El presidente de la Asociación Argentina de Lucha Contra el Cibercrimen (AALCC), Luis Nocera, afirmó que las estafas virtuales provienen, en su mayoría, de teléfonos móviles operados dentro de los servicios penitenciarios, donde continúa la autorización para utilizarlos a raíz de la cuarentena del coronavirus. “Piensan todo, se hace un gran trabajo de inteligencia”, afirmó.
El ciberdelito se multiplicó a tal punto, que en nuestro país se registran al menos un 600% más de fraudes en línea que antes de la pandemia. Si bien la utilización de equipos o terminales móviles por parte de las personas alojadas en establecimientos penitenciarios se encuentra prohibida por la ley 24.660, la llegada de la pandemia modificó la aplicación de las normas al verse prohibidas o restringidas las visitas a los reclusos en razón de la situación epidemiológica. Así cobró fuerza la idea de que el uso de teléfonos celulares contribuía a mantener el vínculo de aquellos con sus grupos familiares y, de esta forma, contribuir al objetivo de resocialización al cual toda privación de libertad debe propender.
En contraposición a ese concepto, el crimen organizado sacó provecho de esta situación para seguir operando desde las unidades penitenciarias, generalmente cometiendo estafas virtuales o telefónicas con el “cuento del tío”. En efecto, de acuerdo a un informe presentado por el Observatorio de Cibercrimen y Evidencia Digital en Investigaciones Criminales de la Universidad Austral (Ocedic), las denuncias por estafas virtuales aumentaron casi un 200% en los tres primeros meses del año en comparación con el mismo período de 2021. El informe señala que en la Argentina se registran en promedio 4.800 fraudes mensuales en sus distintas modalidades (estafas en WhatsApp, phishing, usurpación de identidad y “cuento del tío 2.0”), por un monto aproximado de 1.200 millones de pesos.
Con respecto al perfil de quien comete este tipo de delitos, desde el Observatorio indicaron que a partir de investigaciones judiciales, y luego de desarticular varias bandas delictivas, se pudo establecer que generalmente quienes cometen estas conductas actúan como organizaciones integradas por 3 o 4 personas que lideran la maniobra, diseminados por diferentes provincias, quienes a su vez utilizan a los llamados “muleros” como colaboradores para recibir y mover el dinero recibido, quienes también se encuentran dispersos en diferentes puntos de todo el país.
Cabe destacar que no solo se incrementaron los ataques a cuentas bancarias y billeteras digitales, sino también a redes sociales y apps de mensajería para utilizarlas de trampolín hacia otros tipos de engaños, como suplantación de identidad y “cuentos del tío” con las temáticas más diversas. Los falsos llamados de Anses para cobrar el IFE, los empleados de atención al cliente truchos que se contactaban con quienes pedían ayuda en las redes para entrar al homebanking y el "cuento del tío del premio del supermercado" fueron las estafas virtuales más difundidas y se cobraron miles de víctimas. Pero la onda expansiva no para y las modalidades van cambiando. Hoy ya hay en el país un caso de ciberfraude cada 10 minutos.
Suplantación de identidad
Según indicó Nocera, en relación a la técnica de “suplantación de identidad digital”, se contabilizan en los últimos meses “un caudal de 200 a 300 denuncias diarias en el país, que es bastante”. Y afirmó que el uso del WhatsApp para esta modalidad “es nuevo, y empezó fuertemente en pospandemia”. Pero el ciberdelito a esta escala se impuso durante el confinamiento por el coronavirus.
Su complejidad radica en lo anárquico y diseminado del funcionamiento virtual. Tanto que, cuando los bancos iniciaron sus campañas de prevención –el primero fue Banco Provincia de Buenos Aires-- “la masividad ya era tal que fue muy difícil su abordaje”, explicó un referente bancario. Así nace lo que hoy se conoce como "delito de sustitución de identidad". Si bien cuando comenzó el robo digital, la estafa consistía en “sacar la clave de una cuenta de banco”, hoy “piden” dinero (con la supuesta venta de dólares), en nombre de un amigo. Con acceder a los contactos y copiar la imagen del WhatsApp, pueden iniciar el fraude. O roban un teléfono, ven los contactos y revisan las conversaciones, para decidir cómo operar.
