Si ganaste un premio por actualizar tus datos desde el celular, te acaban de estafar

“Usted tiene una transferencia retenida, para activar sus operaciones de manera segura debe actualizar sus datos aquí”. ¿Quién no ha recibido un mensaje así en su teléfono celular o correo electrónico? La mayoría podría intuir que se trata de una trampa, pero muchos todavía no.

Entre enero y julio de este año, la Policía Nacional del Perú (PNP) recibió 1.117 denuncias de fraude informático. De estas, 974 fueron por transferencias electrónicas no autorizadas y 142 por compras fraudulentas en Internet. La clonación de tarjetas de crédito es un delito en extinción: solo una denuncia en los últimos siete meses.

“[La clonación] se ve cada vez menos. Los filtros de prevención han mejorado con los años. Ahora ya no es tan rentable para los delincuentes”, dice a El Comercio el coronel Orlando Mendieta, jefe de la División de Investigación de Delitos de Alta Tecnología (Divindat) de la policía.

En ese período además fueron capturadas 171 personas, la mayoría de ellas –ocho de cada diez, en promedio– por transferencias electrónicas no autorizadas.

Las cifras no son exorbitantes, pero sí deberían preocupar. La PNP estima que solo el 15% de las víctimas de delitos informáticos los denuncian. “En algunos casos ni siquiera saben que han sufrido un ataque y en otros, sobre todo cuando son empresas conocidas, por vergüenza o temor a que se afecte su prestigio o imagen no los denuncian”, explica Mendieta.

–Anzuelo y golpe–

El ‘phishing’ –del término ‘pesca’ en inglés– es el método más común de estafas electrónicas en el Perú. Es una treta simple pero efectiva: el pirata informático envía un mensaje a miles de números telefónicos o correos electrónicos. El cebo puede ser la atractiva oferta de un banco, el cobro de un jugoso premio o una transacción retenida. La única condición es acceder a un link.

Cuando un usuario da clic al enlace, se le solicita ingresar los datos de su tarjeta: el número de ella, su fecha de vencimiento y el código confidencial de tres dígitos (CVV) que casi todas poseen. En minutos, la información llega al e-mail o celular del hampón. Lo demás es una conocida y dolorosa historia de desfalcos y abultadas deudas.

“Desde el inicio del año hasta hoy [la primera semana de agosto] registramos 1’481.963 ataques de ‘phishing’ en el Perú, un promedio de casi 7.000 ataques diarios”, dijo a El Comercio Fabio Assolini, analista senior de Kaspersky, una prestigiosa compañía internacional de seguridad informática.

Con el tiempo, los hampones han perfeccionado las páginas falsas (‘scams’) con las que engañan a los usuarios. Hace algunos años, los ‘scams’ se veían como burdas imitaciones de las páginas web reales de bancos o tiendas por departamento, pero hoy en día se diseñan interfaces que podrían hacer dudar a cualquiera.

El experto en ciberseguridad Diego Bardalez recomienda verificar siempre que la página web a la que se accede es la verdadera, pues los piratas informáticos utilizan nombres muy parecidos a los originales. “Una buena práctica es colocar datos errados al primer intento. Si es un sitio falso, el proceso se completará aunque hayamos digitado información falsa”, remarcó.

Los tres meses de inmovilidad social en el país debido al COVID-19 obligaron a miles de personas no familiarizadas con los trámites digitales a aprender, sobre la marcha, a emplear la tecnología para administrar su dinero. Un atractivo segmento de potenciales víctimas para los delincuentes informáticos.

Por ejemplo, el BCP tiene 850 mil clientes nuevos en sus canales digitales, 800 mil de ellos registrados desde que la pandemia aterrizó en el país.

“Nuestro ratio es de 250 estafas por millón de clientes, es decir, en promedio, 750 personas de los 3,3 millones [que tenemos]. Esperábamos disminuir un 30% [los fraudes electrónicos], pero el número se ha mantenido relativamente por el incremento de nuevos usuarios. Los clientes nuevos son los más propensos”, señaló a este Diario el gerente de Canales Digitales del BCP, Jorge Luis Flores.

En diálogo con El Comercio, el Banco Ripley reconoció que en este período de emergencia “se identificó un ligero incremento de eventos de fraude en comercio electrónico, en su mayoría producto de la ingeniería social realizada a través de llamadas telefónicas”.

–Engaño en evolución–

Tiene menos de 35 años y un trabajo rutinario como el de muchos jóvenes de su edad. Pero en la red, el nombre de este hacker es un código de seis dígitos sin significado aparente: x5138x. Él conoce al detalle cómo operan los estafadores electrónicos.

