¿Cómo podemos prevenirnos de las estafas virtuales?, es la cuestión que interesa a cada vez más gente que ha sufrido este tipo de ilícitos o que conoce a distintos casos que han ocurrido en nuestra ciudad.
Hugo Alfredo Vaninetti es abogado, consultor y especialista en Derecho Informático y las TIC´s.
Se ha dedicado a investigar este mal que existe a desde hace un tiempo, teniendo como herramienta no un arma de fuego ni un cuchillo, sino a la internet.
El es autor de los libros “Aspectos jurídicos de Internet” y “Responsabilidad civil de los buscadores de internet”, ambos de editorial Platense y de 82 trabajos publicados en revistas jurídicas nacionales y del extranjero relativas al derecho informático, que lo transforman en un conocedor reconocido en este tema.
Al ser consultado por Democracia, el especialista reflexionó: “Las características intrínsecas de Internet posibilita múltiples consecuencias positivas (interconexión virtual, eliminación de barreras de espacio y tiempo, económicamente accesible, acceso a contenidos ilimitados de cualquier lugar en el mundo, etc.) pero también acarrea como contracara aspectos negativos como los delitos informáticos, y entre ellos, las defraudaciones o estafas informáticas”.
Los estafadores
Según lo expuesto por el doctor Vaninetti, en las defraudaciones producidas en el medio virtual nos encontramos con dos tipos marcados de “estafadores virtuales”:
a) Los que realizan fraudes mediante maniobras ardidosas tradicionales encuadrables dentro de la figura del art. 172 de nuestro Código Penal, como los casos de subastas on line, compra de productos on line, oportunidades de negocios e inversiones, ventas piramidales, pedidos de donaciones, promoción de viajes, etc. Estos estafadores se perfilan como personas de conocimientos mínimos de informática puesto que necesitarán contar con conceptos básicos y elementales, a saber: navegación por Internet, utilización del mail, etc. Ofrecen productos y servicios que nunca serán recibidos ni prestados una vez concretado el desprendimiento patrimonial (entrega de sumas de dinero) de la víctima tras el ardid que induce al error (creer como cierto lo que le ofrecen).
b) Los otros casos de defraudación informática efectuados a través de la red mediante la figura del 173 inciso 16 se logran a través de cualquier manipulación de un sistema de procesamiento de datos efectuado a distancia, es donde ya se perfila un individuo con conocimientos más profundos y específicos en cuestiones vinculadas con la informática. Dentro de éste segmento los sujetos activos (victimarios) despliegan técnicas y procedimientos específicos de variada complejidad.
Las modalidades
Entre las modalidades más frecuentes en materia de éstos delitos, el especialista local mencionó los siguientes:
- Phishing: Esta modalidad consiste en el envío de correos electrónicos desde remitentes falsificados para capturar datos. Generalmente son enviados por quienes dicen representar a una entidad bancaria argumentando cambios en los sistemas. Le solicitan los datos del usuario (claves) supuestamente para darlos de baja y crear posteriormente otra. Con dichos datos facilitados los estafadores realizarán operaciones comerciales a nombre de la víctima, los fondos pueden ser desviados a cuentas de terceros, etc. El mismo ardid para obtener los datos puede ser orientado mediante llamadas telefónicas bajo idéntica modalidad.
Si bien es una actividad que puede ser desplegada en forma masiva utilizando el spam en su versión spoofed e-mails, también puede adoptar formas más personalizadas pues existen ciertos casos de phishing concebidos para un destinatario en particular. Con esta segunda modalidad los ciberdelincuentes buscan engañar a personas de gran poder económico. Se diferencia del masivo en que llega con datos personales muy concretos, con lo que es más verosímil, induciendo con mayor facilidad al error de la víctima escogida.
A su vez tanto el smishing como el vishing son formas de phishing (suplantación de identidad).
El término "smishing" se refiere al phishing que se realiza mediante mensajes de texto (SMS) y el “vishing” mediante llamadas desde teléfonos con sistemas computarizados de llamada y contestación. Al igual que en el phishing, un mensaje, escrito o por voz, con un tono urgente es enviado al usuario instándolo a tomar acción (por lo general cambio de claves de acceso a cuenta bancaria).
