“Phishing”, fraudes en ventas online y hackeos de WhatsApp: los ciberdelitos no frenan durante la pandemia
Por la explosión de la virtualidad, subieron un 60% los delitos informáticos respecto de antes de las restricciones y el encierro. Las modalidades más extendidas y los cuidados que hay que tener para no caer en la trampa.
Mariela M. tiene Netflix hace dos años. Su dirección de correo la usa para iniciar la sesión. A esa casilla le llegan los estrenos de temporadas, recomendaciones, las actualizaciones o alguna consulta de seguridad cuando alguien de su familia utiliza la cuenta en un dispositivo nuevo. Hace tres meses recibió un email que le informaba un problema con la tarjeta de crédito. “El usuario debe actualizar sus detalles de pago dentro de las 24 horas o se anulará su suscripción a Netflix”, decía el mensaje. Al lado había un link para ingresar los datos nuevamente. Mariela no desconfió porque la estética era igual a la de los otros correos que recibía de la plataforma de streaming. El link la redirigió a un formulario y, luego de completarlo, a la página de Netflix. Nunca sospechó que acababa de entregar los datos de su tarjeta a ladrones informáticos. Un mes después el resumen de gastos la espantaba y debía comenzar una serie de reclamos que aún no se resolvieron. Este caso es uno de los cientos que fueron denunciados e investigados durante la pandemia. Los delitos informáticos crecieron el 60% en la Argentina respecto de antes del encierro y los especialistas creen que hay que redoblar las recomendaciones si la virtualidad se impone definitivamente.
“Los ciberdelincuentes están todo el tiempo actualizando su manera de operar. Les resulta muy rentable y de muy poca exposición y riesgo judicial. Trabajamos en la prevención y en la difusión de los métodos de engaño, pero los cambian y siguen. Cada vez son más refinados porque las ganancias son altas para ellos. Y con la llegada de la pandemia pudimos ver cómo delitos que se hacían a nivel global comenzaron a realizarse en la Argentina”, explica el vicepresidente de la la Asociación Argentina de Lucha Contra el Cibercrimen (AALCC), Diego Migliorisi.
En muchas empresas, los sistemas de seguridad informática no permiten que los empleados puedan entrar en páginas que les provoquen riesgos y con el trabajo remoto esa barrera de protección desapareció. Pero el problema es bastante más extendido. Los cambios en la circulación, la manera de estudiar, de trabajar y consumir ampliaron los espacios en los que uno puede ser víctima de un delito de este tipo. “Lo que ocurrió fue que por la pandemia la gente se fue a la casa y no tenía protocolos de control ni estaba preparada para detectar las estafas digitales a las que podía estar sometida”, agrega Migliorisi.
Según las estadísticas del AALCC, en el 2020 aumentaron un 61,12% las denuncias respecto del mismo período del año anterior. También de ese relevamiento surge que el 60,28% de los delitos informáticos por los que recibieron consultas en los últimos 5 años se reportaron en el 2020. La lista de los ciberdelitos que más se cometen está encabezada por el fraude electrónico, que ocupa el 18% del total. Luego le sigue el phishing (NdeR: un engaño para que personas compartan información confidencial) con el 16,8%; tercero la extorsión online, con el 16,6%, y el ciberbullyng, muy cerca, con el 16,5%. Más atrás las calumnias en la red, con el 11,8%, las amenazas virtuales (6,2%), la usurpación de identidad (5,10%) y la publicación ilegítima de la identidad, con el 2,86%.
“Lo que denominamos cibercrimen solo se puede combatir con información porque hay gente que no sabe cómo la pueden engañar. Los delincuentes copian datos del Whatsapp o consiguen información filtrada y luego te llaman. Reproducen los procedimientos de atención telefónica al detalle. La víctima se termina convenciendo de que está hablando con la empresa. Lo mismo con el phishing, que es cada vez más real. El nivel de sofisticacóon aumentó tanto que incluso aparecen embebidas las página reales de las empresas dentro de una falsa hecha por ellos”, agrega Migliorisi.
En enero, Miguel P, producto del encierro y de la necesidad de hacer ejercicios, quiso comprar un kit de bolsa de boxeo, guantines y dos mancuernas, en una plataforma de compra-venta. Le fue preguntando al comprador sobre los formatos, los tamaños, colores y el tipo de soporte para poner la bolsa. Cada vez que estaba por resolver la compra, el vendedor le decía que justo no tenía ese producto y lo mandaba a la página original de la marca, donde había un correo de contacto. Se suponía que como los distribuidores tenían más stock le iban a resolver el problema. Del correo fueron al WhatsApp, luego al intercambio de datos y le pidieron que hiciera un depósito y mandara una foto del comprobante. Cuando el pago se produjo nunca más le respondieron un mensaje. “Estamos viendo muchos casos repetidos en MercadoLibre, OLX o MarketPlace, de Facebook. Hacen que el cliente desista de la compra en la plataforma, donde existe la posibilidad de realizar un reclamo. Les dicen que manden el monto a la cuenta, que depositen tranquilos. Se quedan con el dinero y de inmediato bloquean al comprador en todos los sitios y aplicaciones por las que mantuvieron comunicación. En estas situaciones se da también que los delincuentes alquilan cuentas bancarias o hackean otras para ser usadas en este delito”, advierten especialistas de la nueva Dirección General de Lucha contra el Cibercrimen de la Policía Federal. Precisamente producto del crecimiento de estos delitos y de la complejidad que tienen es que se expandió el área que los investiga y se creó esa dirección.
