Las intrusiones a empresas de alto perfil y entidades sensibles del Estado –nacional, provincial y municipal– y la posterior filtración y venta de bases de datos con información sensible (DNI, nombre completo, mail, cbu, historial médico, etc) en la “web profunda”, es un delito cada vez más común y supone un riesgo para quienes figuran en esos registros.
Esto en parte se debe a que las empresas e instituciones estatales víctimas de ciberdelincuentes dan poca difusión de estos incidentes o suelen moderar la magnitud para “suavizar” la información que se vaya a publicar en la prensa. La razón de esas conductas es moderar la caída de su reputación y evitar acciones legales de los afectados y las potenciales víctimas de estafas digitales en el futuro.
Este tipo de delitos es más común de lo que se cree y las razones de que esto ocurra son variadas. El eslabón más débil de la cadena es la falta de educación digital de la sociedad. Entender el ciberespacio como un lugar aséptico y pacífico es el primer error, el segundo es pensar que los dispositivos digitales y sus aplicaciones son a prueba de fraudes o 100 por ciento seguras.
La digitalización de la vida social y en especial de la financiera, aumenta el peligro de ser víctima de un ciberdelito debido a que ambas cuestiones habitan en esas mini computadoras que se guardan en los bolsillos y carteras. Los mal llamados teléfonos inteligentes (smartphone). Pagar con QR, hacer transferencias inmediatas por home banking, utilizar billeteras virtuales, transaccionar criptomonedas en la blockchain, intercambiar datos personales y claves con conocidos en Whatsapp es una comodidad enorme. Pero estas acciones tienen riesgos elevados si se es víctima de phishing, se dejó abierto el teléfono en la mesa de un bar o se conectó a una red WiFi pública insegura.
Los crackers y ciberdelincuentes –hacker es un término equivocado para definir este tipo de conducta criminal– trabajan, en primer término, las vulnerabilidades humanas y en segundo lugar, las que ofrecen los sistemas digitales. Las dos van de la mano.
Para reducir riesgos, hay que modificar prácticas que están naturalizadas respecto al uso de apps y seguir algunos concejos básicos de seguridad que ofrece el Ministerio Público de la Provincia de Buenos Aires:
¿Qué es el Phishing?
Es un delito que consistente en engañar a las personas haciéndose pasar por algún conocido o empresa importante para conseguir datos personales, por ejemplo: claves de acceso y contraseñas, números de cuentas bancarias, números de tarjeta de crédito, identidades, etc. Es similar al "cuento del tío", pero se lleva a cabo por redes sociales, aplicaciones, sitios web, correos electrónicos o servicios de mensajería.
¿Cómo operan los delincuentes?
Habitualmente, crean una página web similar a la de alguna organización conocida y envían de forma masiva correos electrónicos requiriendo actualización de datos. El correo suele informar que se registraron aparentes operaciones en la cuenta bancaria, o que la cuenta del usuario fue bloqueada, entre otras excusas y colocan el enlace a la página web falsa.
Otro instrumento por el cual quienes cometen este delito actúan es el teléfono; utilizan información personal pública o robada, para evaluar a sus víctimas. Por ejemplo, envían un mensaje al celular de la víctima que afirma que la persona ganó un aparente premio y le piden que llame al número señalado en el mensaje, o hacen una llamada para pedir una supuesta validación de datos. Con estas excusas buscan ganar la confianza del atacado para obtener datos sensibles como el PIN o la clave de acceso a tu cuenta o, inclusive, pueden solicitar que se dirija al cajero automático.
¿Qué impresión buscan causar en la víctima?
Que debe actuar de forma inmediata, ya que si eso no ocurre, la víctima se verá perjudicada: pierde el dinero de la cuenta, no accede al premio, subsidio, beneficio, etc.
¿Cuáles son algunas de las excusas que utilizan al momento de contactarse?
Cobrar una asignación social o subsidios, acreditación de un premio, nuevos beneficios, etc. Cualquier excusa capaz de captar la atención de la víctima.
Además, se han detectado mensajes a través de servicios como WhatsApp y Redes Sociales, así como también por SMS -Smishing- los que ofrecen cupones de descuento, encuestas o premios por rellenar una encuesta con datos personales. De la misma manera, la web a la que te remiten es falsa.
¿Cómo prevenir el Phishing?
Evitar dar información confidencial por mail, por teléfono o cualquier red social, tales como, números de cuenta, clave de la tarjeta de crédito o contraseñas de acceso a redes sociales o cuentas de correo.
Tener en cuenta que quienes cometen este delito, se hacen pasar por una empresa o servicio conocido y los enlaces presentes en los correos electrónicos redirigen a páginas fraudulentas que simulan ser las oficiales.
Si se deben actualizar datos personales en algún sitio web oficial, es recomendable escribir la dirección de ese sitio directamente en el navegador. Nunca ingreses mediante links o archivos adjuntos, tampoco usando los buscadores.
También es importante evitar descargar archivos adjuntos para prevenir que instalen un malware o programa malicioso en tu computara para robar tu información personal.
Si es un llamado por teléfono:
Cortar la llamada, buscar y marcar el número telefónico oficial de la organización desde la que se quisieron comunicar y chequear. Nunca hay que brindar datos personales cuando llamen si la misma no fue solicitada de antemano por quien la recibe.
¿Qué hacer si se recibe un correo de phishing y correos de spam o una llamada telefónica?
Si es un correo, no responderlo, eliminarlo, denunciar. Si es una llamada, no responder o cortar inmediatamente.
¿Qué hacer para fortalecer la seguridad?
1. Ante la menor sospecha, cambiar inmediatamente las contraseñas.
2. Evitar difundir información personal a través de redes sociales, mantener la configuración adecuada, evitar tener la red social pública.
3. Evitar dejar datos en páginas web de dudosa procedencia o páginas de pagos sin el certificado de seguridad.
4. Utilizar contraseñas únicas para cada servicio, con al menos 8 caracteres diferentes que incluyan mayúsculas, minúsculas, números y caracteres especiales.
5. Para realizar cualquier tipo de operación bancaria o comercial, hacerlo desde una red de WIFI privada y una computadora personal.
6. Es recomendable aplicar un filtro antispam o herramientas que bloquean el correo considerado como “no deseado”. Mantener al día las actualizaciones de tu antivirus y antispam.
7. Catalogar como spam los correos sospechosos, con títulos extraños y provenientes de direcciones desconocidas.
8. Siempre corroborar la dirección URL de la página web a la que accedas, no debe tener alteraciones tales como: faltas de ortografía, reemplazo de letras por números, minúsculas por mayúsculas o a la inversa.
¿Qué hacer en caso de haber sido víctima?
Denunciar ante la fiscalía de turno y aportar todas las pruebas de cargo que se tengan, tales como capturas de pantalla, los mails fraudulentos, certificados bancarios que demuestren los cargos ilegales que se hayan sufrido en las cuentas, etc.
Se debe informar a la entidad bancaria sobre este hecho, para que establezca mecanismos de seguridad que eviten posibles cargos fraudulentos.
Más información