-El pharming: Consiste en la creación de páginas web falsas, por lo general, de entidades bancarias. Mediante una técnica informática específica que consiste en trucar el sistema de nombres de dominio (DNS, por sus siglas en inglés, Domain Name System), cada vez que el usuario quiere ingresar al sitio de su banco es reorientada a una página falsa o también denominada espejo pues a simple vista es idéntica a la original. La victima sin percatarse del ardid realiza transacciones cediéndoles a los estafadores todos sus datos. Puede o no estar enlazada con la modalidad del phishing.
- Ingeniería social: elaborados mails, cadenas de chats, Facebook, Whastsapp, etc., son enviados bajo consignas que van desde realizar trabajos desde sus domicilios con un ingreso hasta operaciones comerciales y financieras que le reportarán suculentas ganancias. Los incautos entregan a los estafadores sus datos en pos de dichos negocios ofrecidos pero en realidad son empleados para operaciones comerciales a nombre de la víctima.
-La captura de los datos personales y claves de tarjetas de crédito y bancarias pueden realizarse además mediante técnicas como el empleo de dispositivos sniffing (del inglés olfatear, husmear) que capturan los datos en redes wi fi sin introducirse a una terminal, mediante keylogger que es un software malicioso que captura todos los logs (registros) que un usuario realiza en su teclado, etc.
Todas éstas prácticas defraudatorias enunciadas son solo algunas de las mas empleadas pero existen mas y seguirán surgiendo otras pues una vez que se descubre algún mecanismo para frenarlas se necesitarán de nuevas modalidades para obtener los mismos fines ilícitos.
A su vez existen prácticas relacionadas con la defraudación informática que bien pueden realizarse sin la intervención de internet. Entre ellas se pueden citar:
- Clonación de tarjetas de débito (skimming): los hackers emplean falsos tableros colocados sobre los auténticos cajeros automáticos a los fines de registrar y copiar los datos de las tarjetas que introducen los usuarios (el número del plástico, el código de seguridad y el número del DNI). Con dichos datos posteriormente se realizan distintas operaciones comerciales que son cargadas a la cuenta del titular.
- Copia de datos de la tarjeta de crédito: una persona puede acopiarse de los datos de las mismas (por ejemplo un empleado infiel de un establecimiento comercial) para luego crear falsos perfiles en plataformas de pago virtual y desde allí realizar operaciones comerciales que son cargadas al titular de la cuenta.
-Manipulación de los sistemas informáticos contables y de operaciones electrónicas, por ejemplo efectuadas por un empleado infiel de una entidad comercial o bancaria, con la finalidad de desviar fondos para su beneficio o de terceros.
El doctor Vaninetti manifestó que “sin embargo, las practicas más comunes de estafas electrónicas se desarrollan mediante Internet, el cual tiene como rasgos distintivos ser un medio en donde cualquier usuario puede estar a la vez en un lugar y en otro debido a esa inexistencia de barreras tempo/ espaciales, por ser una vasta red interconectada de computadoras, teléfonos inteligentes (smartphone), tablets, discos rígidos, bases de datos y servidores en todo el mundo, donde a la vez cada uno de dichos dispositivos puede ser generador, intermediario y receptor en esa transferencia de datos, accediéndose prácticamente al instante, desde cualquier lugar del planeta”.
Cómo determinar jurisdicción
El entrevistado advirtió que “todas éstas características antes señaladas hacen evidenciar a su vez los inconvenientes en cuanto a la determinación, por ejemplo, en qué Estado, y además dentro del mismo, que jurisdicción será competente para investigar actividades ilícitas en internet, ya que un sujeto o una organización criminal puede cometer un ilícito y afectar bienes jurídicamente protegidos de personas y hasta de un Estado situado a miles de kilómetros del primero, y la información puede pasar y estar alojada en otro lugar diferente a éstos extremos”.
Aclaró que también se debía mencionar la posibilidad cierta que, identificándose el lugar desde donde se inició la acción ilícita, la persona ni siquiera sepa que está cometiéndola puesto que su terminal puede estar infectada por un malware que la convierte en lo que la jerga denomina “zombie”, debido a que queda a merced de las ordenes de un tercero también a miles de kilómetros de dicho lugar. Los propietarios de dichas terminales zombie son a la vez victimarios y víctimas.
La legislación
El especialista consultado por Democracia, apuntó que “en materia de investigación de los delitos informático existe además un inconveniente adicional para la investigación y persecución penal el cual puede estar representado en que la generación de la acción ilícita se inicie o transcurra en alguna de sus fases en países con escasa o nula legislación penal sobre delitos informáticos, como así también ser menos proclives a la cooperación internacional”.
