Tatiana e Ignacio dicen lo mismo. Jamás pensaron que algo así podría pasarles, que serían víctimas de phishing, un tipo de estafa que se lleva a cabo en esa aparente burbuja llamada "nube", el mundo digital.
La palabra phishing deriva de pescar en inglés. El director ejecutivo de la empresa de seguridad informática Eset en Uruguay, José Luis López, la define como "pescar incauto". Según la líder del Centro de Respuesta a Incidentes de Seguridad Informática de Lacnic, Graciela Martínez, el phishing es un método de engaño a usuarios diseñado para robar información sensible. El mecanismo es siempre el mismo: se presentan recursos fraudulentos como legítimos -un mail, un mensaje de texto, una página web y muchos etcéteras-, para que la persona crea que está ingresando a un sitio legítimo que en realidad no lo es.
Rosario, por ejemplo, quería sacar la visa de Estados Unidos y buscó en Google las palabras clave para iniciar el trámite. La primera opción del buscador era una web que, idéntica a la de la embajada de ese país, la llevaba a completar una serie de pasos para luego "pagar" la visa con la tarjeta de crédito y así solicitar la agenda. "La única manera de hacerlo era a través de Abitab. Te daban un numerito con el que ibas ahí a pagar. Esa web te cobraba el costo de la visa y era tremenda estafa. Mucha gente cayó en esa", cuenta su sobrina.
Hoy, el panorama para los estafadores es el ideal: su forma de proceder es cada vez más sofisticada y la pandemia, entre miles de millones de personas conectadas a infraestructuras digitales débiles, no ha sido más que la tierra fértil que se necesitaba para la proliferación de estos delitos. "Una vez que hice la denuncia me enteré de la cantidad de phishing que está habiendo ahora. Nos encerramos todos, estamos todos teniendo una vida superdigital, para comprar, vender, dialogar con el banco. Estamos todos en esa y se empezaron a aprovechar de que estamos conectados todo el tiempo", cuenta Tatiana, que además trabaja en publicidad.
Con más peces en el mar y más y mejor carnada, la cantidad de gente propensa a caer en estos delitos es cada vez mayor. Hasta el experto en ciberseguridad José Luis López se incluye diciendo que "todos podemos ser incautos", lo que parece decirlo todo.
Estadísticas de Lacnic -Registro de Direcciones de Internet de América Latina y el Caribe- arrojaron que en 2020 hubo más de 25% de crecimiento en la cantidad total de estos incidentes reportados. Martínez, de Lacnic, dice que a estos datos habría que sumarles los casos subreportados; es decir, los que no llegan a hacer una denuncia, que, asegura, son muchos. Cree que el aumento de las estafas cibernéticas tiene detrás una explicación evidente: la vida poco a poco se montó en Internet con el fin de "facilitarles la vida a las personas". No aumentó de la misma forma, sin embargo, la preocupación por enseñar y educar sobre el buen uso de la tecnología y sus riesgos.
Según datos del Departamento de Delitos Financieros de Interpol, entre enero y mayo del 2021 hubo 183 denuncias por estafa, la mayoría por phishing, falsificación de documentos, apropiación de tarjetas y ventas por redes sociales (marketplace) que nunca entregan el producto.
Entre los estafadores más maliciosos están quienes se aprovechan del aumento del desempleo y la pobreza; de las vulnerabilidades en plena pandemia. "El hecho de que todos estemos interconectados ha hecho crecer los ataques de phishing con la promesa de que alguien va a obtener empleo o va a conseguir dinero", explica la experta en ciberseguridad y parte del cuerpo docente de ORT Ethel Kornecki.
