Bandera Argentina

Seguridad de la información

Estafas virtuales: el caso típico

Según la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI), las estafas bancarias crecieron un 3000% interanual en el país[1]. Y no debe sorprendernos, es lógica consecuencia de la extrema digitalización a la que nos sometimos desde el inicio de la pandemia y su cuarentena.

De la noche a la mañana, quisimos realizar todas nuestras tareas telemáticamente, pero “salteándonos” la educación, la prevención y el desarrollo de herramientas confiables. Los resultados están a la vista.

Kaspersky, la reconocida empresa de seguridad informática, informó recientemente que -desde 2020- el objetivo preferido de los ciberdelincuentes es la asistencia económica que la mayoría de los gobiernos le entrega a sus ciudadanos para subsanar los daños de la pandemia, y que la modalidad más elegida es el correo electrónico que simula ser de un banco. La compañía detectó, con su sistema “Anti-Phishing”, sólo en el primer trimestre de 2021, 79 millones de intentos de visita a páginas fraudulentas (casi el 6% de sus clientes ya se enfrentó a algún ataque de “phishing”)[2].

Incluso ESET, también referente en el rubro, destacó que “este año se alcanzó un pico histórico” de sitios de “phishing” detectados en un mismo mes[3], y que el sector más apuntado por los maleantes sigue siendo la industria financiera (24.9%), seguido por las redes sociales (23.6%) y los servicios de correo electrónico (19.6%).

¿Qué es “phishing”?

Al introducir la palabra “phishing”, el traductor de Google nos devuelve automáticamente la fórmula “suplantación de identidad”, y esto no es correcto. Si bien estamos hablando de dos técnicas de ingeniería social que confluirán en la mayoría de los casos, es importante destacar que no son lo mismo.

Por fonética, es innegable su semejanza con el verbo en inglés “fishing” (que significa pescar), pero el término que nos convoca se escribe con PH en lugar de la F y esto sí tiene que ver con su procedencia. Si bien hay varias teorías al respecto, la más aceptada es que viene de “phreaking”, que también se escribe con PH y es la contracción de las palabras “phone” y “freak”[4].

Estos “locos por los teléfonos” fueron una especie de tribu urbana -surgida entre los 60 y los 70 en los Estados Unidos- que, como su nombre lo indica, dedicaban su tiempo a la búsqueda de fallas en el circuito telefónico. Entre otras cuestiones, estos grupos de “hackers” (quizá los primeros) lograron engañar a compañías telefónicas para evitar que les cobren las llamadas de larga distancia que realizaban.

En esta lógica, “phishing” no sería más que la explotación de ciertas técnicas de ingeniería social[5]con el objeto de manipular a una persona para que entregue cierta información. Aquí el ciberdelincuente detecta y ataca al eslabón más débil de toda la cadena (normalmente, el usuario final) para luego inducirlo a realizar determinada acción.

Hay un “anzuelo”, que podrá tener forma de aviso urgente, oferta de último minuto o emplazamiento, y una “pesca”, que se perfecciona cuando alguna de las víctimas (genéricas o individualizadas) completa el formulario, realiza la compra, solicita el préstamo, descarga el archivo, entrega el código, etc.

Y debemos destacar que no siempre habrá “suplantación de identidad”. Muchos casos (conocidos popularmente como “spray and pray”) simplemente consisten en cadenas masivas de correo electrónico o mensajes de texto con “felicitaciones” por haber obtenido determinado premio, por ejemplo, y la condición de responder por la misma vía con ciertos datos personales. Es que la sofisticación del ataque dependerá, en primer término, de las capacidades técnicas del atacante y de los objetivos que éste se proponga; ergo, no siempre necesitará de una capa adicional de identidad.