Utilizan inteligencia social en sistemas de fuentes abiertas como Instagram –asociado a Facebook o a WhatsApp--, donde es posible ver los contactos. “O usurpan un número telefónico porque WhatsApp como todo sistema tiene vulnerabilidades. Las encuentran y las utilizan”, definió Nocera.
En el esquema se suman los “muleros de cuentas”. Son personas que “prestan o venden” su cuenta bancaria sólo para que la gente les deposite el dinero de estos ilícitos. “También se están usando billeteras digitales”, explicaron en la banca privada. Eso dificulta la investigación policial, añadieron desde la AALCC, “porque algunas casas centrales están en otros países y no todos tienen convenios de cooperación. Se pierde mucho tiempo y puede llegar a fracasar cualquier investigación”.
Los “muleros” pueden ser personas de edad avanzada, o víctimas de otro ilícito, ya que “utilizan” identidad para abrir una cuenta. Y en general esto se hace en zonas inhóspitas. Esto complejiza la búsqueda porque “en esos lugares los niveles de seguridad no son tan altos” afirmó Nocera. Y agregó: “Piensan todo, se hace un gran trabajo de inteligencia, y lo peor es que la mayoría de estas estafas vienen de celulares activos dentro de los servicios penitenciarios”.
Falsos empleados bancarios
“El aumento de los fraudes virtuales es un fenómeno mundial que va en paralelo al avance de la tecnología, que creció exponencialmente durante la pandemia, y nuestro país no es la excepción”, señaló Daniela Dupuy, directora del Ocedic y fiscal coordinadora de la Unidad Fiscal Especializada en Delitos y Contravenciones Informáticas del Ministerio Público Fiscal de la Ciudad de Buenos Aires (Ufedyci).
Entre las modalidades más comunes en las que suelen caer las víctimas, Dupuy sostuvo que “en general los usuarios, que tienen problemas con su homebanking, recurren a las redes sociales para solucionarlo, por tratarse de la vía más directa e, incluso, a veces pensando en el ‘escrache público’ a la entidad para una pronta solución. En muchos casos, las cuentas de las redes en las que hacen el reclamo son verdaderas, pero los delincuentes toman de allí la información y los datos de ese usuario, y lo contactan directamente haciéndose pasar por el banco. En otros, directamente efectúan este escrache en una cuenta apócrifa de la entidad, manejada por delincuentes”.
El informe revela que se ha detectado que en el 90% de los casos la conversación migra a WhatsApp, donde el autor del delito se contacta directamente con el usuario, y que, en menor proporción, se encuentran los fraudes que involucran billeteras virtuales, conductas que salen de la órbita de usuarios de las web bancarias tradicionales. “Se trata de billeteras que tienen menos seguridad en las credenciales, y por ello resultan más fáciles de vulnerar por los delincuentes”, indicaron.
La estafa de la transferencia bancaria
Al phishing (falsos correos electrónicos personificando a empresas como Netflix o Mercado Libre que buscan quedarse con los datos de nuestras tarjetas de crédito), vishing (voice phishing, llamadas telefónicas de alguien que se hace pasar por personal de Anses o un banco para obtener nuestras credenciales bancarias o tarjeta de crédito) y smishing (lo mismo pero a través de SMS o WhatsApp), hay que sumarle un nuevo tipo de estafa que apunta directamente a los emprendedores que venden sus productos a través de Instagram o a quienes lo hacen a través del Marketplace de Facebook: la estafa de la transferencia bancaria.