Falsa burbuja. Nadie cuenta la plata en medio de una avenida llena de gente. En la vida terrenal, por lo general, hay una cierta prudencia y también límites autoimpuestos sobre cuándo confiar o desconfiar. En ese mundo intangible llamado Internet, no obstante, predominan el descuido, la excesiva confianza o la verdadera falta de conocimiento sobre los peligros latentes. El director ejecutivo de Eset hizo una comparación atinada con el concepto de burbuja social como solución o alternativa para disminuir los contactos en pandemia: la verdadera burbuja suele ser mucho más grande que aquella en la que las personas creen estar. Lo mismo pasa en el mundo digital. "Cuando estamos en Internet, no sabemos cuánta gente hay acechando alrededor". Por eso, asegura que el factor de mayor vulnerabilidad suele ser el usuario, un ser humano "falible a ciertos espejitos de colores", como una oferta que luzca maravillosa, un mensaje de un supuesto familiar, un auto ganado en un sorteo (pese a no haber participado en ninguno), por mencionar solo unas pocas -tal vez las más obvias- estrategias de estafa.
Los atacantes tienen muy claro que gran parte de su éxito depende de lo creíble o no de su estrategia. Ya no tienen faltas de ortografía ni mandan mails en idiomas extraños. Tampoco se limitan a prometer dinero o alguna otra rareza que lleve a sospechar de la legitimidad del mensaje. Y hace tiempo que las presas del ciberdelito no son únicamente aquellas personas con bajo uso de estas tecnologías. No es cuestión de ser o no nativo digital, millennial, centennial o baby boomer. Como le pasó a la madre de Tatiana o a Valentina, ahora es común que para engañar los atacantes recurran al mismo problema que ellos generan: la falta de seguridad digital. Por eso es muy probable que caigan en la casilla uno o varios mails de un supuesto soporte técnico de Microsoft o del banco sugiriendo cambiar una clave o entrar a un enlace para proteger la cuenta.
Nunca un banco se va a contactar con nosotros pidiendo un cambio de credencial", asegura Ethel Kornecki. En cualquier caso, el consejo que brindan los expertos es no ingresar a ningún link de este estilo que llegue a través de un mail. Ante la mínima duda, no arriesgarse. En cualquier caso, teclear directamente el sitio web en el navegador, o llamar por teléfono. López agrega: "El principal punto de todo esto es que el usuario acepte algo sin contar hasta 100 antes de tocar un enlace".
Desde guardar el número de tarjeta en un dispositivo hasta tener una misma contraseña para todo, hay costumbres en el mundo digital que son errores tan garrafales como sus posibles consecuencias. Nada parece indicar que la tecnología deje de tener lugar para el phishing. Por eso, la solución o vía para prevenir estas estafas, por el momento, es el cambio de actitud del usuario. Los expertos recomiendan usar contraseñas largas (verdaderamente largas) de unos 18 caracteres por una simple razón: los hackers no tantean contraseñas a mano, sino que un software hace todas las posibles combinaciones hasta llegar al momento eureka.
Aunque parezca una obviedad, también sugieren que las contraseñas no estén relacionadas con datos o intereses personales, como fecha de nacimiento, cédula o equipo favorito. "La seguridad, mientras más segura es, más incómoda resulta para el usuario", comenta López, de Eset.
Además de usar contraseñas largas y difíciles, también es seguro hacer uso del factor de doble autenticación, es decir, que además de una contraseña se reciba un código que la complemente (por mail o sms) con una vida útil de pocos segundos para poder ingresar. "No es infalible, y también es incómodo, pero te da un poco más de seguridad", señala López. Un token es otro elemento para agregar seguridad. Son pequeños dispositivos físicos -como pequeñas llaves electrónicas- que se usan como complemento a las contraseñas para acceder a un recurso restringido electrónicamente.
Pero guardar en la memoria más de 10 contraseñas diferentes es una misión casi imposible. Una opción para facilitarla son los gestores o repositorios de contraseñas. Kornecki menciona dos de ellos: KeePass y LastPass. Son gratuitos y están encriptados, aunque, de nuevo, nada es 100% infalible. Para el gestor, Kornecki aconseja utilizar la contraseña más fuerte y difícil de todas (por ejemplo, mezclar todo tipo de símbolos y signos), y guardar al menos esa en la memoria.
