“Engaños digitales, víctimas reales”: por qué todos podemos caer y las historias detrás de las estafas online

Durante el coronavirus se intensificaron los ataques. Las historias detrás del fenómeno
Share on facebook
Facebook
Share on twitter
Twitter

Las distintas cuarentenas que se dispararon en todo el mundo por la pandemia del coronavirus hicieron que 2020 sea, entre tantas otras cosas, el año de los ciberataques: robo de identidades, phishing, secuestros de datos y todo tipo de delitos informáticos se incrementaron a niveles estratosféricos, hasta el punto que en nuestro país lograron hackear la Dirección Nacional de Migraciones.

Pero detrás de esas figuras hay personas: historias de estafas y vergüenza que, hasta ahora, no habían sido bien recopiladas.

Engaños digitales, víctimas reales, del periodista y docente Sebastián Davidovsky, explora precisamente los nombres, las caras y las angustias detrás de estos casos. Cuya víctima llegó a ser, incluso, un pueblo entero.

Con un timing certero pero impensado, el autor pone sobre la mesa aquellos problemas de seguridad que, para muchos, suelen ser muy evidentes. Pero que quizás no lo son: “Durante todo el libro me esforcé por entender a las víctimas. Contar historias que nos permiten entender los riesgos. No paranoiquearnos, sino entender los riesgos”, explica a Clarín.

Un falso amorío por Facebook, un match de Tinder que termina en una estafa, millones que se “fueron” de la cuenta del Banco Provincia de 25 de mayo o un grupo de chicos que fueron víctimas del grooming: son todas víctimas reales. El daño no es informático, sino humano: con esta idea insiste mucho Davidovsky.

Según el autor es clave que todavía no estamos del todo educados digitalmente. Y no es una cuestión generacional: “Hay que conocer estas historias y a partir de eso empezar a construir una ciudadanía digital que permita tener un uso más responsable y saludable de estas herramientas”, reflexiona.

Y agrega que es clave perder la vergüenza si nos pasa algo: “Hay que terminar con esa cadena de silencio que está motivada por la vergüenza y dar a conocer los casos”.

Acá, algunas ideas en torno a estos engaños y algunos consejos para estar mejor plantados.

─En el libro está como hilo conductor que “todo transcurre de manera virtual”. ¿Creés que la distinción real/virtual está borrada en la actualidad, y que sirve más pensarlo en términos de “en la vida real” (IRL) o “lejos del teclado” (AFK)?

─Sí, totalmente. A mí me parece ridículo hablar de daño informático. Las computadoras se arreglan, se cambian. Pero lo que queda sin dudas es el daño humano. Un poco el objeto de estudio del libro es justamente analizar casos donde puede haber un daño informático, pero donde interesa más hablar de las vulnerabilidades emocionales, que son las más importantes para que estos delitos se cometan en escala, sin contacto físico, pero con daños a las personas.

─También citás al fiscal Horacio Azzolin, que sostiene que hay que “empoderarse” para evitar estos casos. ¿Qué es empoderarse en este contexto?

─Se habla mucho también de qué podemos hacer. Me parece que gran parte de todos estos casos que cuento se hubieran evitado si hubiera habido algún tipo de educación digital. Un poco lo que pasó con la pandemia, en este siglo analógico, fue que esta migración forzosa a utilizar herramientas digitales no vino acompañada de algún tipo de aprendizaje. O en muchos casos, el aprendizaje vino a costas de la seguridad, con mucha gente que perdió plata de sus cuentas bancarias. O gente que perdió un IFE porque creyó hablar con gente que era de la Ansés. Ese tipo de cosas son súper importantes para poder empoderar a los usuarios.

─En tu repaso de historias, ¿qué detectaste en cuanto a la edad?

─Y, me parece que esto va más allá de cualquier tipo de edad. Esto no impacta sólo sobre la gente más grande que no está acostumbrada. Hay historias de gente joven, de 20, 30, 40 años. Hay historias de todo tipo. Empoderarnos más es tener una cultura digital, un aprendizaje de lo que significa lo digital y no sólo su adopción. Este es el mundo digital y estos son sus riesgos. Y a partir de eso empezar a construir una ciudadanía digital que permita tener un uso más responsable y saludable de estas herramientas.

─En el libro contás medidas de seguridad muy básicas que no toman las cuentas oficiales, como la de Prefectura, que no tenía doble factor de autenticación. ¿Por qué no se toman medidas tan básicas?

