¿Cuidás bien tus datos? El avance de los ciberdelitos, las estafas que se multiplican y acechan tu dinero
Sólo en Trelew hubo el año pasado al menos 77 denuncias por fraudes que involucraron a clientes de bancos. Mercado Libre fue estafado en 2 millones de pesos desde Comodoro Rivadavia. Delincuentes que aprovechan la información sensible que dejamos a través de perfiles públicos. Y bases de datos que se venden impunemente.
Los ciberdelitos crecen en modalidades diversas y ya casi no son novedad, salvo por el hecho de que las formas se perfeccionan y las víctimas van desde personas incautas frente a las complejidades de la economía virtual, hasta otras más preparadas, incluidos empleados bancarios o empresas tan poderosas como Mercado Libre.
El caso que se conoció recientemente en Comodoro Rivadavia refleja que nadie está exento de la vulneración de datos, ya que el gigante Mercado Libre se encontró con cargos a pagar por las compras simuladas desde esta ciudad.
El fiscal Ricardo Carreño, que está a cargo de la investigación iniciada a partir de la denuncia formulada por la misma empresa, dio algunas precisiones sobre la maniobra, que todavía esté en plena investigación:
“Lo que tenemos claro es que han utilizado datos verdaderos de tarjetas de crédito, ya que tenían el número, identidad del titular y código de seguridad. Con esas tarjetas, los imputados hacían ventas simuladas, recibían el dinero y esto lo detecta Mercado Libre cuando los dueños reales de las tarjetas empiezan a desconocer las compras. Está en investigación la vía por la que se hicieron con esas tarjetas o con sus datos”.
Como consecuencia, la firma debió afrontar los contracargos por 2 millones de pesos, ante el desconocimiento de las operaciones de compra por parte de los legítimos titulares de las tarjetas, mientras quedaron bloqueadas operaciones por 16 millones de pesos.
Entre las hipótesis que se manejan, la más simple es la posibilidad de que los datos sean robados en forma ‘analógica’. “Siempre hay que tener a la vista la tarjeta, nunca entregarla para que se la lleven a pasar por un posnet alejado. Le sacan una foto y con eso es suficiente. Es el cuidado más básico que debemos tener. El DNI lo mismo, mostrarlo pero nunca entregarlo”, recomendó Carreño, referente local de la agencia de delitos informáticos.
En la hipótesis más compleja, está la vulnerabilidad del sistema. Cuando realizamos compras online, los datos de las tarjetas quedan registrados en una base de datos, que está expuesta a la acción de los ‘hackers’, que luego se encargan de vender bases de datos, que son buscadas por quienes se dedican a este tipo de delitos.
“La vulnerabilidad existe todo el tiempo, hay gente que permanentemente se dedica a buscar el ingreso y violar redes para quedarse con estos datos y luego venderlos”, detalló el fiscal Carreño.
En la investigación abierta en Comodoro, se apuntó a buscar dispositivos que posibilitan la copia de tarjetas cuando se introducen en el cajero automático, pero no fueron hallados en los allanamientos realizados.
“En este caso, la base de datos que estaba en circulación fue utilizada por gente de Comodoro, que hicieron las compras fraudulentas con tarjetas de crédito o débito de usuarios de otros puntos del país –refirió-. Lo que ha detectado Mercado Libre es que las compras se fraguaban desde esta ciudad, por eso la denuncia derivó en nuestra Fiscalía”.
Actualmente se está analizando la modalidad con la que se usaron los dispositivos, como los ‘Point’ para la carga de datos de las tarjetas, además de que se busca probar que los dos imputados en la causa, un hombre y una mujer, tuvieron acceso ilegal a una base de datos que circula en el mercado negro.
“Hemos cruzado pedidos de informe a Mercado Libre y a distintos bancos, una vez que contemos con esa información podremos precisar la imputación, que por ahora se basa en el delito de defraudación”, indicó el fiscal.
La "ingeniería social" que hacen los ciberdelincuentes
María José Quintana es abogada de Comodoro Rivadavia e integra la Red Iberoamericana de Derecho Informático, por lo que representa a varios clientes que fueron víctima de algún tipo de delito de este origen en los últimos tiempos.
“En Comodoro Rivadavia y en todo el mundo ha crecido esta modalidad en forma posterior a la pandemia, principalmente por delitos contra la propiedad y otras defraudaciones cometidas a través de medios digitales”, indicó en principio.
Para la especialista, la migración de personas que no estaban acostumbradas a este tipo de transacciones comerciales, por internet o home banking, por lo que los delincuentes aprovecharon a través de lo que se denomina ‘ingeniería social’ apoderarse de datos sensibles.
