Durante la pandemia este tipo de fraude que se realiza a través de mails, mensajes de texto, llamadas o WhatsApp, creció al menos un 50%. En este Informe Especial de Quántica Radio, cómo funciona el “cuento del tío” de la era digital, las cifras en el país, las empresas más suplantadas, cómo prevenirlo, qué dice la ley y dónde denunciar.
Desde que irrumpió la pandemia de Covid-19, millones de personas debieron adaptarse a las nuevas tecnologías de manera prácticamente obligatoria. Los estudiantes y sus familias, los maestros, los trabajadores con el home office y los propietarios de negocios, son sólo algunos ejemplos. Y en este tiempo de adaptación los ciberdelincuentes aprovecharon para perfeccionar e incrementar las estafas a través de Internet. La mayor permanencia en los dispositivos y las menores barreras de seguridad que generalmente tenemos en las conexiones hogareñas se convirtieron en una oportunidad inmejorable para los atacantes, y el fraude mediante phishing aumentó un 50% en el último año, según datos del Centro de Ciberseguridaddel GCBA. ¿De qué se trata esta estafa y cómo prevenirla?
Qué es el phishing
El phishing es un tipo de fraude muy común y ser víctima de él es más fácil de lo que se cree. Es el famoso “cuento del tío” de la era digital. Generalmente se concreta cuando la persona recibe un mail que aparenta ser de un banco, de la tarjeta de crédito, de Facebook u otra red social, en donde se solicita completar datos personales (como contraseñas, claves bancarias, datos de tarjetas de crédito, u otra información confidencial). Esto habilita la redirección a un sitio que, si bien se ve igual al original, resulta falso y una vez que la víctima detalla la información requerida se concreta el robo. En otras palabras, es un conjunto de técnicas de ingeniería social y manipulación que utilizan los estafadores para que sus víctimas les entreguen voluntariamente los datos y la información necesaria para acceder a sus cuentas. Y la maniobra no suele terminar con el vaciamiento de las mismas: es habitual que se solicite un crédito al banco y que se extraiga su monto también, así el daño al titular suele ser muy grande.
Este tipo de fraude digital que suplanta la identidad también se realiza por mensajes de texto y llamadas, con el objetivo de robar información personal, dinero o provocar que se descargue un virus, aunque también pueden buscar tomar el control del dispositivo o computadora. El ciberdelincuente puede fingir que trabaja en una empresa de servicios y hay un problema con la facturación; o puede hacerse pasar por representante de un banco y presenta una oferta falsa diseñada para robar datos financieros del damnificado. También puede fingir que es empleado de una institución pública y solicitar información a nombre de la entidad, o pedir un número de cuenta para realizar un supuesto pago del gobierno.
Se le da el nombre de phishing porque el ciberdelincuente sale de “pesca” (“fishing”, en inglés) con un “cebo” atractivo para ver si alguna víctima “pica” en el vasto “océano” de los usuarios de Internet. Independientemente de si se desarrollan por correo electrónico, por redes sociales, por SMS o mediante cualquier otro sistema, todos los ataques de phishing siguen los mismos principios básicos. El atacante envía una comunicación dirigida con el fin de persuadir a la víctima para que haga clic en un enlace, descargue un archivo adjunto o envíe una información solicitada, o incluso para que complete un pago. La naturaleza del engaño queda a la imaginación y la habilidad del atacante, y con el crecimiento de las redes sociales los “phishers” tienen acceso a más información personal que nunca sobre sus objetivos. El sitio del antivirus Avast explica los distintos tipos de phishing:
Phishing por correo electrónico: los mensajes de correo electrónico son el método más común para entregar el cebo del phishing. Estos mensajes suelen contener enlaces que llevan hasta sitios web maliciosos o archivos adjuntos infectados con malware.
Phishing por sitio web: los sitios web de phishing, también conocidos como sitios falsificados, son copias falsas de sitios web que la persona conoce y en los que confía. Los hackers crean estos sitios para engañarlos de modo que introduzcan sus credenciales de inicio de sesión, que a continuación utilizarán para conectarse a sus cuentas. Las ventanas emergentes son otra fuente habitual de phishing por sitio web.
Vishing: es la abreviatura de «voice phishing» (phishing de voz). El atacante intenta convencer por teléfono a las víctimas para que revelen información personal que pueda utilizarse más adelante para el robo de identidad.
Smishing: el smishing es phishing mediante SMS. Recibe un mensaje de texto donde se le pide que haga clic en un enlace o descargue una aplicación. Sin embargo, al hacerlo se le engaña para que descargue en su teléfono un malware que puede captar su información personal y enviarla al atacante.
