Solo en el primer semestre del año, hubo 2368 denuncias ante Defensa del Consumidor. Qué hacer si se es víctima de ciberdelincuencia.
Es una noticia con protagonistas distintos al menos una vez por semana. La señora que tomó un préstamo preaprobado que nunca quiso. El señor que le envió dinero vía transferencia a su supuesto amigo, que en realidad era un impostor. La joven a la que le prometieron que si aceptaba un Debin recibiría dinero, pero en realidad solo lo estaba entregando.
Todas estas fueron modalidades de estafas virtuales que se multiplicaron durante la pandemia y que hicieron que miles de argentinos perdieran plata en manos de ciberdelincuentes. El esquema de base es el siguiente: de alguna manera, se persuade a la víctima para que dé sus usuarios y contraseñas bancarias o de cualquier otro servicio donde guarde dinero u otros activos; alguien ingresa a sus cuentas y realiza operaciones para robarle. Más adelante, mutó en una suplantación de identidad de algún conocido de la víctima, una especie de “cuento del tío 2.0”.
Para conseguir las claves, las técnicas son varias. Puede ser desde un mail enviado en nombre del banco, billetera o exchange de criptomonedas, con la misma estética de la empresa (phishing). A inicios de la pandemia también se las solicitaba mediante las redes sociales, con cuentas que se hacían pasar por tal o cual firma. También hay llamados de personas que se hacen pasar por ejecutivos de cuentas (vishing) o SMS falsos (smishing).
Según datos de la Dirección Nacional de Defensa del Consumidor y Arbitraje del Consumo, dependiente de la Secretaría de Comercio Interior, en todo 2020 se recibieron 1735 reclamos por problemas de estafa o fraude en servicios financieros. Pero en el primer semestre de este año, los reclamos fueron 2368. La suba fue del 326%.
Solo en junio, las denuncias fueron 584 (contra 124 en el mismo mes de 2020); en mayo, 490 (contra 96); en abril, 355 (contra 82) y en marzo, 371 (contra 83).
TN.com.ar conversó con fuentes de la Secretaría de Comercio, de la Unidad Fiscal Especializada en Ciberdelincuencia (Ufeci), de la Defensoría del Pueblo porteña y del departamento de Ciberseguridad de un importante banco de capitales nacionales para entender cuáles son los tipos de estafas más comunes.
A continuación, la lista, ordenada según la consecuencia final del hecho:
Préstamos preaprobados: fue la que más proliferó durante la pandemia, luego frenada por las medidas del Banco Central. Se trata del tipo de estafa más denunciado hasta junio, según la Dirección Nacional de Defensa del Consumidor y Arbitraje del Consumo. Funcionaba de la siguiente manera: mediante técnicas de phishing (algún mail que se hacía pasar por el banco), vía redes o vía llamado telefónico, se obtenía acceso a los usuarios y contraseñas de los clientes de una entidad financiera. Se ingresaba al Home Banking y se solicitaba un “crédito a un click”. Ahora, los bancos tienen que verificar fehacientemente que sea su cliente el que lo está pidiendo y además tienen que dar aviso por todos los canales de que esto sucedió. Vaciamiento de cuenta o billetera: cuando los ciberdelincuentes tienen acceso a las claves de un cliente de un banco o de una billetera virtual, también extraen todo el dinero que allí se encuentra. Esta es la más típica en el caso de las billeteras virtuales, explica el titular de la Ufeci, Horacio Azzolin. En ese sentido, el BCRA dispuso que a partir de este mes solo se pueden asociar tarjetas de crédito y débito, cajas de ahorro o cuentas de pago u otras fuentes de fondos solo del titular de la cuenta.
Robo de palabras y vaciamiento cripto: hay una derivación de esta acción previamente descripta que hoy sucede con exchanges cripto, explica el fiscal (se consiguen las palabras clave que “salvaguardan” una billetera de criptomonedas y se las vacía), pero todavía son pocas las denuncias formales, alrededor de unas 50. Sucede que, en este universo, en ocasiones hay dinero sin declarar, por lo que las víctimas a veces optan por no denunciar. Débito inmediato: esta estafa es una de las más complejas de desarticular simplemente porque opera mediante una herramienta que es casi desconocida para el público general, el Debin. Se trata de un medio de pago online que genera un débito y es enviado por quien necesita cobrar. Es decir, cuando a alguien le llega un Debin, este está pagando y no recibiendo dinero. Los ciberdelincuentes prometían lo inverso. Un caso típico, explica Azzolin, es un vendedor que le dice a su comprador que este le transfirió dinero de más y que quiere devolverle. Le envía un Debin para, supuestamente, depositarle esa plata extra, pero en realidad le extrae fondos de su cuenta. El BCRA dispuso que los bancos tienen que hacer una advertencia a sus clientes cuando se les envíe un Debin que explique que, al aceptarla, se le extraerán fondos de su cuenta.
Envío de transferencias a pedido: limitados los créditos preaprobados y los Debin, Azzolin explica que hoy proliferan las denuncias por suplantación de identidad en WhatsApp. Sucede de la siguiente manera: alguien hackea la cuenta de mensajería de una persona (o solicita un chip o SIM duplicado, por lo que tiene acceso a sus contactos) y empieza a solicitarle sus conocidos que le envíen dinero con la excusa de alguna urgencia. La víctima no sabe que quien le pide el “préstamo” no es su amigo, vecino o familiar, por lo que accede a enviárselo. También pueden llegar este tipo de mensajes a través de redes sociales, a las que los delincuentes acceden a través de un hackeo.
¿Por qué es tan fácil caer en una estafa virtual?