“Lo más clásico es enviar un link falso por correo electrónico o celular. Pero eso tiene un problema, que no puedes saber quién tiene una cuenta en el banco al que atacarás. Por eso, ahora se usa el posicionamiento en Google y la publicidad en las redes sociales”, relata x5138x.

Esta técnica –explica– es mucho más efectiva que el envío de mensajes masivos. “Si mi página falsa de un banco aparece primero en Google, tú irías sin que yo te mande un link. Pasa lo mismo con la publicidad en Facebook. En un mes podrían caer unas 300 personas, por lo menos”, afirma.

Para un experto en informática, montar un sitio web similar al de un banco es una tarea sencilla y no demanda mayor inversión. “Te diría que son US$20, unos US$9 para el dominio y el resto para el hosting y el certificado SSL, el famoso candadito de las páginas seguras”, comenta el hacker.

El coronel Orlando Mendieta confirmó a El Comercio que las estafas electrónicas mediante el posicionamiento SEO en Google es una nueva modalidad que emplean los hampones. “Efectivamente, es lo último que hemos tenido. Son pocos [casos], pero están llegando”, añadió.

De acuerdo a la policía, la mayor cantidad de víctimas son personas de entre 25 y 54 años, al margen de su estrato socioeconómico. La gran mayoría (88%) vive en Lima.

“El perfil [de afectados] está relacionado a personas que están iniciándose en el uso de plataformas digitales. [Los estafadores] usan mecanismos que buscan recurrir más a las emociones que a la razón del usuario, por eso es que resultan más efectivos”, anotó Miguel Mendoza López, investigador de la compañía de seguridad informática ESET.

–Pirámide criminal–

El jefe de la Divindat menciona que los delitos informáticos en el mundo ocasionan pérdidas de alrededor de US$12.500 millones cada año.

“Para ellos es más rentable dedicarse al delito informático que, por ejemplo, ir a asaltar un banco, donde los pueden matar. El dinero que está moviéndose en el mundo por este delito está sobrepasando los límites”, acotó Mendieta.

De acuerdo a la Policía Nacional, las bandas dedicadas a estos crímenes pueden tener entre seis y 15 integrantes, y generalmente se estructuran en tres niveles:

1. El cabecilla, que puede ser un pirata informático o un socio suyo, encargado de la logística y la ejecución de las estafas.

2. Los captadores, cuya misión es conseguir mulas (‘drops’) para recibir el dinero de las víctimas.

3. Las mulas, personas que prestan sus nombres y cuentas para recibir lo recaudado en las estafas.

“La primera regla del buen hacker es nunca mandar las compras a tu casa ni el dinero a tus cuentas. En grupos de WhatsApp y Telegram encuentras ‘drops’, pero si tienes amigos que se dediquen a eso, mucho mejor”, asevera x5138x.

Las ganancias ilegales de un ciberdelincuente son muy variables. “Conozco gente que puede llevarse tranquilamente S/15.000 en un mes, como también pueden vaciar una tarjeta con S/14.000 en un solo día. Obviamente, de ahí debes descontar el porcentaje del captador y de los ‘drops’”, añade.

Como es evidente, el ‘drop’ es el eslabón más débil de esta cadena criminal, pero una pieza clave para que los investigadores de la policía puedan capturar a sus cómplices. “Las mulitas muchas veces son personas de escasos recursos y nos hemos encontrado con farmacodependientes”, resalta Mendieta.

Enfrentar a delincuentes que se esconden en el universo de la red es una tarea compleja para las autoridades. Para seguir el rastro de un estafador informático, la policía debe solicitar, en ocasiones, información confidencial –y protegida por la ley– a empresas como Facebook, Google o un operador local de telefonía. Y para ello es necesaria una autorización judicial.

“Tenemos investigaciones que duran entre seis meses y más de un año. La tecnología ha creado la despersonalización y esto crea anonimato. Y el anonimato puede llegar a la impunidad. Pero estamos mejorando exponencialmente nuestras técnicas de investigación y los procedimientos”, concluye el jefe de la Divindat.

En este mundo hiperconectado, las estrategias de los piratas informáticos para atacar a sus víctimas evolucionan día a día. Las autoridades no pueden perderles el rastro.

Recomendaciones de la policía para no ser víctima del ‘phishing’

1. Vincula tu teléfono celular a tus tarjetas bancarias y activa las alertas para estar al tanto de todas las operaciones en tiempo real.

2. Ningún banco te solicitará información confidencial por correo electrónico, mensajes de texto o llamadas. Nunca compartas esos datos.

3. No descargues aplicaciones ni programas de páginas web que no conoces.

4. Antes de ingresar tus datos en la página de un banco, verifica en la barra de direcciones que se trata de la web verdadera.

5. Ingresa a tus cuentas escribiendo el nombre de tu banco en la barra de direcciones, no a través de links ni sugerencias de Google.