Phishing por redes sociales: algunos atacantes pueden colarse en las cuentas de redes sociales y forzar a la gente a enviar enlaces maliciosos a sus amigos. Otros crean perfiles falsos y los utilizan para engañar a sus víctimas.
Cifras del phishing en el país
Más home office, más redes sociales, más videollamadas y más Netflix. El aumento del uso de internet durante la cuarentena obligatoria trajo aparejado el accionar de bandas criminales que aprovechan las vulnerabilidades de la red y sus usuarios. Así lo indican estadísticas oficiales y de organizaciones que combaten el cibercrimen. En el primer mes de aislamiento social, preventivo y obligatorio, el Centro de Ciberseguridad de la Ciudad de Buenos Aires registró un aumento del 44% en consultas sobre seguridad informática, en comparación al mismo período del año anterior. Además informó que el 41% de los ataques fue bajo la modalidad de phishing. En 2020, solo en CABA, se detectaron 190 denuncias por estos hechos, lo que significa un incremento del 143%. Si a eso se le suma el ámbito nacional, con los datos que tiene la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI), que depende del Ministerio Público de la Nación, los delitos se incrementaron en un 50%. En igual sentido, la Asociación Argentina de Lucha Contra el Cibercrimen (AALCC) informó una suba del 30 % del phishing y falsas campañas de recolección de fondos por el coronavirus.
Se destacan las campañas en las que se engaña a los usuarios mediante una comunicación de “carácter urgente”, es decir, que requieren una acción inmediata para evitar una supuesta consecuencia negativa. Se les dice que deben renovar la contraseña, aceptar algunas condiciones por cambio de políticas o actualizar datos, y de esa manera logran obtener las credenciales de acceso a cuentas bancarias.
Las empresas más suplantadas
Gran parte de las campañas de phishing operan explotando los nombres de empresas, marcas y productos conocidos. El objetivo que persiguen los criminales es hacer pensar a los usuarios que el mensaje procede de una entidad legítima, aumentando así las probabilidades de que haga clic y pueda activar la descarga del malware. Por eso, las marcas más populares son también las más suplantadas.
Los ataques que se hacen pasar por productos de Microsoft han experimentado un importante repunte durante la pandemia a nivel mundial. De manera involuntaria, la multinacional ha pasado del quinto lugar al primero en este ranking: en el tercer trimestre de 2020 un 19% de los intentos de phishing con marcas en todo el mundo trataron de confundir a los usuarios haciéndose pasar por productos Microsoft, en comparación con el 7% del anterior. Por detrás de Microsoft, la empresa de paquetería DHL fue la segunda más suplantada (aparece en el 9% de los ataques de phishing analizados), y Google ocupa el tercer lugar. Los siguen PayPal y Netflix y, completando el top 10 están Facebook, Apple, WhatsApp, Amazon e Instagram.
En Argentina los casos de phishing más comunes han suplantado la identidad de famosas firmas bancarias para aprovecharse de la inocencia digital de los clientes. También aparecieron casos de falsos empleados de Anses que se contactaban por teléfono o WhatsApp con la excusa del cobro del Ingreso Familiar de Emergencia (IFE) de 10.000 pesos. Durante el engaño te decían que para cobrar el dinero debías informarles tu número de cuenta bancaria o transferir determinada cifra a otra cuenta.
Mientras que también se multiplicaron los casos de phishing de Netflix. Debido a la popularidad de esta plataforma, que se estima se encuentra presente en cerca del 20% de los hogares argentinos, era cuestión de tiempo para que algún delincuente informático encontrara la forma de sacar provecho. En realidad, la plataforma padeció en su historia varias suplantaciones de identidad. Por lo general, el engaño se ejecuta a través de cadenas de mails que denuncian una actividad sospechosa con la cuenta del usuario y piden verificar los datos o un problema en la facturación. De esta forma, se le solicita a usuarios desprevenidos datos de credenciales y cuentas bancarias.
Cómo prevenir esta estafa
Distintos expertos y empresas de ciberseguridad recomiendan algunas precauciones que se deben tener para evitar ser víctima de phishing, entre las principales:
– No ingresar a sitios a través de links que se recibieron por e-mail. Es preferible tipear la dirección del sitio en cuestión directamente en el navegador.
– Prestar atención, sobre todo en sitios bancarios o de comercio electrónico, a que la dirección comience con «https» y que esté bien escrita. Cabe aclarar igualmente que aunque lo más común es que las direcciones fraudulentas comiencen con «http» y las oficiales lo hagan con «https», eso no significa que un atacante no pueda registrar un dominio muy parecido al que desea falsificar y luego adquirir el certificado de seguridad correspondiente para que en ese nuevo dominio aparezca la secuencia «https». Así, señala Eset, es posible que se intenten engaños con direcciones como, por ejemplo, “https://www.twiitter.com” para hacerla pasar por la original “twitter.com”, o “https://www.rnercadolibre.com” para que parezca “mercadolibre.com”.