Imaginemos que tenemos para la venta algún objeto en una plataforma online. Un supuesto interesado se contacta con nosotros consultando el precio y tras acordar la transacción, nos pide el CBU y el DNI para hacernos la transferencia correspondiente. Ahí es cuando el comprador “se equivoca” y nos transfiere “por error un monto varias veces superior, por lo que nos pide que le devolvamos la diferencia al CBU de un tercero o algún canal extrabancario, generalmente aduciendo algún motivo en particular. Como nosotros somos honestos -y sobre todo confiados- devolvemos el dinero depositado sobrante y seguimos con nuestra vida.
Días después, descubrimos que de nuestra cuenta se han estado realizando débitos a nombre de alguna entidad crediticia y ahora somos deudores de un crédito que nunca tomamos. ¿Qué sucedió? Resulta que algunas financieras online otorgan créditos con requisitos mínimos: CBU, DNI y un número de teléfono. Estas facilidades otorgan a los estafadores una valiosa herramienta para hacerse de nuestro dinero, endeudándonos sin nuestro consentimiento ni conocimiento.
Debin
Las entidades bancarias salieron a alertar a sus clientes por la modalidad de estafa virtual. Se trata del Débito Inmediato (Debin), un mecanismo concebido para agilizar transacciones pero que ha sido utilizado para realizar engaños.
El Débito Inmediato (Debin) es un medio de pago online que genera automáticamente un débito en la cuenta de la personas que lo recibe, que puede aceptarlo o rechazarlo. Si lo acepta, el dinero no ingresará a su cuenta sino que será debitado para que lo reciba quien envió el Debin.
La estafa consiste en que una persona avise a un tercero que le hará un pago a través de este método y en vez de enviarle dinero, se lo saca. Por ejemplo, el estafador se hace pasar por un comprador y le manda un mail o un mensaje al comerciante con la leyenda: “Te envié el pago por Debin, acéptalo para recibir el dinero”. El texto viene acompañado de un link, que la persona al aceptar, en vez de recibir dinero se le debita de su cuenta.
Recuperar el dinero
Muchos casos de estafas a través del homebanking o robos de identidad de WhatsApp que derivan en el vaciamiento de la billetera virtual que la víctima tenía en el teléfono generan una doble frustración. Es que varias personas que sufrieron este tipo de episodios denuncian que las entidades no les devuelven la plata que tenían en la cuenta, las obligan a pagar los cargos hechos por los delincuentes o, incluso, los créditos que sacaron.
"Al principio pasaba que no devolvían el dinero. Venían desesperadas a hacer la denuncia. Ahora muchos bancos, no todos, lo están haciendo a tal punto que esto se ve reflejado en las denuncias penales", dijo Dupuy. "Lo vemos cuando viene una víctima a la fiscalía y hace la denuncia que le sacaron 50 mil pesos. Pero a la semana citás de nuevo a la víctima y como le devolvieron el dinero no le interesa seguir con la causa penal", explicó. La fiscal dijo que eso se logró después de "mucha insistencia y coordinación por parte de la Asociación de Bancos y el Banco Central (BCRA)".
Como parte de ese trabajo en conjunto entre la Justicia, los bancos y el BCRA, también se estableció que cada una de las entidades debe llevar adelante una campaña de información dirigida al cliente. Durante la primera ola de estafas en pandemia, los bancos argumentaban que el sistema de acceso al homebanking y al cajero automático contaba con varias medidas de seguridad y que, de alguna manera, las víctimas facilitaban aunque sea un dato o clave para que los delincuentes pudieran ingresar.
Héctor Polino, de Defensa del Consumidor, expresó: "Los bancos no suelen asumir ninguna responsabilidad y si pueden responsabilizan a terceros, clientes, tarjetas de crédito, para no estar expuestos ni asumir cualquier tipo de indemnización. En general las entidades bancarias eluden esa responsabilidad a fin de que no aparezcan acciones judiciales, con lo cual al cliente no le queda otra opción que la de recurrir a un abogado. Es como una suerte de modus operandi que tienen los bancos, hasta donde yo sé, no conozco alguno que haya procedido de otra manera".
COMENTARIOS