─Lo que pasa es que los procesos son muy engorrosos a veces. En algunos casos sucedía que para sacar un mail tenías que mandar un correo por OCA, te contestaban a las 2 o 3 semanas, recién ahí te mandaban la clave en un papel… Y eso sigue pasando. Lo que falta ahí muchas veces son protocolos, y que los bajen a los usuarios finales para que no sean los eslabones más débiles, como suelen ser.

─Eso se ve en el libro: el usuario promedio no toma dimensión de los riesgos online.

─Exacto, y eso pasa por una falta de dimensión sobre los riesgos del mundo digital y lo que pueden provocar usuarios finales aún queriendo resolver algo. Me parece que la explicación de esa falta de educación viene en muchos casos por no bajar los mensajes para los usuarios finales de una dependencia, un organismo, una empresa y mostrar los potenciales problemas que pueden conllevar no tomar las medidas suficientes.

En el libro se puede leer el caso de una sede del Banco Provincia de 25 de Mayo, en Provincia de Buenos aires. Mediante una técnica llamada black hat SEO, cibercriminales plantaron un falso aviso de Google (un adword) que generó que se robaran cerca de 3.6 millones de pesos en noviembre de 2016.

El tesorero del municipio detectó una serie de transferencias muy sospechosas, con números redondos: 100.000 pesos, 90.000 y así. La técnica consistía en «cooptar» la primera posición de los resultados de Google con un anuncio patrocinado que aparecía luego de buscar «Banco Provincia BIP» en 25 de mayo: allí se pedían datos personales que, una vez introducidos, eran robados.

─¿Cómo puede ser que se hicieran transferencias sin usar un token?

─Justamente, a partir del caso de 25 de mayo se empezaron a usar tokens. Siempre repito ese concepto que es el aprendizaje a costas de la seguridad, en muchos casos, hasta las instituciones bancarias. Es difícil de explicar, hasta ese momento no los usaban y por eso les sacaron las claves al municipio a partir de un adword falso que aparecía cuando uno googleaba el nombre del banco. Ojo: muchas veces los usuarios nos quejamos de esas medidas de seguridad adicionales, pero yo prefiero eso antes de que me saquen una cantidad de dinero por un error que pude haber cometido.

─Hace poco se supo de un ataque de Ransomware afectó un sistema de un hospital en Alemania y por esto, murió una persona que no pudo ser derivada. ¿Creés que estos ataques pueden ser cada vez más frecuentes?

─El tema es que infraestructuras críticas que antes no estaban conectadas a internet, empezaron a estarlo desde hace unos años. Y con eso te incluyo el sistema de un hospital, que te define a quién derivar y a quién no -que, por supuesto, trae un montón de beneficios a nivel optimización-, pero por otro lado esto hizo que dejemos todo en manos de lo digital y por lo tanto que tengamos un acceso hacia el exterior. La pregunta es si estamos tomando los recaudos necesarios para que este sistema que tanta eficiencia nos puede traer, no nos traiga estas situaciones límite como nos pasó en Alemania.

Uno de los casos mejor relatados del libro es el de Estela, una mujer de 50 años que es engañada por un contacto que conoce por Tinder. Jugando con su ilusión, un match que parecía prometedor, con mucho romanticismo y esperanza, terminó en una estafa que le hizo perder tal contados del libro es el de Estela, una mujer 50 años que es estafada por un contacto que conoció en Tinder.

Su presunto enamorado le hizo creer que le mandaba un paquete con una cantidad realmente insólita de regalos: «Un iPhone 7 Plus, el iPad Air, los juegos de joyas, el auricular con traducción simultánea, la computadora Apple, el anillo de diamantes y, sobre todo, la rosa de plástico con el dinero», recuerda Davidovsky en el libro.

Y si bien desde afuera parece demasiado evidente que era una estafa, el autor apunta a comprender los casos desde dentro y recuperar esta cuestión de la «vulnerabilidad emocional». Estela terminó pagando cerca de 2 mil dólares para liberar la supuesta mercadería que le mandaban, ante un inconveniente también inventado. Pero otras víctimas cayeron en el mismo tipo de engaño y llegaron a pagar cerca de 30.000 dólares.

─¿Qué problemas detectaste con estas apps de citas?

