La cantidad de robos cibernéticos aumentó de forma exponencial desde el comienzo de la pandemia por COVID-19 a causa del uso excesivo de redes sociales y el estado de ansiedad de los usuarios. Para la consultora BTR Consulting, entre el 10 y 15 % de las cuentas y usuarios son falsos. Los ataques aumentaron un 300% en 2020 y un 400% durante el primer semestre de 2021.
El día jueves 14 de octubre de 2021, a las 12:50, comenzó un infierno para Catalina Martin y su hermana, todo por un mueble rack y una mesa publicados por ellas en Marketplace. Una usuaria de Facebook los señó con 15.000 pesos mediante transferencia a la cuenta de Catalina.
Al día siguiente, el supuesto esposo de la compradora le envía un mensaje a la hermana diciendo que su mujer se había equivocado y había depositado $150.000. Avisó que ya habían denunciado en su banco para que les retuvieran la plata y que las iban a llamar del banco para solucionar este problema.
Se comunicaron del “banco” y le comentaron que la cuenta estaba bloqueada y los $150.000 retenidos, por lo que yo ya no los iba a ver en la cuenta. La solución del falso asistente era que le depositen la plata y ella se los devolviera al esposo para agilizar el trámite. Catalina accedió. Le pidieron que le pase el token para volver a habilitar la cuenta; le dieron un nuevo usuario y una nueva clave. “Me indicaron que me estaban depositando los $150.000”, relata Martin.
Le ingresaron a la cuenta $60.000, que les transfiere a la “sobrina” de la compradora. Entre idas y vueltas, los estafadores pasan a pedirle el homebanking y que le hagan una transferencia para que ellos luego le devuelvan el resto de la plata.
Si bien la desconfianza estaba desde un principio, con esto último llegó a su punto máximo y no accedieron, por lo que le dijeron a Catalina que le transfiera todo su dinero a su hermana, y lo hizo. Cuando chequean que la plata esté en la cuenta, corroboran que se habían transferido a otras cuentas de personas totalmente desconocidas para las hermanas. En total les robaron 182.000 pesos y 1200 dólares.
Desafortunadamente, este no es un caso en un millón. Expertos señalan que la cantidad de robos cibernéticos aumentó de forma exponencial desde el comienzo de la pandemia por COVID-19. El motivo se centra en que las personas ocupan mayor tiempo en internet en comparación a los años anteriores cuando la emergencia sanitaria no existía.
La consultora BTR Consulting publicó el informe “Fraude Digital en Banca 2021”, el cual destaca a las redes sociales como el escenario ideal para la consumación de estos delitos, donde se constató que entre el 10 y 15 % de las cuentas y usuarios son falsos. Lo mismo ocurre con las aplicaciones descargadas de los stores: “Cada 40 apps, 1 podría incluir código embebido que ejecuta acciones no declaradas que podrían generar un daño”, señalaron.
En el 2020, registraron y analizaron 130 técnicas diferentes para la defraudación y, en el primer trimestre de 2021, descubrieron 90 nuevas formas de estafas on-line. La técnica del Phishing estuvo presente en el 45% de los incidentes y ciberataques con probabilidad de generar un perjuicio económico, con una tasa de efectividad del 40%. El 75% de los damnificados entrega todos los datos.
Los 14 tipos de fraudes más comunes
En BTR identificaron 14 tipos de fraudes, los cuales tienen en común que se ejecutan con éxito utilizando herramientas familiares como el correo electrónico, llamado telefónico y los mensajes en las redes sociales; que se dirigen directamente a los clientes de los bancos; y que tienden a involucrar una combinación de herramientas tecnológicas y esfuerzos de ingeniería social para manipular y engañar a la víctima.
- Anuncios fraudulentos en redes sociales y buscadores: Google, Instagram, Facebook, Tik Tok y Twitter no logran eliminarlos incluso después de que las víctimas los denuncian.
- Vishing, phishing telefónico para robar cuentas corporativas: el “target” son los teletrabajadores, que tienen como propósito obtener acceso a las herramientas que usan los empleados desde sus hogares. “Observamos la aparición de una nueva técnica de engaño, asimilable al ‘Cuento del Tío 4.0’, donde los ciberdelincuentes se hacen pasar por conocidos de la víctima por whatsapp”, indican desde la consultora.
- Fraudes bancarios internos: los delincuentes pueden ser empleados del banco o proveedores de TI que trabajan con el banco. Explotan los privilegios de los usuarios para acceder directamente a las cuentas de las víctimas o para transferir fondos de las cuentas a otras que pertenecen a los clientes.
