Crecen los ciberdelitos: Especialista brinda consejos para no ser víctima

Antes era el cuento del tío por teléfono, ahora es a través de las plataformas digitales. En las últimas semanas fueron noticia estafas a través de la internet, desde cuentas de redes sociales hasta cuentas bancarias. Generalmente las personas caen en estas estafas a través de mensajes, que reciben por plataformas digitales, de cuentas que se hacen pasar por los canales oficiales de comunicación de las mismas redes. Cuando no se puede advertir este engaño, es que sucede el ciberdelito.

Estos ciberdelitos son cada vez más comunes, por eso desde Portal Universidad nos pusimos en contacto con Santiago Trigo, perito informático e ingeniero especialista en seguridad informática del Ministerio Público de la Provincia de Buenos Aires, que comentó: “Las nuevas modalidades son excusas muchas veces. A veces sí son nuevas modalidades, pero lo que se reinventa es la excusa para engañarte. Por lo general decimos que un hacker me entró a la cuenta del banco y me robó toda la plata, son especialistas informáticos. Tenemos que empezar a descreer de eso, en realidad los delincuentes no son especialistas informáticos, sino que son especialistas en vulnerar personas.”

Tenemos que empezar a descreer de eso, en realidad los delincuentes no son especialistas informáticos, sino que son especialistas en vulnerar personas.

“Utilizan técnicas con alguna excusa, que facilitan que la que le termine dando el acceso al sistema sea la propia víctima” dijo Trigo. Desde el famoso cuento del tío hasta un cuento electrónico que te dice que bloquearon tu cuenta bancaria y te piden que pongas todas las claves, las excusas fueron variando. En la pandemia se acrecentaron, “primero fue del IFE, te llamaban del gobierno diciéndote que tenías un IFE para ser abonado en tu cuenta, te pedían el “token” sin saber que eso era un acceso maestro a tu cuenta bancaria y así te hacían transferencias ilícitas, préstamos y adelantos de sueldo. Eso desde marzo de 2020 hasta agosto de 2021 fue algo que se exponenció de sobremanera” agregó.

En julio de 2021, el Banco Central estableció una nueva normativa que definió que los préstamos no sean inmediatos. Antes se hacían desde la computadora o el celular, pero a partir de ese momento se definió un período de entre 24 y 48 horas para que estos sean acreditados y el banco además realiza una identificación del usuario, poniéndose en contacto y verificando que el dueño de la cuenta era, efectivamente, el que solicitaba el préstamo: “Ahí se vieron perjudicados los delincuentes, porque ya no era tan rentable, dependían de la plata dentro de la cuenta”.

Posteriormente aparecieron las estafas por WhatsApp, por ejemplo, con la excusa de turnos para vacunación. La mecánica era decirle a la víctima que iba a recibir un código por mensaje de texto y una vez que la víctima lo recibía, le pasaba el contenido del SMS a la persona que le hablaba por WhatsApp para que le confirmara el turno. Pero lo que lo que uno recibe por ese SMS no tenía nada que ver con la vacunación, sino que era el token o clave de autenticación de WhatsApp y cuando esa víctima entregaba el número de 6 dígitos, la persona que realizaba la estafa accedía remotamente a la cuenta de la víctima y se quedaba sin cuenta de WhatsApp, “una vez que hacían eso acudían a los contactos de distintas maneras, o le ofrecían dólares a muy bajo costo o le pedían algún préstamo de dinero. Cuando un contacto creía que estaba hablando su conocido, accedía a ese préstamo o a la compra de esos dólares y los delincuentes le pasaban un CBU para que transfieran a esa cuenta y les robaba la plata a esos contactos, aprovechando la ilusión de que escribía una persona de confianza” relató Trigo.

Las estafas por WhatsApp son cada vez más frecuentes. Es importante conocer sus mecanismos de seguridad.

¿Cómo funcionan los mecanismos de seguridad de las aplicaciones más usadas?

Todos estos casos nos hacen preguntarnos cómo son las medidas de seguridad de las plataformas y si los sistemas terminan siendo vulnerables. Trigo cuenta que la seguridad en realidad no existe como norma, sino que es una percepción que tiene una persona sobre las cosas, “cuando un sistema me brinde a mi mayores características o configuraciones de seguridad de mi cuenta, más seguro me voy a sentir yo. Pero un sistema 100% seguro a nivel informático no existe nunca, siempre alguna falla va a existir”.