Una cadena por WhatsApp, por tanto, podría consistir en la simple recolección de números telefónicos; una aplicación de filtros fotográficos podría pretender el acopio de rostros; un juego en línea para niños podría tener por objeto la medición de gustos, usos y costumbres. A nuestro criterio, todos ellos son también casos de “phishing”. Criterio que se fortalece a su vez sobre ciertas ocasiones en las cuales la suplantación de identidad será simplemente el medio para la comisión de otros delitos, como el grooming.

El caso típico

Aclarado esto, conviene abocarnos ya al caso típico. Es que, si bien existen ataques dirigidos y personalizados (como el “spear phishing”[6]) y mucho más sofisticados (como el “pharming”[7]), lo cotidiano será la campaña masiva y al voleo que solo respeta algunas consignas básicas (ej. usuarios de tal servicio, clientes de cierto banco o simplemente consumidores interesados en cuestiones estacionales, como el Cyber Monday, el Black Friday, etc.).

Como ya dijimos, el ciberatacante busca engañar a su víctima para que ella misma le entregue sus datos personales, bancarios u otra información confidencial. El “anzuelo” puede ser la caída de un servicio, el bloqueo de una clave, una oferta de último minuto, un premio, e incluso una multa o castigo. Y en la década del 90, el correo electrónico era el canal idóneo para llevar a cabo este tipo de conductas, pero con la proliferación de las redes sociales y los servicios de mensajería instantánea, y la propia creatividad de los criminales, el “phishing” fue tomando infinitas formas.

No dejaron de existir las campañas tradicionales al estilo “Príncipe Nigeriano”[8] o “cuento del tío” (algunas con variantes simples como la herencia vacante, la cuenta bancaria abandonada, el moribundo que quiere compartir su fortuna, etc. y otras con historias más inverosímiles como aquella del astronauta sin nación que se encuentra varado en el espacio y necesita recaudar fondos para volver), pero vemos ya casos “pasivos”, en donde el atacante simplemente crea un usuario en Instagram del “@BancoSaantander” o “@BncoGalicia”, con publicaciones, logos y fotos oficiales, y se sienta a esperar que sus víctimas tengan una necesidad operativa por la cual se contacten con ese supuesto banco.

De hecho, en los últimos meses, observamos que los delincuentes están atentos también a cada nuevo “seguidor” de las cuentas oficiales, con quien -en cuestión de segundos- se ponen en contacto, haciéndose pasar por un empleado de la empresa, para solicitarle el “token”. Con ese código (que se obtiene de un cajero automático), el atacante “blanquea” las claves y se apodera del “homebanking” de la víctima, en donde solicita préstamos y realiza transferencias hasta donde los límites bancarios y la propia víctima le permitan.

Lo cierto es que -como ya dijimos- todos estos ataques tienen en común su objetivo, el eslabón más débil de toda la cadena de seguridad de la información, que no es otro más que el propio ser humano. Apelan al error, a la falta de atención, a la falta de conocimiento e incluso a la avaricia, por lo cual es muy importante conocer los riesgos, las medidas preventivas que podemos tomar y lo que debemos hacer ante un ataque.

¿Qué hacer?

Lo primero que debemos tener en mente es que ninguna empresa puede (ni necesita) requerirnos nuestras credenciales de ingreso. La contraseña, el código de activación, el segundo factor de autenticación, el token, etc. son información que solo nosotros debemos conocer. Son datos de validación, en su mayoría de un solo uso, que hacen a la exclusividad del usuario dentro de un servicio o plataforma digital, por lo cual es importante no compartirlos ni utilizarlos en otros sitios.

Sin perjuicio de ello, es fundamental que una vez detectada cualquier anomalía informemos de inmediato al banco, en este caso, para que éste bloquee preventivamente al usuario de homebanking, las cuentas y las tarjetas, y evite cualquier tipo de operación posterior (una vez recuperadas las claves, se podrán utilizar nuevamente todos los servicios).