También se puede plantear al revés. En plataformas de compra-venta o MarketPlace de Facebook el estafador simula ser un comprador del producto falsifica un ticket de pago o transferencia de dinero y le informa al vendedor que pasará una moto o un remis a buscar el producto. Si el vendedor le dice que espera a que acredite el pago, puede hasta que envíen un correo electrónico falso para hacer creer al vendedor que ha recibido ese depósito y así culmina la maniobra donde el ladrón se queda con el producto sin haberlo pagado.
Otra de las modalidades que más aumentaron en el último año fue el hackeo de las cuentas de WhatsApp. El interés de los ladrones de datos es alto por el volumen de información que se comparte en la mensajería instantánea. Desde la PFA detallan y alertan en base a las denuncias que trabajaron. El caso más común es el ingreso a una cuenta de WhatsApp a partir de la escucha de los mensajes de voz. La mayoría de los teléfonos celulares tienen una casilla donde reciben mensajes cuando no se pueden atender las llamadas. Ese sistema está casi en desuso para el usuario común, que deja mensajes justamente por WhatsApp. Estas casillas de voz tienen una clave predeterminada por el prestador de telefonía celular. En general los números “seteados” son 1234, 1111 o 0000. El usuario no sabe que puede y debe cambiarla y los victimarios aprovechan esa vulnerabilidad. “La operatoria sigue con la descarga de la aplicación WhatsApp en un dispositivo. Para eso se requiere el número de teléfono al que se va a vincular la aplicación y luego que una clave numérica sea enviada por mensaje de texto o por llamado telefónico. Esta segunda opción es la que utilizan los autores de la maniobra. Lo hacen de noche, cuando la gente duerme y no escucha el teléfono. La clave proporcionada por WhatsApp llega a la casilla de buzón de voz. Luego, se accede al buzón de voz de ese abonado desde cualquier teléfono y colocan la clave predeterminada pudiendo así escuchar el mensaje con la información que se necesita para entrar al WhatsApp”, detallan desde la Policía y explican que una vez adentro, la multiplicidad de posibilidades es muy amplia: quedarse con información para extorsionar, datos bancarios compartidos u otra información valiosa de alguien que no sabe que está siendo espiado.
Los testimonios de phishing para el hackeo de cuentas bancarias también nutren muchas de las investigaciones de este tipo de delitos. En la mayoría de estos casos, todo comienza con un correo electrónico similar al del banco en el que el dueño del mail tiene una cuenta. En ese correo, la supuesta entidad también pide cliquear un enlace para verificar la cuenta y brindar mayor seguridad ante posibles hackeos. Muy parecido al caso de Netflix, allí se completa todo el formulario que brinda la página y entrega los datos para acceder a su cuenta.
Como se ve en las estadísticas, las extorsiones ocupan un lugar destacado en la lista de ciberdelitos. Se ejecutan desde una identidad falsa, que se vincula a una víctima y que con el tiempo se genera una relación íntima. Suelen intercambiar fotografías con la confianza de que quien envía las fotos es quien dice ser. “Es precisamente en esa circunstancia en la que se comete el error. Porque luego de tener esa información delicada, el delincuente comienza a exigir una determinada suma de dinero para no exponerlo públicamente y a vista de su entorno. Lamentablemente, muchas personas para no verse comprometidas y expuestas, por vergüenza a la situación, realizan el pago y muchas veces los delincuentes cada cierto tiempo le vuelven a extorsionarlo”, explican los especialistas policiales.
AM
Seguridad en la web
Diez consejos para evitar ser una cibervíctima
1. Si se recibe un llamado por cualquier motivo desde un número privado, desconocido o no agendado: no debemos brindar ningún tipo de información y cortar la comunicación.
2. Ninguna entidad estatal nos solicitará información personal ni claves ni números de tarjetas para ningún trámite, no las aporte telefónicamente ni por correo electrónico u otro medio de comunicación.
3. Para verificar la veracidad del llamado, mensaje de WhatsApp o correo electrónico proveniente de alguna entidad bancaria, gubernamental o entidad privada, se debe llamar a la entidad desde la que supuestamente nos contactaron a través de teléfonos aportados por ese lugar.
4. No ingresar a las páginas bancarias usando los enlaces que nos brindan en los correos electrónicos que recibimos si no se puede verificar que sea un mail real del banco.
5. Utilizar el buscador web e ingresar en las páginas que posean un candado al principio de la dirección de la página, ya que esto nos brinda mayor seguridad.
6. Cambiar la clave predeterminada de acceso al buzón de voz de su teléfono celular para evitar que personas desconocidas puedan acceder a él.
7. Al realizar compras o ventas, preferiblemente, hacer la transacción por el canal habilitado por ese sitio ya que así se podrá presentar un reclamo en caso de ser necesario.
8. Si realiza compras o ventas a través del MarketPlace de Facebook, tener siempre en cuenta que las transacciones se hagan mediante canales seguros.
9. En caso de tener que recibir un mail de confirmación de un pago, verificar que ese correo electrónico sea verdadero.
10. Para la verificación de un correo electrónico, no solo se debe leer el nombre del remitente, que es lo primero que aparece al recibirlo. Se debe hacer click sobre ese nombre y allí se podrá verificar cuál es el correo electrónico y si el nombre puesto no coincide con los datos del correo podría tratarse de un correo falso.
Otra recomendación importante, es en referencia a aquellas personas que acostumbran chatear con distintos contactos que no conocen personalmente. En esos casos, es indispensable evitar mostrarse en cámara, enviar fotos íntimas, información personal y de su entorno familiar ya que se desconoce la intención de quien recibe esa información ya que nunca vimos a esa persona.