‘Man in the middle’: el nou mètode de robatori que et pot deixar sense ni un euro

La ciberdelinqüència ha evolucionat dràsticament en els darrers temps, passant d’atacs genèrics a campanyes cada vegada més personalitzades i sofisticades. L’aparició de tècniques com el ‘phishing’, que consisteix en el robatori d’informació i dades mitjançant la suplantació d’identitat d’empreses, o els ‘deepfake’, arxius modificats per suplir identitats, exposa l’usuari a riscos inèdits.

Recentment, la policia de Mallorca va assistir un home que havia perdut més de 31.000 euros a causa d’una estafa batejada com a ‘Man in the middle’ (en català, ‘Home al mig’).

Intercepció de dades confidencials

Tot va començar quan la víctima es disposava a fer una transferència bancària per valor de 31.140 euros. Tanmateix, els diners mai no van arribar al destinatari. L’afectat es va dirigir immediatament a la comissaria per denunciar la situació davant la Policía Nacional. Ben aviat, el Grup de Delinqüència Econòmica i Delictes Tecnològics va iniciar una investigació i va descobrir que el número de compte corrent que havia rebut l’home per correu electrònic no corresponia amb el de l’empresa a la qual havia d’enviar els diners.

Els agents van concloure que l’home havia estat estafat mitjançant el sistema ‘Man in the middle’. Aquesta tècnica consisteix en què els ciberdelinqüents s’interposen enmig de la comunicació entre dues persones o entitats per interceptar, llegir i modificar dades delicades i privades —com contrasenyes i números de comptes corrents, entre d’altres— i robar diners. Finalment, la policia va bloquejar l’operació, va aconseguir identificar el delinqüent i retornar a la víctima els diners sostrets.

Implantació de la Directiva SRI 2

Segons dades de l’informe de balanç de criminalitat del Ministerio del Interior, el 2025 la ciberdelinqüència a Espanya va augmentar un 5,3% respecte a l’any anterior, amb més de 480.000 infraccions penals. De tota la delinqüència registrada entre gener i desembre, el 88% van ser estafes informàtiques.

Malgrat això, avui dia Espanya continua sense aplicar la Directiva SRI 2 (vigent des del 2023), destinada a reforçar la seguretat a la Unió Europea. Tal com explica l’Instituto Nacional de Ciberseguridad (Incibe), aquesta normativa representa una actualització respecte de la directiva NIS 2016, creada amb la finalitat de garantir un objectiu comú de seguretat a les xarxes i sistemes d’informació dels països membres.

Amb això, la UE buscava que els usuaris estiguessin més protegits davant possibles ciberatacs i que les seves dades no quedessin exposades, ja que la directiva obliga les empreses a notificar qualsevol atac en un termini inferior a 24 hores. Tot i que Espanya va aprovar el 2025 un avantprojecte de Llei de Coordinació i Governança de Seguretat, d’acord amb la normativa, la UE ha advertit aquest any del seu incompliment mitjançant un dictamen motivat, fet que podria derivar en un judici davant el Tribunal de Justícia de la Unió Europea.

Augment de les tècniques ciberdelictives

Segons el Consell Europeu, la ciberdelinqüència continua augmentant arreu del món: només el 2020, el cost mundial de la ciberdelinqüència va ser de 5,5 bilions d’euros, el doble que el 2015. A més, segons l’Agència de la Unió Europea per a la Ciberseguretat (ENISA), les tècniques s’han tornat més variades: amenaces contra la disponibilitat i sobrecàrregues de xarxa, programes de segrest i destrucció de dades, enginyeria social (manipulació) o l’ús de programes maliciosos s’han convertit en pràctiques cada cop més habituals.

Notícies relacionades

Un motorista mor a la mateixa carretera del Brull on un altre conductor de moto va perdre la vida a principis de mes

BCN afronta les primeres nits tropicals de l’any, amb més de 20 oC

Les amenaces acostumen a provenir de diverses vies, des de grups vinculats als estats fins a delinqüents amb motivacions financeres, entitats privades o “hacktivistes”. No obstant això, cada grup té els seus mètodes i objectius específics: els grups vinculats a governs llancen atacs d’espionatge amb objectius polítics; els agents de ciberdelinqüència busquen beneficis econòmics mitjançant enginyeria social; i els agents privats són els que desenvolupen i venen les armes cibernètiques a la resta.

Com reflecteixen les dades del Consell Europeu, gairebé el 20% dels ciberatacs estan dirigits a organitzacions de l’administració pública. Els segueixen els sectors del transport (11%), les finances (9%), les infraestructures digitals (9%), els serveis a empreses (8%), el públic general (8%) i el sector manufacturer (6%). D’aquesta manera, aplicar la Directiva SRI pot ser un element clau tant per augmentar la seguretat en l’entorn digital com per garantir la transparència governamental.