“Recibí una llamada a nombre del banco. El operador me avisó que alguien había hackeado mis credenciales y me pidió que revisara el saldo de mi cuenta”, afirmó Daniela Gómez, una usuaria de internet que recordó los pasos del ciberdelito que la dejó sin sus ahorros.
“Después, me indicó que abriera una aplicación que ellos instalaron sin que me diera cuenta. Comenzaron a controlar mi celular. Sabían mi nombre completo, tenían mi número telefónico y entraron a mi galería de fotos”, listó los datos personales a los que los verdaderos hackers tuvieron acceso con una llamada.
La joven mexicana fue víctima de la ingeniería social, un conjunto de técnicas que consiste en conseguir contraseñas y datos bancarios mediante programas espías.
“Este delito es novedoso y ha ganado presencia en América Latina”, alertó en entrevista con Infobae Manuel Aguilar, investigador del Colectivo de Análisis de la Seguridad con Democracia (Casede). A finales de 2022, los usuarios de internet en la región recibieron 110 mensajes por minuto que buscaban sustraer información personal para cometer fraudes, según la empresa de seguridad informática Kaspersky.
Otro factor que incrementa la magnitud del problema en entornos digitales es el alcance y la velocidad con la que se viraliza un contenido compartido desde una cuenta personal.
“Las personas carecen de higiene cibernética que ayude su seguridad en internet”, comentó Aguilar y enfatizó la importancia de reconocer cuán peligroso puede ser mantener visible datos comunes como el nombre completo o la fecha de nacimiento en redes sociales.
Fotos y fechas de cumpleaños revelan más de lo pensado
Las imágenes en las que se aprecien de forma clara la fachada y el número de una casa o las placas de un automóvil son las claves que facilitan ciberdelitos e incluso otro tipo de crímenes fuera de las plataformas digitales, según Guardicore, empresa de ciberseguridad de América Latina.
El peligro aumenta debido a la manera en que los usuarios de redes sociales comparten fotografías a diario de los lugares que visitan, dónde están en tiempo real y qué personas frecuentan.
Con la tecnología que posibilita editar imágenes como deepfake hubo casos en los que, a fin de extorsionar, se montaba el rostro de una persona en el video de seguridad que captó un delito o en películas pornográficas, mencionó Aguilar. También advirtió que las aplicaciones de filtros como “el que te muestra cómo será cuando seas viejo”, que se hizo tan popular, “son perjudiciales para la privacidad de los usuarios”.
Facebook, Instagram y Twitter son las redes más usadas en la región, según los estudios de Comscore, empresa global dedicada a medir la navegación de los internautas. La información más habitual en estas plataformas es el nombre completo de los usuarios, el de sus familiares cercanos y fechas de nacimiento, “datos que un hacker hábil puede usar para falsificar los documentos oficiales y solicitar, por ejemplo, un préstamo bancario”, explicó una de las consecuencias más comunes tras visibilizar datos personales.
Aguilar también aseguró que desde 2016 ha notado un recelo de los usuarios de Facebook a compartir la información real sobre sus perfiles personales. “Después de Cambridge Analytica, la gente dejó de compartir su vida en esta red social”. El investigador se refiere a la consultora que obtuvo la información de 50 millones de usuarios para fortalecer la campaña electoral del expresidente de los Estados Unidos Donald Trump en 2016. La red social fue acusada de compartir de forma ilegítima los datos necesarios para esa operación.
El problema también sucedió en la consulta a los británicos sobre abandonar la Unión Europea (Brexit), pues la consultora desarrolló una campaña a favor de esta decisión a partir de la información personal de millones de británicos proporcionada por Facebook. La campaña mediática fue hecha a la medida de cada persona para influir su postura respecto a la votación.
Sin embargo, las personas aún necesitan robustecer la cultura de la privacidad, en opinión del investigador. “Incluso exhibir la fecha de nacimiento podría funcionar para que un hacker acceda a cuentas bancarias y de redes sociales, porque la mayoría de la gente suele usar su cumpleaños y sus nombres como contraseña”, advirtió.
Los peligros de la ingeniería de social
Cuando las personas omiten revelar algunos datos personales en sus redes sociales, disminuye la posibilidad realizar un Análisis de las Fuentes Abiertas: un estudio de los patrones de comportamiento de cada usuario en sitios públicos en internet como Twitter o Facebook, cuyo fin era crear perfiles amplios de una persona, “su rutina cotidiana, intereses, sus familiares y trabajo”, explicó Aguilar. “Eso serviría para vulnerar a un individuo”.
El fraude en línea en la región comienza con la recopilación de datos personales por medio de herramientas de espionaje. Una vez obtenida la información, se hace un análisis minucioso de patrones de consumo y sitios que visita la víctima con más frecuencia. La ingeniería social se completa al manipular a la persona mediante técnicas psicológicas y habilidades sociales para cumplir metas específicas, según la definición de Kaspersky.