“Hay mucha información que por descuido vamos dejando en redes sociales, con comentarios que hacemos en Facebook, Twitter o en Instagram, sobre lo que los delincuentes hacen una ‘investigación de mercado’, por lo que aprovechan esa información para construir un ardid y engañar a las víctimas”.
Como ejemplo, señaló que le tocó intervenir en un caso de una persona que puso en venta un mueble, a través de marketplace, por lo que un presunto “cliente” lo contactó simulando interés por el producto: tras requerir el cbu, le envió un comprobante falso de transferencia, pero por un monto mayor al solicitado, supuestamente por error, para pedir que le revirtiera la diferencia… obviamente, el pago inicial no había existido.
“En otros casos, el supuesto adquirente dice que la transferencia está bloqueada y consigue, a través de una serie de engaños, que el vendedor le pase sus claves de home banking. Siempre hay ardides para hacerse de esos datos, es la principal vía de estafas”, detalló la abogada.
Al hablar de formas más sofisticadas, aludió al ‘phishing’, que es la suplantación de identidad, por el que se reciben mail o mensajes de whatsapp desde cuentas falsas, que simulan provenir desde el banco o Netflix, o Mercado Libre, con logos incluidos y piden ingresar a un enlace.
“El cliente confiado hace click en ese link y a partir de ahí se infecta el dispositivo, o lo lleva a un formulario falso, que le roba las claves y contraseñas –añadió la abogada-. Son todas modalidades que se valen del desconocimiento general de las personas, frente a las oportunidades de este nuevo comercio electrónico y la buena fe de la mayoría de la gente”.
Una forma de protegerse frente a esos intentos es observar en la carga de página que el inicio de dirección ‘https//www’ presente el certificado de seguridad, sobre todo al momento de ingresar a un banco, pero también para cualquier otro tipo de enlace.
Lo más seguro, recordó la abogada, es tipiar directamente la dirección a la que se pretende ingresar, para no hacerlo sobre el link que recibimos con algún tipo de requerimiento o promoción. Entonces se podrá constatar si es real o si se trata de un engaño por suplantación de identidad.
Aunque sea reiterativo el mensaje, no está demás recordar que nunca deben brindarse claves por teléfono, ya que ningún banco las solicita, como tampoco los organismos oficiales. Esto se dio con ANSES, a través de ofrecimientos del Ingreso Familiar de Emergencia, en la pandemia, mientras que hoy los delincuentes podrían aprovechar la circunstancia del formulario del subsidio energético, por lo que hay que estar atentos a rechazar cualquier tipo de llamados con ese tipo de engaños.
La responsabilidad de los bancos
Quintana también llamó la atención sobre la responsabilidad de los bancos, ya que ha habido casos de estafas a clientes en las que se evidenció la insuficiente seguridad por parte de estas entidades.
“Muchas veces se vulneran derechos de consumidores y usuarios, porque el banco no cuenta con la seguridad adecuada, o no da respuestas –dijo la Dra. Quintana-. Un ejemplo es el de los créditos pre aprobados, que está disponible para personas con determinados sueldos y tienen disponible un préstamo por 500.000 pesos. Los ciber delincuentes lo solicitan, se los otorgan inmediatamente y lo transfieren a una cuenta de terceras personas”.
“Siempre planteamos que los bancos no tienen protocolos de contralor frente a la solicitud del crédito pre aprobado, ni mínimas medidas para que las persona se presenten para corroborar que fue ella quien lo solicitó”, añadió.
La abogada indicó que hay muchos casos de este origen y la mayoría se resuelve a favor de los usuarios, ya que los bancos conocen la conducta de sus clientes y si uno de ellos de pronto comienza a extraer dólares y a venderlos, puede tomar los recaudos para cerciorarse de que sea efectivamente el titular de la cuenta quien esté realizando el movimiento.
“De lo contrario, se vulneran derechos del consumidor y luego tiene que tramitar la restitución del dinero dilapidado o el crédito solicitado –indicó-. El consumidor es el eslabón más débil de la cadena”.
La ‘porno venganza’ o la ‘sextorsión’
Además de los delitos contra la propiedad, aparecen también en la lista los vinculados a los delitos digitales contra la integridad de la imagen o el buen nombre de las personas, como puede ser la exposición pública de un video o una foto íntima de una persona, con el fin de perjudicarla.
“La mal llamada ‘porno venganza’ busca generar una calumnia o injuria contra la persona y también afecta su integridad psicológica, porque provoca lesiones en la psiquis –detalló la abogada-, debido a la masividad y viralización que facilitan los medios digitales, de forma inmediata. Esto ha proliferado mucho, incluso entre o contra menores de edad, lo que es más grave”.