“Todo lo anteriormente señalado acarrea, entre otras problemáticas, lo dificultoso de la investigación en materia de ilícitos informáticos, pero ello no debe constituirse en barreras impeditivas para denunciarlos ya sea a la autoridad policial (Provincial o Federal) y/o directamente ante una Unidad Fiscal de Instrucción (UFI) de turno o la Fiscalía Federal (dependiendo de la jurisdicción)”, instó el doctor Vaninetti.
Por hacer
El doctor Vaninetti consideró que en nuestro país aun deben implementarse Fiscalías específicas destinadas a investigar todo lo relacionado con la cibercriminalidad por su alta complejidad y características, dotadas con funcionarios altamente calificados en la materia como así también crear cuerpos o brigadas especiales de investigación policiales, tal como funcionan en la Ciudad Autónoma de Buenos Aires.
Aclaró que, en cuanto a la faz investigativa de delitos informáticos, nuestro país contaba con dos divisiones policiales muy bien organizadas: la División Delitos Tecnológicos de la Policía Federal Argentina y la División Cibercrimen de la Policía Metropolitana.
“También en nuestro Departamento Judicial Junín, por ejemplo, existe dentro del Ministerio Publico Fiscal desde hace algunos años atrás, una Oficina de Tecnología Informática abocada a la investigación especifica de los delitos informáticos, que ha significado sin dudas un importante avance en mi opinión”, destacó.
“Debo recalcar que el modelo investigativo en materia de cibercriminalidad, sobre el cual vengo bregando desde hace años en algunos de mi trabajos publicados en revistas jurídicas, con Fiscalías y cuerpos policiales con especificidad en la materia, debería de replicarse en todas las jurisdicciones del país, a la vez que se debe orquestar una red y sistema de interconexión y cooperación entre las mismas como así también con autoridades judiciales y policiales extranjeras para facilitar la investigación y persecución criminal de éstos ilícitos informáticos por las características particulares de internet como medio comisivo. En la actualidad, sin bien se ven esfuerzos en pos de cristalizar lo enunciado anteriormente y existen mecanismos de cooperación con criterios de aplicación adecuados, aun falta mucho por hacer en nuestro país en el área de la cibercriminalidad”, sostuvo el doctor Vaninetti.
Cómo protegerse
Ante la consulta sobre cómo una persona podía protegerse ante este tipo de delitos informáticos, manifestó: “Quisiera hacer hincapié sobre las medidas de protección que todas las personas debieran observar para no caer en una estafa electrónica y las cuales se relacionan fundamentalmente con la información y la prudencia”.
Apuntó que la Información es porque se requiere conocer muy bien cuáles son las distintas modalidades delictivas para no ser víctimas de ellas. “En mi opinión, se necesitan amplias, constantes y masivas campañas de publicidad estatal por los distintos medios de comunicación, que indiquen cuales son las distintas modalidades y como evitarlas, y en caso de incurrir en ellas, donde acudir para denunciarlas”, dijo.
En cuanto a la Prudencia es porque se relaciona con tomar ciertos recaudos personales ante situaciones que pueden generar sospechas, y se mencionan a continuación:
- Ante un mail o cualquier otro mensaje de entidad bancaria que solicite, por ejemplo claves de tarjetas por cambios de sistemas etc., primero efectuar la consulta personal o vía telefónica al banco correspondiente.
- No abrir directamente los enlaces dudosos que están en los cuerpos de los mensajes electrónicos (mails, Whatsapp, chats, etc.)
- Emplear sistemas de pagos electrónicos confiables.
- Consultar periódicamente los saldos de las tarjetas de crédito para observar cualquier operación o movimientos no efectuados;
- Cambiar periódicamente contraseñas;
- Mantener los sistemas de antivirus y operativos actualizadas de las distintas terminales informáticas;
- Tomar la precaución de observar si las paginas tienen, en la barra del navegador de internet, las siglas “https” (seguras) y no “http”. Si bien se conocen casos donde hasta se han fraguado páginas seguras es más dificultoso hacerlas.
Finalmente el doctor Hugo Vaninetti advirtió que si bien cualquiera podía ser víctima de un delito informático de estas características (defraudación o estafa electrónica), por lo que si bien no se los podría evitar en algunos casos, en otros si se puede evitar, por estar debidamente informados y siempre que se proceda con la debida prudencia ante toda operación electrónica.
COMENTARIOS