“El fenómeno sucede cuando alguien entra en contacto contigo. Ya conoce tu nombre y el banco del cual eres cliente. También se sabe tu número de cuenta”. Después de manipular a las personas para acceder su aplicación del banco, “hacen un cargo y retiran el dinero que encuentran”, esclareció el investigador los casos como el que vivió Daniela, quien nunca pudo demostrar ante las autoridades bancarias cómo fue víctima de un robo: “Me explicaron que el código para realizar el retiro sin tarjeta fue generado desde mi celular, por lo tanto yo autoricé el movimiento”.
Pocas leyes contra el ciberdelito
Cuando la joven mexicana intentó explicar que habían hackeado su teléfono, el banco le ofreció un seguro contra ese tipo de fraudes. “Después de eso ni siquiera intenté denunciar ante la policía cibernética. Creí que nunca me harían caso”. México carece de leyes especializadas en sancionar robos digitales. El artículo 211 del Código Penal Federal castiga con dos años de prisión solo a quien modifique o destruya información en algún sistema informático.
En la valoración de Aguilar, los marcos legales de los países son escasos. “Judicializar un ciberdelito en la región es ambiguo para los ministerios públicos, porque no tienen códigos penales adecuados”, explicó.
Chile aprobó y promulgó en 2022 la Ley Marco de Ciberseguridad, con la cual se creó el Registro Nacional de Incidentes de Ciberseguridad para proteger a las personas de los ciberdelitos más comunes. Eso lo ubica como el país de la región que mejor ha logrado robustecer sus niveles de defensa ante estos crímenes, con un índice de desarrollo del 59.74%, de acuerdo con la lista del Índice Ciberseguridad Nacional (NSCI). México, en cambio, se posiciona en un lugar intermedio, con un 37.66%, al tener legislaciones débiles.
El convenio de Budapest busca proteger a la sociedad frente a los delitos informáticos mediante la elaboración de leyes para entornos digitales. Algunos países de la región se han sumado a él, pero todavía están lejos de alcanzar niveles aceptables de ciberseguridad. Brasil es la nación más atrasada de América Latina en el tema, según la compañía británica Comparitech.
Phishing y ransomware, letales para la baja seguridad de la región
El phishing se ha coronado como uno de los principales tipos de hackeo en la región. “Alguien recibe un archivo adjunto al correo electrónico, o algún link, pero al abrirlo te direcciona a una página apócrifa que pide datos personales”, describió Aguilar.
El segundo tipo de ciberdelitos más comunes en la región es el ransomware. Consiste en secuestrar el dispositivo inteligente o la computadora de una persona a través de la descarga de un programa malicioso. Una vez que obtiene acceso, el hacker exige un pago para devolver los datos y sistemas secuestrados. En el mundo, “América Latina es la segunda región del mundo con más ataques de este tipo, solo detrás de Europa y Estados Unidos”, comentó el investigador.
Respecto al tercer tipo de hackeo presente en la región, Aguilar mencionó el spyware debido al éxito que ha tenido entre los ciberdelincuentes dedicados a la ingeniería social. “Es efectivo porque se instala en los dispositivos inteligentes y recopila la información de aplicaciones de compras en línea, por ejemplo, que luego se manda a hojas de cálculo. Por último, alguien te llama o te contacta con todos esos datos”, ahondó.
La higiene cibernética es clave para la prevención
Cuando una persona descarga una aplicación y la instala en su celular sin leer con atención los términos de privacidad, tiene más probabilidades de sufrir una filtración de sus datos personales. “Es importante fomentar la cultura de la higiene cibernética para cuidar estas condiciones. Y si es necesario, hay que rechazar el uso de algunas apps”, recomendó el investigador.
Otro de los factores que vulneran a los usuarios son las redes públicas de internet: en su mayoría almacenan información personal y son incapaces de protegerla. Para resolver el problema, Aguilera aconseja obtener un VPN, una red privada virtual, pues tienen estándares seguros en la transmisión de datos.
El investigador enfatizó en cuidar qué se autoriza en los términos de privacidad, “pues los actores privados y gubernamentales recopilan información, pero ambos son altamente vulnerables”. En su opinión, contar con un seguro contra robo de identidad se ha vuelto una necesidad en el presente. Además, una medida útil y cotidiana es evitar que las aplicaciones para dispositivos móviles accedan siempre a la cámara y el micrófono.
“Algunas de estas bases de información han sido filtradas a portales de la darknet”, un ámbito al que sólo se accede con determinados software. Los datos biométricos (huellas digitales e iris de los ojos) representan una preocupación para el investigador. “Si alguna de esta información llega al mercado negro, podrían subastarse identidades. Este es el nivel más alto de vulneración”, resaltó.
Aguilar concluyó en que América Latina es una de las regiones más rezagadas en ciberseguridad: “Ocupa el quinto lugar en el mundo porque hay una carencia de expertos que puedan desarrollar un internet más seguro”. Sin embargo, las personas pueden cuidar de su identidad al fomentar una cultura de higiene cibernética. Por último, recomendó: “Hay que blindarse con un antivirus, evitar subir información personal y mantenerse enterado de cómo funcionan los crímenes digitales más peligrosos”.