Los ciberdelincuentes utilizan el concepto de confianza y de urgencia, explica Pedro Adamovic, CISO de Banco Galicia, a cargo de ciberseguridad. “Por ejemplo, envían un mail con todo el look and feel del banco, dicen que tu cuenta tiene un problema y te piden que pongas tus credenciales”, explica.
En 2020, las entidades financieras tuvieron problemas masivos con perfiles falsos en redes. Sucedió que, a raíz de la pandemia, muchos clientes comenzaron a comunicarse con sus bancos a través de las redes. Los ciberdelincuentes detectaron esto y crearon cuentas gemelas (aunque no verificadas), y así solicitaban claves.
Además, se suma un punto importante, explica Adamovic: no se vulnera a la persona, no hay un hecho a simple vista violento. El caso más reciente, detalla el especialista, es el SIM swapping: se trata de solicitar un SIM gemelo del celular de alguien haciéndose pasar por esa persona, enviarles mensaje a sus contactos (que muchas veces están alojados en ese chip) para pedirles plata con la excusa de algún problema. De nuevo: confianza, urgencia, persuasión.
¿Qué soluciones se les dio a los damnificados?
Arturo Pozzali, defensor adjunto en la Defensoría del Pueblo de la Ciudad de Buenos Aires, explica que el primer paso para cualquier damnificado por este tipo de estafas es hacer una denuncia en una comisaría o una fiscalía, como en cualquier caso de robo, para constatar que se cometió un delito. Luego hay que hacer una denuncia penal y solicitar un amparo. Hasta que la Justicia no falla, el banco no sabe si hay delito o no, por lo que el dinero todavía no se devuelve y, en el caso de los préstamos preaprobados, se acumula deuda.
“Hubo muchos jubilados damnificados por el tema de los créditos preaprobados que tuvieron que pagar abogados para hacer denuncias y pedir amparos”, señala Pozzali.
La Defensoría del Pueblo toma los trámites administrativos para interceder ante el banco en un caso de este tipo. Por otro lado, también hace pedidos formales para que las entidades financieras mejoren su atención al cliente y tengan canales específicos habilitados para que sus clientes puedan avisar si fueron víctima de fraude, algo que algunas instituciones ya tienen.
Azzolin explica que ya hubo muchos fallos judiciales a favor de los damnificados en el caso de los préstamos preaprobados porque, antes de que el Banco Central impusiera nuevas regulaciones, “los bancos sabían que las operaciones en home banking son de riesgo (porque no se verifican tan fácilmente los datos biométricos como en el caso de las visitas presenciales), sabían que sus clientes no estaban lo suficientemente preparados y ofrecían un producto a un click que el cliente no pidió nunca y casi sin ningún patrón de seguridad”.
Sobre las resoluciones de los casos, el fiscal explica que generalmente las entidades financieras no reconocen el dinero extraído si hubo un vaciamiento de cuenta, pero sí frenan el pago de las cuotas del préstamo preaprobado. Azzolin detalla que, del lado de la víctima, es un trámite relativamente rápido y puede suceder, incluso, que no llegue a acumular ni un vencimiento.
Además, los damnificados pueden denunciar en el sitio web de Defensa de Las y Los Consumidores. En ese sentido, la Secretaría de Comercio multó a bancos por incumplimiento a la obligación de informar de manera clara, cierta y detallada sobre los riesgos y los mecanismos para evitar las estafas e incumplimiento al deber de seguridad.
Recomendaciones para no caer en una estafa virtual
A continuación, 10 consejos de la Secretaría de Comercio Interior y el BCRA para evitar estafas bancarias:
Si se recibe un aviso sobre un supuesto error al realizar una transferencia bancaria, no se debe responder a estos mensajes. Ante cualquier duda, se debe comunicar telefónicamente con el banco. Tiene que ser el cliente el que llame y nunca aceptar una llamada supuestamente originada en la entidad. Es una nueva práctica ilegal detectada que simula un error en una transferencia bancaria por la compra de un bien ofrecido.
Nunca se debe acudir a un cajero automático, abrir la app o acceder al home banking cuando se recibe una llamada supuestamente proveniente de la entidad bancaria. El cliente debe ser el que origina la llamada.
No brindar ningún dato personal (usuarios, claves, contraseñas, pin, Clave de la Seguridad Social, Clave Token, DNI original o fotocopia, foto, ni ningún tipo de dato) por teléfono, correo electrónico, red social, WhatsApp o mensaje de texto.
No ingresar datos personales en sitios utilizando enlaces que llegan por correo electrónico ya que podrían ser fraudulentos. Tener especial cuidado con los enlaces sospechosos y asegurarse siempre de estar en la página legítima antes de ingresar información de inicio de sesión. Leer cada correo electrónico recibido con cuidado.
Utilizar contraseñas fuertes mezclando mayúsculas, minúsculas y números. Tienen que ser fáciles de recordar, pero difíciles de adivinar por otras personas. No usar la misma clave para distintas aplicaciones, cuentas, plataformas o sitios.
No usar equipos públicos o de terceras personas para acceder a aplicaciones, redes sociales o cuentas personales.
No usar redes de wi-fi públicas para acceder a sitios que requieran contraseñas.
Mantener actualizado el navegador, el sistema operativo de los equipos y las aplicaciones (se recomienda eliminar las que no se utilizan).
Aprender a diferenciar un perfil verdadero de uno falso en redes sociales. Los perfiles legítimos tienen una tilde azul de autenticidad. Los perfiles falsos generalmente solo tienen publicaciones muy recientes y poca cantidad de seguidores. Si se detecta un perfil falso se puede reportar la cuenta como spam.
Siempre se debe tomar un minuto antes de actuar. Quienes realizan este tipo de estafas apelan a las emociones, descuidos y urgencias.