Crecieron más del 465% en pandemia, ante la pasividad del sistema financiero. Sustituyen identidades, engañan con falsos mensajes. En ese marco, hackearon 300 mil cuentas de Mercado Libre. Reclamos por falta de campañas y una ley de datos. Consejos de cómo cuidarse.
"Hoy me llamaron desde este número diciendo que eran de Mercado Libre y me llamaban porque ‘alguien se había apoderado de mi cuenta y quería hacer un gasto’. Pronto advertí que todo era inconsistente, pero decidí seguirla". Así comienza el hilo de Twitter de Sebastián Pilo, co–director de la Asociación Civil por la Igualdad y la Justicia, en el que detalla cómo quisieron estafarlo. Supuestamente una tal Florencia Ramírez estaba comprando un aire acondicionado de 80 mil pesos desde su cuenta. Le pedían su mail y hasta que cambie su contraseña de Mercado Libre (ML) por un "código de seguridad" que ellos le daban. Con él no lo lograron, pero su testimonio tuvo una catarata de otros usuarios contando que les había sucedido algo similar. La inseguridad digital es un hecho. Las denuncias crecieron exponencialmente en pandemia y ahora se sumó un agravante: el hackeo de al menos 300 mil cuentas de ML.
Según un informe de la Unidad Fiscal Especializada en Ciberdelincuencia (Ufeci) del último trimestre del año pasado, las denuncias aumentaron 465% comparado con los meses previos a la cuarentena. La tendencia sigue creciendo. El Centro de Ciberseguridad Ciudadana de la Ciudad recibió en enero–febrero de 2022 un 30% más de denuncias que en el mismo período de 2021. El 35% son por suplantación de identidad. "Detectamos un incremento significativo de los accesos a billeteras digitales y cuentas como Mercado Pago. Todas las modalidades tienden a tratar de acceder a la cuenta ya sea por engaño o por pérdida de control. Hoy cuando roban un celular no sólo monetizan con el aparato, sino con la plata que tenés accesible desde el teléfono. Todas estas nuevas aplicaciones que te permiten transferir con QR súper fácil también permiten que te afanen súper fácil", alerta Horacio Azzolin, titular de Ufeci.
Las estafas por engaños son las más generalizadas: por ejemplo, un supuesto mail de Mercado Libre diciendo que se bloqueó la cuenta, con un enlace que va a un sitio igual a ML en el que se pide poner el usuario y contraseña. Luego el estafador capta esos datos, ingresa al verdadero ML y se transfiere el dinero. "Si dejás una queja en alguna red social de tu banco o Mercado Pago, los malos están viéndolas permanentemente. Te contactan como Servicio al Cliente, les das los datos por teléfono y entran –acota Azzolin–. No des los datos a nadie, ninguna app ni banco te va a pedir los datos de esa forma, no hay que compartir ni exponerlo en redes sociales. Es uno de los grandes problemas que estamos viendo».
Miguel Sumer Elías, abogado especialista en ciberdelitos y director de Informática Legal, explica que la cuarentena generó "una ola de usuarios inexpertos de todas las edades que fue muy hábilmente explotada por ciberdelincuentes, frente a la desidia de los bancos que no respondían en tiempo y forma las consultas de sus usuarios. Hubo una gran pasividad del sistema financiero ante algo que no era nuevo, con tibias campañas de advertencias. Recién hace pocos meses el Banco Central decidió a ponerse más firme obligando a los bancos a que hagan chequeos de autenticidad, sobre todo ante pedidos de préstamos extraños para lo que es el historial del cliente. Ahora mínimo deben chequearlo con el titular de la cuenta".
En un escenario con estafas en aumento, Mercado Libre anunció el hackeo de al menos 300 mil cuentas. El ataque se lo adjudicó el grupo Lapsus$. Su intención sería "cobrar un rescate" por los datos, pero existe temor por la seguridad de los usuarios. "Lo recomendable es cambiar las contraseñas, chequear los últimos movimientos y activar la doble autenticación para ingresar, hay apps como Google Authenticator o Authy que se pueden usar", comenta el abogado Daniel Monastersky, General Partner en datagovernancelatam.com y director del Centro de Estudios en Ciberseguridad y Protección de Datos de la Universidad del CEMA.
De acuerdo a la firma especializada Avast, un 35% de los consumidores digitales del país se topó en algún momento con un intento de estafa. En enero de este año, apresaron a una mujer y un hombre en Neuquén que se habían hecho pasar por asesores de ML y estafaron a casi cien personas, pidiéndoles datos personales para "actualizar la información de su cuenta". Reunieron un millón de pesos. También en enero tres personas fueron detenidas en el sur del GBA por más de 1300 operaciones en ML utilizando 700 tarjetas de crédito de distintos usuarios: compraron por $ 33.906.534.
La contraseña más repetida cada año "123456". Los especialistas remarcan la importancia de pensar una que no sea fácil de robar. "Tener contraseñas muy robustas imposibles de adivinar y muy fáciles de recordar –recomienda Sumer Elías–, hay reglas memotécnicas como pensar en frases largas y anotar las iniciales de cada una de las palabras". Las modalidades delictivas más utilizadas suelen ser el phishing o suplantación de identidad, engaños, clonaciones de tarjetas, secuestro de archivos con fines extorsivos (ransomware). Algunas vienen creciendo. Es el caso del SIM swapping: usando los datos de una persona le piden a la empresa telefónica un nuevo chip del celular, con el que luego le roban fondos de sus cuentas.
