Unas 400 personas fueron estafadas el fin de semana anterior a Navidad por ciberdelincuentes. La banda usaba una cuenta en Instagram que simulaba ser la de una tienda de diseño y que vendía un mueble para maquillarse, para adolescentes, a 18.000 pesos. Era una gran oferta: ese mismo mueble en otras tiendas online costaba 78.000 pesos. Cuando esas 400 personas hicieron clic para comprar, se abrió en sus teléfonos una página web con un medio de pago. Destino: una cuenta de un banco digital, exclusiva para menores de 18 años, que se puede contratar con una selfie, un número de teléfono celular y un mail. Esta cuenta del fraude masivo aparentemente fue creada con un engaño. Algunos adolescentes —luego se supo— fueron víctimas de una suplantación de identidad para abrir cuentas sin su consentimiento: habían respondido a una búsqueda de personas para un trabajo remoto que requería el envío de un currículum, una selfie, un número de teléfono celular y un mail.
“Muchos de los usuarios habituados a las compras no se percataron de la estafa porque están navegando todo el tiempo y eso genera un estado de confusión”, dice Gabriel Zurdo, CEO de la consultora BTR. A lo largo de su carrera, Zurdo ha desarrollado el Advanced Security Center y el Extreme Cybersecurity Lab, dos centros de investigación enfocados en ethical hacking, penetration testing, ciberdefensa, cibercrimen y fraude digital. “Un usuario promedio cambia de plataforma cada 4,5 minutos: de Instagram a WhatsApp, por ejemplo”. Por eso, entre las medidas de seguridad que propone Zurdo está la desconexión.
“Sugiero prestar especial atención a horarios, fines de semana y vacaciones: los ciberdelincuentes van a buscar engañar en esos momentos”, dice. “Ejercite el escepticismo: las plataformas nos convencieron de que todo lo que viene por la pantalla es real y es sano, y eso es mentira. Muchas veces no hace falta hackear sino comprar en el mercado negro un lote de usuarios y passwords; esto le ocurrió hace poco a Catherine Fulop, a quien ayudamos. Hay que tener mucho cuidado respecto de a dónde uno se conecta a wifi, y renovar las contraseñas periódicamente. Utilice antivirus actualizados. Y, cada tanto, dese la posibilidad de hacer un ayuno digital soltando el teléfono y despejando la cabeza”.
Época de riesgo
Las fechas festivas como Año Nuevo, los fines de semana y los feriados son momentos en los que hay un mayor lanzamiento de ciberataques, especialmente a la noche o a la madrugada. “La tendencia es explotar esas franjas horarias en Año Nuevo porque se ve un relajamiento en la atención”, explica Zurdo. “Los ciberataques tienen inteligencia previa”.
Según BTR, en las épocas de riesgo (Año Nuevo, Navidad, Pascuas y vacaciones) el 45 % de los incidentes que terminan en un daño económico llegan vía phishing; o sea, con suplantación de identidad, por ejemplo, en un mail de esos en los que se informa de un problema bancario o en una red social y se pide que se ingrese el nombre de usuario y la contraseña. “Contamos 600 campañas diarias en épocas pico, cada una con hasta 6.000.000 mails”, sigue. “En pandemia se agregó que esto también ocurre vía WhatsApp, Telegram y mensaje directo de redes sociales”. En 2020, Zurdo identificó 130 técnicas diferentes para engañar a la gente; en 2021 lleva relevadas más de 200.
Desde el Estado también detectan un alza de casos. En las últimas semanas, la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI), a cargo del fiscal Horacio Azzolín, encontró un incremento en los reportes por falsas ofertas de alquileres temporarios o estacionales a través de plataformas como el MarketPlace de Facebook. Las víctimas habían depositado dinero para el alquiler de una casa, que en realidad no existía o que era ofrecida por personas que no eran sus dueñas reales.
A mediados de diciembre, se procesó con prisión preventiva a cuatro hombres por el uso no autorizado de datos de tarjetas de crédito y débito. Los investigadores creen que el delito había sido cometido por las autoridades de una empresa de taxis, que habrían cargado en el sistema de Prisma (ex-Visa Argentina) 101.121 transacciones por casi 300 millones de pesos. Pero 8.342 titulares desconocieron esos pagos. En la investigación se estableció que desde la cuenta que esa empresa tenía en el Banco Galicia se transferían montos a otras cuentas, a nombre de otras sociedades.