– No ingresar a sitios críticos desde links que aparecen como resultado en buscadores. Y, en el caso de que por necesidad se haga esto, verificar con cuidado que la dirección a la que se ingresó sea la correcta. Por caso, que sea «bancoprovincia.com.ar» y no «bancsprovincia.com.ar».
– Mantener siempre actualizados el sistema operativo y el navegador.
–No revelar datos personales por teléfono, mail o redes sociales.
–Configurar la privacidad de redes sociales y aplicaciones y evitar exponer información personal.
– Limpiar las casillas de correos electrónicos de spam. El principal medio de distribución del phishing es el correo electrónico. Si tus casillas de correos reciben miles de mails de spam a diario probablemente sea más difícil identificar cuándo un remitente no proviene de una cuenta oficial. Es necesario marcar como spam aquellos remitentes indeseados.
– Prestar atención al texto del mail. Normalmente, los mails que se difunden de forma masiva a la pesca de un desprevenido, suelen incurrir en errores gramaticales, palabras inusuales y hasta errores de ortografía, de tipeo y de traducción, más que nada, por estar configurados por traductores electrónicos o de forma automatizada.
– Si te apuran, no confiar. Es un punto clave del phishing. La estrategia de delito suele adueñarse de las técnicas de ventas de publicidad para persuadir a las víctimas con mensajes como “Urgente” o “El servicio se bloqueará en 24 horas”. La meta es no darle tiempo al usuario para que sospeche del discurso.
– Verificar la fuente de información. Si recibís un llamado, un correo, un mensaje de texto de una entidad de la que sos cliente, antes de brindar datos mejor creá un nuevo canal de comunicación. Por ejemplo, ante la llamada de un banco que te solicita información, colgar el teléfono y llamar personalmente a la entidad.
Que dice la ley y dónde denunciar
En el marco legal, una de las primeras dificultades a la hora de afrontar el análisis de los delitos informáticos es su conceptualización. En la Argentina los marcos regulatorios se han ido haciendo de a poco. La Ley 26.388, sancionada en 2008, estableció algunas actualizaciones respecto a temas cibernéticos y problemáticas conocidas como daño informático, estafas informáticas y similares. No es una ley especial que regula este tipo de delitos en un cuerpo normativo separado del Código Penal con figuras propias y específicas, sino una ley que modifica, sustituye e incorpora figuras a diversos artículos del CP, con el objeto de regular las nuevas tecnologías como medios de comisión de delitos. En este sentido, dicha ley incorporó el Fraude informático al artículo 173 del Código. Así, establece que se considerarán casos especiales de defraudación y sufrirán pena: “16) El que defraudare a otro mediante cualquier técnica de manipulación informática que altere el normal funcionamiento de un sistema informático o la transmisión de datos”. La pena estipulada para Estafas y otras defraudaciones en el artículo 172 es de un mes a seis años de prisión.
Sin embargo, la figura puntual del robo de identidad aún no está contemplada en el Código Penal, aunque sí hay algunas legislaciones de códigos contravencionales que la estipulan, como es el caso de la Ley 6.128 del Código Contravencional de la Ciudad Autónoma de Buenos Aires. En su Artículo 71 (quinquies) se establece la conducta de suplantación de identidad. Esto significa que, si bien no se trata de un acto fijado dentro del Código Penal, la Ciudad ya tiene estipulado este tipo de ciberdelito, entendiendo que ha habido un avance de esta figura y también en otras relacionadas a cuestiones de la identidad digital.
Entonces, ¿qué hacer si fuiste o estás siendo víctima de un caso de phishing? Se recomienda:
– Nunca completar un campo de datos con información real que pueda ser utilizada para delinquir.
– No borrar, destruir o modificar la información de la computadora, notebook o celular relacionada con el hecho. Es vital para seguir adelante con las causas penales que se inicien.
– Guardar correctamente cualquier evidencia de la estafa y perjuicio.
– No reenviar mensajes, como e-mails constitutivos del delito.
– Denunciar inmediatamente el delito informático.
El phishing se puede denunciar en la Unidad Fiscal Especializada en Ciberdelincuencia (Ufeci), teléfono (5411) 5071-0040, mail denunciasufeci@mpf.gov.ar; la Fiscalía de CABA – Equipo Especializado en Delitos Informáticos, teléfono gratuito 0800-333-47225; la Dirección Nacional de Protección de Datos Personales, teléfono (54-11) 2821-0047; o en el sitio web de Nación https://www.argentina.gob.ar/denunciar-un-delito-informatico .
Quántica Medios
