Todos los días nos encontramos con personas que fueron estafadas por medio de una llamada telefónica, usando en todos los casos Ingeniería Social, la cual consiste en establecer un estado de confianza con la víctima, y por lo general esto ocurre cuando nos dicen que pertenecen a una institución o empresa conocida, sin que podamos verificar su verdadera identidad y nos entregan algunos datos que son públicos, como nuestros nombres, DNI, lugar donde residimos. La mayoría de las personas piensan que se encuentran frente a un operador confiable detrás de un ordenador consultando nuestros datos en una base de datos.
La realidad es que mayormente es un detenido en una cárcel, usando un celular conectado a la red 4G. Los datos se sacan de sitios públicos y muchas veces incluso de las redes sociales. En todos los casos van a hablarnos de nuestra seguridad o de como nos beneficiarían y para verificar nuestra identidad van a enviarnos un código el cual debemos decirselos. Si entregamos ese código vamos a darles acceso al lugar que quieran acceder, ya que solo pidieron un restablecimiento de contraseña en algún servicio al que estemos asociados, pudiendo ser desde el cambio de contraseña a un Cajero, Home Banking, WhatSapp, Facebook, Twitter, Gmail, Hotmail, etc. En algunos casos solicitan prestamos a nuestro nombre con solo saber nuestro DNI y número de cuenta corriente, para luego simular el pago de un producto que vendamos y la equivocación de haber depositado más dinero que lo necesario, y pedirnos que transfiramos el resto a una cuenta, cuando en realidad lo depositado es un prestamos que se pidió de manera virtual a nuestro nombre, el cual deberemos pagar y al mover el dinero desde nuestra cuenta, estaríamos asumiendo que sabemos del ingreso del mismo.
Hoy en día se ven estafas por Mercado Libre donde te dicen que quieren resguardar tu seguridad ya que se detectaron compras que no realizaste y que para ellos te van a enviar un programa con el que te ayudaran a realizar los pasos para mayor seguridad, usando un software remoto “como TeamViewer” el cual les permite tomar posesión del dispositivo donde lo instales y piden desde prestamos a tu nombre los cuales son transferidos a cuentas en Bancos Virtuales.
A esto de forma errónea se le llama hackeo, lo cual está muy lejos de serlo, un hackeo se realiza cuando se explota una falla de un sistema, en estos casos solo es una simple estafa usando la confianza de las personas, con un dispositivo electrónico como un celular. No hay detrás un hacker experto en ingeniería del Hardware y Software, que programa sistemas o que puede detectar una falla de seguridad. Por lo general quienes realizan estas estafas son presos o delincuentes comunes que con suerte tienen el secundario terminado, no saben de ingeniería y mucho menos de programación. Con lo cual el termino hackeo está mal empleado.
Lo sorprendente de estas estafas es lo fácil que se lo ponen los bancos en argentina, cuando por lo general si una persona quiere realizar una transacción al extranjero o quiere comprar un artículo usando su tarjeta de crédito debe pasar por múltiples controles donde finalmente si no se puede, te informan que el banco no lo autoriza, hoy les permiten transferir a otros Bancos Virtuales donde no hay manera de verificar la identidad de la persona y lo peor es que están registrados múltiples estafas en los mismos, ni hablar de cuando hay cuentas denunciadas que son usadas y no los bloquean para la extracción del dinero o permiten la compra de criptomonedas sin el mayor problema. Sin duda hay una responsabilidad legal por parte del sector bancario, que se la adjudican de manera inmediata a la víctima. Tampoco el estado debería permitir sacar un crédito inmediato sin verificar la autenticidad de la persona que lo solicita.
Cuando se usan técnicas como Phishing, la cual consiste en hacer un sitio Web que simule una entidad sea bancaria, de una empresa o negocio, la que nos pide el ingreso de usuario y contraseña, podríamos hablar de Hackeo ya que se debe montar un servidor con un sitio web que simule uno existente. En estos casos se debe hacer la denuncia y la justicia debe actuar de manera inmediata para evitar que el sitio siga en línea. En estos casos los peritos informáticos deben estar capacitados para poder rastrear al o los atacantes. Ya que resulta casi imposible que no dejen un rastro.
Los recurso con los que cuentan la policía de Ciber Crimen en todo el territorio, es extremadamente limitado y esto en mi opinión es una de las mayores vulnerabilidades con las que contamos. Hay una responsabilidad del estado que no está cumpliendo, no solo en equipamiento y capacitación a las fuerzas de seguridad, sino también a nivel legal.
En el futuro esto puede empeorar de manera exponencial, con las nuevas tecnologías y la Inteligencia Artificial, los peritos deberán estar preparados para enfrentar verdaderos hackeos que permitan realizar todo tipo de crímenes.
Como medidas de seguridad, jamás debemos entregar un código o contraseña por vía telefónica, si vamos a realizar un cambio en algún servicio deberíamos poder realizar la operación personalmente. En todos los casos deberemos chequear quien es la persona que nos llama y pedirle el nombre de la empresa a la podamos nosotros llamar y chequear la información entregada. Nunca un Banco, Empresa o entidad nos va a pedir cambio de contraseña vía E-Mail.
Todas las redes sociales deben estar configuradas con doble sistema de autenticación, de esa forma si quieren cambiarnos las contraseñas deberán verificar el segundo paso con nuestro celular.
Jamás debemos dirigirnos a un sitio web por medio de un link en un correo o mensaje de celular o red social, ya que podríamos caer en un «phishing«, en todos los casos si quiero entrar al sitio en cuestión debemos buscar su web oficial en google.
Estas son algunas medidas a tener en cuenta, esto no significa que de igual forma no podamos ser engañados. En caso de sufrir una estafa deberíamos denunciarla por más que no recibamos respuestas positivas, esto ayudaría a que se preste mayor interés al tema y se formulen nuevas leyes que nos ayuden a impedir este tipo de delitos.
La educación del manejo de tecnologías ayudarían mucho a evitarlos, lo cual hoy es una gran falencia del estado, así como exigir a los organismos Bancarios a regular sus medidas de seguridad así como a los proveedores de servicios de Internet que no registran debidamente la asignación de accesos de sus clientes con lo cual después no se pueden determinar la trazabilidad de las conexiones ya que incluso la ENACOM ni si quiera tiene dirección física en muchas provincias por lo que surgen serias dudas como hacen para regular la actividad de las empresas. Muchos proveedores de Internet sobre todos los del interior de las provincias, que ofrecen un servicio por aire los cuales en su mayoría son empresas fantasmas que no cumplen si quiera con las normas mínima que exige el estado y mucho menos la actividad de sus clientes, ya que salen miles de personas por la misma IP «Internet Protocol» pública, siendo imposible rastrear un acto delictivo, incluso las antenas que se encuentran en los pueblos y campos no cumplen las normas mínimas establecidas.
Pedro Matías Cacivio Perito Informático de la Nación Security Consulting Senior