Antes, en noviembre, la UFECI detectó un incremento en los reportes por falsas ofertas de trabajo recibidas por WhatsApp o correo electrónico: casos de “fraude por reclutamiento” en los que las víctimas son contactadas y, bajo engaño, se les pide el envío de datos personales y dinero para supuestos gastos administrativos para acceder a una entrevista laboral o a un futuro empleo. “Sin embargo”, dice un comunicado de la unidad fiscal, “los datos brindados por las víctimas pueden ser utilizados para abrir cuentas en bancos electrónicos, donde se deposite el dinero proveniente de otros fraudes”, como en el caso de la tienda de diseño de Instagram.
Para prevenir este tipo de estafas veraniegas, la UFECI recomienda, por ejemplo, evitar la contratación de propiedades a través de contactos informales, donde no hay intermediarios como agentes de bienes raíces o inmobiliarias: “En caso de que se decida contratar por plataformas virtuales y antes de efectuar cualquier tipo de depósito dinerario, se sugiere verificar por otros medios que la persona que ofrece la vivienda sea su verdadera dueña y que la propiedad exista”. ¿Dónde denunciar? En cualquier comisaría o fiscalía. ¿Dudas? Contactarse con la UFECI: (011) 5071-0040 / denunciasufeci@mpf.gov.ar / Sarmiento 663, 6.°, CABA.
Un delito que crece
Desde que se inició la pandemia, los volúmenes de ciberataque y la concreción efectiva de daño —económico o no económico— han crecido. “Los canales digitales explotan porque la usabilidad del homebanking y de la app se duplicó, y en paralelo también lo hicieron las consultas por redes sociales”, decía en mayo de 2020 un gerente de banco (que pedía reservar su identidad). “No llegamos a atender todo el caudal y en las redes sociales se empiezan a acumular consultas. Así aparece gente que se hace pasar por asesora del banco, contacta a los clientes que dejaron preguntas y les pide datos y contraseñas”.
Una vez dentro de la cuenta, el estafador puede mover dinero o hacerse con los datos de las tarjetas de crédito. Por eso, en las redes sociales y vía mail los bancos han estado comunicando medidas de seguridad desde aquel momento. “Ahora enviamos más informaciones que promociones”, decía el gerente.
“El ciberdelito explota la emocionalidad y la habitualidad de la interacción digital que la gente incorporó en la pandemia”, sigue Zurdo. “Por ejemplo, hay secuestros de AdWord en los que clonan la página web de tu banco para hacer que entres a dar tus datos. Todo esto corresponde a un cambio de paradigma que va más allá de lo que las plataformas, las empresas y las entidades financieras pensaron para darles seguridad a los usuarios”.
En septiembre, la UFECI presentó su informe de gestión 2020 y mostró el aumento esperado en la cibercriminalidad: “Esa tendencia al alza se debió a la mayor utilización de medios electrónicos con motivo de la pandemia de COVID-19. Fraudes bancarios, usurpación de la identidad y acosos fueron algunas de las modalidades delictivas que se detectaron”. Entre 2019 y 2020 se registró un crecimiento del 381 % en los reportes de la fiscalía. Entre abril de 2019 y marzo de 2020 se recibieron 2.581 reportes y la Unidad inició 163 investigaciones preliminares; y entre abril de 2020 y marzo de 2021 se registraron 14.583 reportes: un 465 % más.
Según análisis de BTR, los engaños se basan en que estamos más tiempo conectados a internet, prestando menor atención. Los argentinos —según estadística de esta agencia — usamos intensamente 3,5 redes sociales y 4,5 grupos de WhatsApp por semana; y tenemos más dispositivos que hace dos años. El 65 % dice que maneja mirando el celular. El 25 %, que en un templo o en una iglesia no puede dejar de chequearlo al menos una vez. Entre el 12 y el 14 % dice que si escucha una notificación de audio de una red social o de WhatsApp mientras está en una relación sexual, no puede evitar buscar el teléfono.
“Dividimos la atención: estamos siempre haciendo algo y mirando el celular”, dice Zurdo. “El ciberdelito se apoya en una mesa con tres patas muy firmes y una no tan firme: por un lado, el anonimato, la suplantación de identidad y la posibilidad de fabricar una identidad sintética; por el otro lado, el factor humano”. Volver a concentrarnos en nosotros mismos es la mejor defensa contra la cibercriminalidad.
___
Esta nota forma parte de la plataforma Soluciones para América Latina, una alianza entre INFOBAE y RED/ACCIÓN