- Estafas de phishing: adquisición de cuentas habilitadas para suplantación de identidad, luego se instala un troyano bancario en el dispositivo de la víctima, lo que permite a los estafadores tomar el control de la banca electrónica de la víctima.
- Estafas de hombre en el medio / pharming: un pirata informático obtiene información confidencial transmitida entre otras dos partes en línea.
- Fraude de billetera móvil: roban los datos de las tarjetas.
- Fraudes de intercambio de tarjeta SIM: la víctima recibe una llamada de un estafador que pretende representar a una empresa de telecomunicaciones para verificar los detalles de la cuenta y robar la información.
- Malware bancario: diseñado para robar credenciales y contraseñas bancarias de los usuarios. Funciona encriptando bases de datos y archivos en la plataforma infectada para después pedir un rescate.
- Web skimmers: dispositivos criminales escondidos dentro de lectores de tarjetas de crédito, ATM’s y en general dispositivos con los que la gente paga con tarjeta de crédito.
- Pago autorizado: los delincuentes contactan a la víctima informándole que su cuenta ha sido comprometida y deben transferir su dinero a manera de “peaje” para evitar que se la roben.
- Estafas románticas: se aborda a la víctima por correo electrónico, WhatsApp, redes sociales o apps de citas y se la convence para que inicie una relación a distancia. Una vez que se atrae a la víctima, el estafador solicita transferencias de dinero para permitirle venir al país de la víctima, liquidar deudas o desbloquear una cuenta bancaria congelada.
- Compromiso del correo electrónico empresarial: los estafadores con frecuencia se dirigen a las empresas haciéndose pasar por alto ejecutivo. Solicitan un pago importante a una cuenta falsa en relación con un problema urgente o delicado, como una adquisición.
- Fraudes de facturas: las facturas que supuestamente provienen de un proveedor genuino se envían por correo electrónico a la empresa, junto con los detalles de la cuenta falsa para el pago.
- Estafas de inversión: el estafador usualmente se hace pasar por un asesor comercial que termina convenciendo a la víctima sobre invertir en una empresa ficticia y le instruye un depósito para cerrar el trato.
El ciberdelincuente aprovecha el desconcierto
Gabriel Zurdo, especialista en ciberseguridad, explicó que anteriormente, la mayoría de los ciberdelitos ocurrían bajo el paraguas de los bancos. Sin embargo, con la pandemia la gente empezó a usar recursos tecnológicos que facilitaron el fraude bancario. “La gente se volcó a las redes sociales para que los bancos los atiendan pero esos usuarios casi siempre son falsos. Te sacan el usuario y la contraseña, y te dicen que no tenés que entrar en 48 horas para que no te des cuenta que te robaron; eso es ingeniería social y es una de las formas menos high tech de todas las estafas”, indicó Zurdo.
En esa línea, expresó que los ciberdelincuentes utilizan la emocionalidad y la emergencia de los internautas para cometer los delitos. El problema es que “los bancos no pueden saber si fue una estafa o estás tratando de engañar al banco”, lo que lo puede saber con investigación pura usan un software que chequea la información.
El experto también sostuvo: “El ciberdelito se apoya en una mesa con cuatro patas, tres bien firmes: anonimato, suplantación de identidad y la posibilidad de hacer una identidad sintética, y una enclenque: nosotros. Cada vez somos más responsables nosotros del ciberdelito porque damos muchos datos a la web”. Lo cierto es que los ataques a nivel general aumentaron un 300% en 2020 y un 400% durante el primer semestre de 2021.
La encargada en seguridad informática del Banco Nación, Patricia Vegega, explicó que para el tipo de ataques a la infraestructura “los bancos despliegan una estrategia de seguridad en capas, de forma tal que si un incidente supera una barrera de control existan otras que puedan evitarlo o bien faciliten una rápida respuesta”.
En el caso de los ataques que apuntan a los clientes (negligencia del usuario) se despliegan campañas y ejercicios de concientización de diversos tipos tanto para usuarios internos como externos.
“Esto definitivamente va a empeorar”, sentenció Zurdo, “porque va a haber más conexión, más dispositivos y el ciberdelito va más rápido que las herramientas para evitarlo”. Los gobiernos no se ponen de acuerdo, para generar una política de control internacional; por lo que la solución queda en manos de los usuarios y en que los bancos generen conciencia.
¿Cómo diferenciar un perfil verdadero de uno falso en redes sociales?
- Los perfiles legítimos tienen una tilde azul de autenticidad.
- Los perfiles falsos generalmente solo tienen publicaciones muy recientes y poca cantidad de seguidores.
Para denuncias podés comunicarte con la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI).
Dirección: Sarmiento 663, 6° Piso, CABA
Teléfono: (+54 11) 5071-0040 / 0041