Y antes, durante y después, desconfiar. Según López, es el consejo más importante de todos. "El sentido común debería ser llevado a su máximo poder, desconfiando de todo", enfatiza.
A la acción. Tras unas intensas semanas, Tatiana y su madre lograron recuperar buena parte del dinero, y el banco se hizo cargo del resto. Tatiana entiende que, dentro del mal trago, tuvieron algo de suerte. Su madre entró a la cuenta al día siguiente y enseguida pasaron a la acción, lo que impidió que los estafadores eliminaran todo tipo de rastro. En estos casos, la rapidez es fundamental. Es por eso que los expertos también aconsejan revisar -en lo posible todos los días- las cuentas bancarias y chequear periódicamente los movimientos. Y si nota que fue estafado, el primer paso es mantener la evidencia, lo que permitirá luego detectar desde qué dirección de IP se hizo el ataque. "Si apagamos el celular o el dispositivo, sobreescribimos sobre la evidencia. La idea es hacer la denuncia, pero llevar o hacer la copia de esa información. Si no sabemos hacerlo, contactar a un experto que nos ayude a hacer la denuncia", señala Kornecki.
Hacer la denuncia de inmediato es clave, ya que el secreto bancario impide a estas instituciones pasar a la investigación si no hay una denuncia de por medio. Paralelamente, se recomienda actuar "normalmente" para que el atacante no se dé cuenta y borre su traza.
Una vez hecha la denuncia, la estafa pasa a manos del Departamento de Delitos Informáticos y la institución financiera involucrada. Quienes robaron los ahorros de Tatiana trataron de no levantar sospechas y transfirieron el dinero de su cuenta a varias de clientes del banco con el mismo apellido de la víctima. Con la denuncia hecha, el banco esperó a que cada una de estas personas hiciera una transacción para pedirles que justifiquen el dinero sorpresivamente depositado en su cuenta. Al no justificarlo, el dinero se reintegró a la cuenta de Tatiana. "A mí una vez me pasó que me depositaron 3.000 pesos. Los estafadores le depositan a otra persona, eso es lo curioso. No se depositan a ellos mismos, sino a otra gente", explica. Una parte del dinero, sin embargo, ya había sido retirada por los atacantes. En este caso, la institución financiera se hizo cargo. "Hay una responsabilidad de la seguridad del banco, que es frágil, aunque no depende todo de él. A nosotras lo que nos ayudó fue lo rápido que nos dimos cuenta", añade.
No fue el caso de Ignacio, a quien el banco le respondió que no se haría responsable, y que los datos utilizados para hacer las transferencias eran válidos. "En ese banco nunca pude hacer transferencias, porque no tenía activada la tarjeta de coordenadas. Solo me dejaba hacer transferencias de la cuenta de dólares a pesos. Ellos, como banco, tienen la constancia de que nunca en mi vida hice una transferencia", lamenta. "No tengo ni idea de cómo pudo haber pasado, no sé si fue por el mail que me entraron. A los días me cayeron todos los mails de todas las transferencias, los códigos que activaron, me llegó todo", cuenta.
Aunque recibió un no definitivo por parte del ejecutivo de Cuentas del banco, Ignacio dice que no va a parar hasta que logre recuperar su dinero. Hizo la denuncia ante el Banco Central y su caso está en Fiscalía. "Es mi plata, me costó mucho trabajo y la tenía en el banco para cuidarla. Me duele pensar en lo que me privé para ahorrarla, y que venga una persona y me la robe", agrega.
Prevenir puede ser trabajoso y algo incómodo, pero quienes fueron víctimas de una estafa cibernética saben que el daño ante cualquier descuido es mucho mayor. Aunque por fortuna su caso está resuelto, Tatiana, que se volvió consciente de la magnitud del problema, tiene la necesidad de contarlo para que otros no tengan que sufrirlo. "Todo es en un segundo, y hay gente a la que le pasa algo peor que a mí. Lo mío eran ahorros para casarme, no para comer. Hay gente que realmente debe estar pasando mal", concluye.