─Ahí tenés un gran ejemplo de vulnerabilidad emocional más que vulnerabilidad técnica. Está dentro de mi objeto de estudio porque son casos donde no hay encuentro físico, donde los delincuentes laburan a escala, los que cometen un delito están en otro país o en otro lugar, y se juega todo el tiempo con la ilusión. Ahí te podés preguntar cuáles son los mecanismos que operan, pero es clave el tema de la vergüenza.

─¿Por qué?

─ Hay que terminar con esa cadena de silencio que está motivada por la vergüenza. Algo interesante que me pasó fue que me contactó gente para decirme que a partir de una nota mía evitaron caer en una estafa -lo cual me ponía la piel de gallina-. Y la mayor parte de los que se salvaron fue porque no tuvo vergüenza de contar lo que le estaba pasando -una relación a distancia, por ejemplo-, o que sus amigos o familiares le advirtieron. La clave es dejar contar, confiar en gente que puede ayudar, porque en muchos casos contar estas historias le sirve a la gente para no caer.

─Este tema de la educación se ve muy patente en el grooming, pero sobre todo por el rol de los padres mismos con sus hijos y cuánto control hay de lo que hacen los chicos online. ¿Esos son los casos más graves que te encontraste?

─Sí, sin dudas. A mí me costó mucho escribir sobre esos casos, incluso me he puesto a llorar en bares. Me costaba mucho ese capítulo. Pero también sentí la necesidad de mostrarlo y contarlo porque si esto sirve para que alguien no caiga, es fundamental. Es realmente lo más terrible dentro de los delitos informáticos, pero es también donde más cooperación internacional hay por suerte. No es que eso me deja tranquilo por el volúmen de casos, que viene creciendo. Pero en ese sentido hay cooperación y voluntad política para educar. Tiene mucho de educación digital el tema del grooming.Le damos muchos consejos a los chicos a la hora de salir a la calle pero a la hora de meterlos en el mundo digital les damos una tablet y cerramos la puerta. Me parece interesante para entender que lo digital tiene sus lenguajes, tiene sus riesgos y sus formas de relacionamiento distintas a la del mundo físico. Pero aún así, los chicos requieren una guía o consejos, que se hable de lo que sucede en Internet.

─Un denominador común en el método de “resolución” de varios hacks que recopilás es “no pagar”. ¿Por qué?

─Primero, porque el hecho de pagar no garantiza absolutamente nada. En el caso de Estela o los extorsionados por Facebook, la extorsión no termina nunca. Se paga para evitar la vergüenza, pero nunca pagar garantiza algo. En el caso del ransomware existe que muchas empresas terminan pagando porque no tienen backup o en muchos casos la industria de esos delincuentes funciona porque los tipos resuelven los problemas. Pero la verdad es que nada está garantizado. Ahí la solución es tener backup e incluso irse de las redes o desactivar las cuentas por X tiempo, ya que muchas veces los atacantes se olvidan: hay que pensar que ellos tiran un “medio mundo”, y el que cae, cae. Pagar no garantiza nada. Es muy importante entender eso.

─“Lo mejor que te puede pasar es que no te pase”, decís. ¿Qué recomendaciones das para tratar de estar más seguros?

─La calle la tenemos recorrida hace muchos años. En cambio, el mundo digital lo tenemos recorrido hace poco. Todavía no aprendimos a usar la mirilla del mundo digital: a quién le vamos a abrir la puerta, a quién se la vamos a cerrar. Hay cosas muy básicas como que hay gente que ni tiene clave para bloquear el celular. Le pueden robar el teléfono y tienen acceso a todo, su cuenta de mail, billetera digital, etc. Hay una serie de cosas que hay que concientizar en términos de cerradura digital o mirilla digital. Y, después, la desconfianza. Mails alarmistas, donde piden datos inmediatos, Whatsapp: suelen ser phishing. Mails falsos que se hacen pasar por instituciones gubernamentales.

Ni AFIP ni Ansés ni ninguna institución oficial te va a pedir tus datos personales. Nunca. Esas son cosas que hay que tatuarse en el cuerpo como para saber que por más que querramos resolver conflictos o cuestiones a distancia. Está claro que muchas veces bajamos la guardia porque nos agarra en el baño, en la cama, en lugares donde no solemos tener la guardia alta. Nadie está exento de que le pase, pero cuánto más concienticemos, seguramente más prevenidos vamos a estar.

Juan Brodersen
Clarín.com Tecnología

 

TEMAS RELACIONADOS:
Share on facebook
Facebook
Share on twitter
Twitter