Desde el punto de vista legal, este delito se encuadra como injurias o incluso también como lesiones, ya que no hubo modificaciones para adaptar el Código Penal a este tipo de delitos cometidos en soportes digitales, según precisó Quintana.
“Lo que se denomina ‘sextorsión’, cuando se exige a una persona hacer algo a cambio de no divulgar imágenes íntimas en redes, generalmente para que consienta algo dentro de una relación de pareja, se encuadra penalmente como una extorsión –añadió-. Si amenazo a alguien para que me dé dinero a cambio de no publicar las imágenes, es la conducta típica de la extorsión”.
Vale recordar que el Código Penal reprime con penas de 3 a 6 años de prisión a ese tipo de delitos.
No es recomendable hacer reclamos en perfiles públicos
Quitana también advirtió contra la tendencia de muchos usuarios de dejar reclamos en perfiles públicos de bancos, empresas o entidades públicas.
“Muchas de estas entidades tienen cuentas de Facebook, Instagram o Twitter y a veces la gente, en su frustración y en el afán de obtener respuesta, dejan reclamos en esos muros que son de acceso público. Para los delincuentes es fácil rastrearlos y ubicar a quien hace el reclamo, por lo que luego le hacen un llamado o envían un mail apócrifo, diciendo que se comunican desde el banco o de la empresa cuestionada para resolver el reclamo”.
Y añadió: “Ese es el puntapié inicial para que la gente confíe y termine entregando datos sensibles, como contraseñas o el doble factor de autenticación, por lo que no es recomendable dejar comentarios en esos espacios públicos”.
El valor de los datos
La abogada también reflexionó sobre la falta de conciencia por parte de la mayor parte de la sociedad en torno a la protección de cada uno de nuestros datos, que se constituyen en un activo de vital importancia en el mundo actual.
“Usamos un montón de redes sociales y aplicaciones a las que regalamos nuestros datos, porque concedemos un montón de permisos y accesos cuando descargamos esas app, que no son gratis, sino que las pagamos con nuestra información, que luego se vende en el mercado negro", advirtió.
"Y también sirve para compra venta y transferencia internacional de información para perfilar nichos para mercado tecnia, para luego ofrecer un producto. Hay una ley de protección de estos datos y las empresas que los manejan (colegios, clínicas, instituciones públicas) tienen la obligación de protegerlos para evitar filtraciones. Hay infinidad de instituciones que fueron noticia por esas filtraciones. Es muy importante tomar conciencia sobre esto”, concluyó.
Quintana detalló también que en el total de casos que lleva en su estudio, el 36% son ciber estafas y el 54.4% calumnias e injurias, de las cuales el 30% incluyen violencia de género y el 9% ransomware, que define a los 'secuestros' de información de un equipo informático de manera remota, para lo cual luego se exige un pago como rescate para recuperar la información.
77 denuncias por fraudes que involucran a bancos
Por su parte, el abogado Guillermo Zamora, referente de la Asociación Argentina de Derecho Informático, hizo referencia también a que el año pasado tuvo 77 casos vinculados a defraudaciones cometidas por vulneración de sistemas de bancos, en la ciudad de Trelew.
“La mayoría de las personas perjudicadas fue porque sufrieron algún tipo de engaño para entregar sus datos, sólo tres o cuatro de los clientes que representé me negaron haber entregado información –detalló ante la consulta de esta agencia-. Incluso le pasó a una persona que trabaja en un banco, que se supone que está preparada y sin embargo cayó en estos engaños”.
Zamora también hizo referencia a lo llamativo que resultó que uno de los bancos, que concentraba el mayor número de casos, reconocía el problema en la primera audiencia celebrada en Defensa del Consumidor y aceptaban la cancelación del crédito mal otorgado a un tercero, o dejar sin efecto el reclamo por gastos fraudulentos mediante la tarjeta o cuenta vulnerada.
“Esto es indicador de que saben que su sistema es muy vulnerable –evaluó-, o que tienen algún tipo de problema interno. Por otro lado, para los delincuentes cibernéticos, robar bases de datos es una pavada, ni siquiera necesitan ingresar a la ‘dep web’ (la “internet profunda”, donde hay contenidos no hallables a través de los motores de búsqueda más conocidos), sino que circulan temporalmente en aplicaciones como Telegram”.
Finalmente, Zamora dejó un concepto que ayuda a entender mejor por qué cada vez se perfeccionan más estas formas de delito: “El que se dedica a este tipo de delitos, está las 24 horas atento a cualquier posibilidad, a la pesca. No es como una persona común que trabaja en determinado horario”.
Demasiada ventaja, frente a quienes consumen gran parte de su tiempo en tratar de trabajar o generar recursos para vivir de un trabajo digno, o un comercio o actividad empresaria lícita.