros de paper enganxat a sobre del plàstic o un codi en un fanal, sospita.

Roger Salas, cap de la Regió Policial Virtual dels Mossos d’Esquadra. Recordeu les sigles SANA i memoritzeu-les, perquè convé tenir-les molt presents.

I tant. Gràcies, que vagi molt bé. A vosaltres.

Fora d’antena:

Per cert, no hem parlat d’intel·ligència artificial?

Un altre dia!