Monastersky advierte la falta de una campaña de concientización y educación digital seria y sostenida en el tiempo: "Es algo pendiente y fundamental para poder brindarles herramientas a los usuarios y minimizar las posibilidades de delitos. La cultura del dato es inexistente en nuestro país". Para Sumer Elías, se requiere un cambio cultural "muy profundo" para dimensionar el riesgo de lo digital: "en el mundo físico percibimos el riesgo de forma anticipada. En el digital pasa lo contrario, hay muy poca información y la que hay no se entiende. Antes eran las salideras bancarias, hoy el dinero es digital, en un clic te robaron 500 mil pesos, los delincuentes mutaron y se especializaron".
No saber ni cuándo ni cómo
Una de las modalidades que más creció es la de "los fraudes en línea": cuando los datos de una tarjeta son utilizados por otra persona. Representan casi el 60% de las denuncias. Paula Quiroga, docente de 33 años de Tandil, tiene dos cuentas de débito y una tarjeta de crédito con Banco Provincia. El sábado 19 de febrero, abrió Cuenta DNI en su celular. "Veo que me faltaba plata. Chequeo consumos, y me aparece uno de 9.100 pesos que decía Pago Fácil, que me lo habían hecho el día anterior", relata a Tiempo. "Ese sábado a la noche me llega un nuevo consumo con la tarjeta de crédito de 57 mil pesos. Y al martes siguiente me faltaban 5 mil pesos de la otra cuenta de débito. Me hackearon los datos de las tres tarjetas y nunca supe ni cuándo ni cómo fue". Hace dos días le llegó un mail del banco. Le reconocieron la primera estafa.
Desde Afip y Renaper hasta el sitio Mi Argentina sufrieron la filtración de miles de usuarios en el último tiempo. El Censo 2022 tendrá una modalidad online, por lo que las autoridades, ante el peligro de posibles estafas, ya advirtieron que solo será través de la página, nada de mail, app ni WhatsApp, y tampoco llamará nadie pidiendo datos. "La gente debe aplicar el sentido común como nunca antes, desconfiar de todo lo que aparezca en la web o nos llegue al teléfono, sean ofertas o noticias alarmantes –apunta Sumer Elías–. Los delincuentes aplican ingeniería social: buscar que la razón no se active y se actúe impulsivamente por emociones. Siempre el mensaje es: urgente, ‘hacé clic ya’. Todo lo que sea alarmante, llamativo o demasiado agradable, es para desconfiar".
Piden nueva normativa
Daniel Monastersky es uno de los impulsores de una nueva Ley de Datos actualizada. "Es fundamental que obligue a las empresas y organizaciones a notificar cuando tengan un compromiso de datos. Hoy no es obligatorio, se conocen muchos casos porque se hacen públicos a través de las redes y medios de comunicación pero casi nunca a través de la propia empresa. Otro aspecto con el que debería contar la normativa es la figura del Delegado de Protección de Datos, es central y muy valorada en legislaciones más avanzadas, como en el Reglamento Europeo de Protección de Datos y también en Brasil". Y agrega "la definición de un Director/a de la Agencia de Acceso a la Información Pública, acéfala desde hace más de un año. Es la autoridad de control de la Ley Nacional de Protección de Datos. Y deben actualizarse los montos de las sanciones, hoy son tan exiguas que no cumplen su función".
«Te van cansando y vas actuando sin pensar»
Ana es actriz. Realiza contenidos en su canal de YouTube, donde tiene que desvincular las cuentas de Mercado Pago. "Es un dolor de cabeza tremendo, una cadena de cosas que no se terminan", cuenta a Tiempo. Esa cadena empezó hace 40 días. En medio de problemas personales que estaba atravesando, recibe un llamado de "Mercado Pago Seguridad". Supuestamente, una mujer estaba comprando un aire acondicionado en su nombre. "Tenían todos los datos de mis tarjetas. Sabían todo. Mi error fue darles mi usuario de home banking, los tipos entraron, me tuvieron dos horas, me decían ‘ahora te derivamos a Red Link’. Seguro era otro de ellos haciéndose pasar por el banco. Eran unos maestros del engaño. Después te quedás mal porque sentís que formaste parte del robo".
No solo le sacaron el sueldo. "En un momento me hicieron entrar a Mercado Pago y pedir un crédito de 15 mil pesos en doce cuotas. Cuando lo hacés sin pensar no te das cuenta, te van haciendo apretar cosas. Te van cansando. Me lo hicieron depositar en el Home Banking. Después ellos entraron y se transfirieron todo". En Banco Ciudad, donde tiene su cuenta, aún tienen su caso en el área Fraude, pero como ella misma dio sus datos le anticiparon que no contemplarían la estafa. Con MP tampoco tuvo respuestas: "Cuando me doy cuenta, estoy dos horas buscando en Mercado Pago dónde podía comunicarme. Es un sistema donde les chupa un huevo las personas, no hay atención al cliente, no hay ley, hay impunidad y mucha falta de información. No hay herramientas seguras para que podamos usar algo que ellas inventaron".
Ana también fue a la fiscalía. Al día siguiente la vuelven a contactar. La misma voz del estafador. Esta vez era porque había ganado un premio. Le pide que la llame en veinte y acude a la fiscalía. "Me volvió a llamar. ¿Podemos interceptar su número?", pregunta. Le responden que no hay manera. "Me terminan diciendo solo que no les de mis datos".