Todas las apps por lo general son bastantes robustas y tienen bastantes mecanismos de seguridad, y Trigo resalta la importancia de saber usar aquellos mecanismos. El de WhatsApp o correo electrónico por ejemplo es conocido “como el doble factor de autenticación, la verificación de 2 pasos. Es importante que lo conozcamos para qué sirve y lo utilicemos: este doble factor nos permite a nosotros tener una segunda opción o forma de autenticarse en mi cuenta. Si yo siempre accedo a mi cuenta de correo electrónico desde mi casa, el proveedor de servicio electrónico, por ejemplo Gmail, va a reconocer ese. En cambio, cuando ingreso desde un dispositivo nuevo, aquí el proveedor va a decir che pará, estás ingresando desde un lugar donde no puedo verificar que seas vos.” Allí, si está configurada la verificación en 2 pasos, la plataforma te pide que ingreses un número que es equivalente al token del banco que te envían a través de correo electrónico o mensajería instantánea.

En estos tiempos en que hacemos muchas compras online y usamos la web para todo, te queremos compartir el ABC para evitar ser víctimas del phishing🎣

Dale RT para que le llegue a todo el mundo!!#SomosAC #SeamosResponsables pic.twitter.com/WlNsJjC8vZ

— Argentina Cibersegura (@arg_cibersegura) November 3, 2021

Otro ejemplo de mecanismo de seguridad es el del “Cifrado de extremo a extremo”, que quiere decir que cualquiera que intente interceptar una comunicación no va a poder ver el contenido porque los únicos que poseen la clave para descifrar esa información son los integrantes de la conversación y se encuentran en cada dispositivo. “La gran diferencia del cifrado extremo de WhatsApp es que ni siquiera los propios servidores de la aplicación, por donde pasa el paquete de comunicación entre vos y yo, pueden leer esa conversación porque las claves están en nuestros dispositivos. No pueden conocer lo que estamos hablando, esta es una función que se activa por defecto, funciona automáticamente”.

Otra cuestión es la de las contraseñas de las cuentas. Muchas veces, cuando accedemos por primera vez desde el navegador más común, Google, este nos ofrece guardar el usuario y clave para que cuando lo volvamos a hacer el acceso sea más fácil. También se recurre a ese guardado para salvar aquellas contraseñas de cuentas que no tienen mucho uso y es más fácil olvidarlas. Pero raramente se contempla el factor de la seguridad. Según el perito, al guardar las contraseñas uno le está dando a Google la posibilidad de conocer las claves porque, en cierta forma, se les está dando acceso, “obviamente Google va a decir que no, porque tiene un mecanismo especial de guardado, pero suponiendo el peor mal, conoce todo”.

¿Cómo se denuncian este tipo de delitos?

Para víctimas de estafa o cualquier delito digital, el medio de denuncia es a través del correo electrónico: denunciasmardelplata@mpba.gov.ar. “Si a uno le pasa esto siempre hay que ser lo más específico posible, detalles, capturas de pantalla, adjuntar todo y enviarlo. Automáticamente eso se recibe en la oficina de denuncias del Departamento Judicial de Mar del Plata y de ahí, si es una estafa se envía a la Fiscalía de Delitos Económicos de Mar del Plata y si es una amenaza, extorsión o otro tipo de delito se derivará a la fiscalía que corresponde”.

Lo difícil de este tipo de delitos es llevarlos a la justicia, pues todo suele permanecer en un estado de anonimidad, “es un poco complejo el tema de identificar las cuentas. Cuando los delincuentes acceden a una cuenta bancaria, por lo general no utilizan sus cuentas personales, sino que empiezan a utilizar cuentas mulas: cuentas bancarias de personas que acreditaron su identidad en una de ellas y que, por desconocimiento, engaño o porque estas fueron robadas, son utilizadas por delincuentes que las usan para mover el dinero”. También es común que suelan atomizar el contenido en distintas cuentas y luego lo vayan moviendo hasta que sea muy complejo rastrear a dónde fue a parar ese dinero.

Sabías que hoy es el #DiadelaInternetSegura ?
Y como todo delito, el cibercrimen debe ser denunciado y es nuestra responsabilidad acercarnos a las Autoridades para hacerlo.#SomosAC #SeamosResponsables #InternetSeguro #SeguridadInformática #Internet #Seguridad pic.twitter.com/gvAh9MuHkJ

— Argentina Cibersegura (@arg_cibersegura) February 8, 2022

Al consultar si se encuentra a los responsables, Trigo contestó que depende del tiempo en que se ataque esa investigación, “si atacamos la investigación en el momento que se produce, es muy probable que sí. Por eso es importante decirle a la comunidad que la denuncia debe efectivizarse de manera rápida, si nos enteramos 2 meses después es probable que no podamos hacer nada. Lo importante es atacar en el momento en que se produce el ardid o el engaño: si cae una víctima en una cuenta falsa de Instagram hay que ir a ver esa cuenta, de donde surge, atacar ahí donde se produce el engaño y después analizar qué ruta hace el dinero”.