Ahora bien, si el atacante llegó a realizar alguna transacción, como solicitar un préstamo o transferir dinero, tendremos que desconocer el movimiento frente al mismo banco para que éste reclame el dinero y lo reintegre a la cuenta o bien cancele la deuda que se haya generado a través del homebanking (hasta que no se resuelva este desconocimiento, el banco no puede cobrar nada; normalmente, en 30 días se obtiene una respuesta).

Lamentablemente, y sin perjuicio de las nuevas exigencias que presentó hace pocos días el Banco Central[9] (y de las recomendaciones que les brindó esta Defensoría), tanto los bancos públicos como los privados están aportando respuestas negativas a estos trámites. Por lo cual, ante el rechazo, la única vía es el reclamo extrajudicial y luego judicial (aquí es dable destacar de todas maneras que existen ya, a lo largo y a lo ancho del país, diversos antecedentes jurisprudenciales que ordenan la restitución del dinero a las víctimas).

——

Recomendaciones mínimas

SIEMPRE…

  • Revisá que la cuenta esté verificada (la reconocés por su tilde celeste).
  • Confirmá la identidad del que se comunicó con vos por otro medio.

NUNCA…

  • Entregues datos personales ni códigos.
  • Ingreses datos ni operes en sitios desconocidos.

Si tenés la más mínima duda o sospecha, abandoná de inmediato la comunicación.

——

CHRISTIAN H. MILLER. Abogado (UCA). Especialista en Derecho de la Alta Tecnología (UCA) con formación en Cibercrimen y evidencia digital (UBA) y en Protección de datos personales, privacidad y compliance (UP). Asesor Jurídico en el Centro de Protección de Datos Personales (CPDP) de la Defensoría del Pueblo de la Ciudad.


Referencias

[1] https://drive.google.com/file/d/19aMBQjsGdrG30Vb8V26Zsr1O9oKfwqt2/view

[2] https://securelist.lat/spam-and-phishing-in-q1-2021/93523/

[3] https://www.welivesecurity.com/la-es/2021/06/15/2021-registro-pico-historico-cantidad-sitios-phishing/

[4] https://www.avast.com/es-es/c-phishing

[5] Existen diversas técnicas de ataque por ingeniería social. Entre las más conocidas se destacan el “baiting” (poner un cebo; el atacante presenta una oportunidad muy tentadora), el “tailgating” (pegarse a alguien; el atacante utiliza su simpatía para que la misma víctima, por cortesía, le facilite el acceso), el “pretexting” (pretexto o situación; el atacante crea una situación de vulnerabilidad para que la víctima le aporte información privada) y el “shoulder surfing” (mirar por encima; el atacante simplemente se acerca a la víctima para espiar su contraseña). También el phishing y la suplantación de identidad (en inglés, “spoofing”) son técnicas de ingeniería social.

[6] En algunos casos de “spear phishing” (arpón), el atacante estudia durante meses a la víctima para aprender sus hábitos. Y luego crea perfiles y situaciones específicas para llamar su atención.

[7] En algunos casos de “pharming” (de “farm” -granja-), el atacante explota vulnerabilidades de software en sistemas o equipos para redirigir las solicitudes de ingreso a determinados dominios hacia algún otro sitio que controla.

[8] En la Argentina tuvimos casos de “phishing” muy graves que afectaron incluso a grandes empresas y organismos. Entre ellos se destacan, sin lugar a dudas, “La Gorra Leaks” -que implicó a personal de Prefectura, Policía Federal y Ministerio de Defensa, y significó la pérdida de 700GB con información sensible- y el “Falso anuncio del Banco Provincia” -que significó para el Partido de 25 de Mayo (Provincia de Buenos Aires) la pérdida de más de 3 millones de pesos-(16). En el primer caso todo comenzó con un correo electrónico enviado a todo el personal de seguridad, y en el segundo con un simple anuncio publicitario en Google, lo que demuestra la amplitud que ha tomado este modo delictivo.

[9] http://www.bcra.gov.ar/Noticias/responsabilidad-bancos-creditos-canales-electronicos.asp