Lo que hasta marzo de 2020 era una opción, pasó a ser una obligación. No me refiero al uso de barbijos, sino a la necesidad de llevar adelante todas las actividades laborales y personales de manera online.
En ese contexto, la delincuencia también se volcó hacia esa modalidad, particularmente para la comisión de fraudes.
En esta ocasión me referiré a la modalidad de estafas que mayor auge tuvo a partir del comienzo del aislamiento. Se trata de la usurpación de identidad digital de entidades públicas y financieras, para contactar a beneficiarios o clientes de esas instituciones y engañarlos para que entreguen información sensible de sus cuentas bancarias.
El robo o usurpación de identidad digital por ahora no es un delito en la Argentina, pero es la puerta de ingreso para la comisión de distintas formas de estafas. En concreto, y en relación al tipo de fraudes que estamos analizando, consiste en la utilización del nombre comercial y la imagen de marca (logotipo o isologotipo) para crear un perfil en alguna red social y simular que se trata de, por ejemplo, una entidad bancaria.
Quien sea contactado a través de ese perfil, visualizará una fotografía oficial del banco cuya identidad está siendo usurpada (que fácilmente puede ser descargada de cualquier sitio de Internet), y un nombre de usuario casi idéntico al nombre comercial de la entidad, aunque con algunas pequeñas variaciones como la inserción de un guion bajo, un punto o la palabra ‘ok’ (@BancoXXXX_, @Banco. XXX, @BancoXXX_ok, sólo por dar algunos ejemplos).
Una vez que el atacante se contacta con la víctima, despliega una serie de ardides para hacerle creer que se trata de un representante oficial del Banco.
Las excusas van desde cómo hacer trámites para comprar los 200 dólares mensuales permitidos por la legislación actual, cómo cobrar el beneficio del IFE (ingreso familiar de emergencia) o simplemente cómo obtener un turno para ir al banco de manera presencial. Una vez que la víctima es engañada, porque cree que realmente está hablando con un oficial de su banco, se le pide que entregue su nombre de usuario y contraseña para operar por homebanking.
Sumida en error, y pensando que esos datos son necesarios para el trámite que desea realizar, entrega esa información sensible que jamás debe ser compartida con nadie. A partir de ese momento, el atacante puede ingresar a la plataforma online y si el cliente cuenta con un segundo factor de autenticación (mediante el envío de un código vía sms o token), también se le pide que lo remita.
Es allí cuando la víctima pierde el control de su cuenta bancaria. Desde ese momento el atacante se dedica a transferir todo el dinero disponible en la cuenta y, si puede, también a solicitar algún crédito, que también es transferido. Al final de la operación, la más de las veces, la víctima no sólo ha perdido sus ahorros, sino que se encuentra con que hay un crédito solicitado a su nombre, cuyas cuotas le comenzarán a descontar.
Desde el punto de vista penal, se trata de una estafa en los términos del art. 172 del Código Penal, cuya escala va de un mes a seis años de prisión.
Quienes se contactan con las víctimas, tanto como quienes prestan sus cuentas bancarias para recibir el dinero de las transferencias ilícitas, deberán responder a título de autores y partícipes necesarios de ese delito.
Pero más allá de la sanción penal, lo importante es resaltar la importancia de concientizar sobre la seguridad de nuestros datos sensibles (usuario y contraseña) de las plataformas online.
Esos datos nunca, bajo ninguna circunstancia, deben ser entregados a nadie. Los bancos no llaman para pedir esos datos, no los requieren para ningún trámite. Quienes opten por contactarse con estas entidades a través de redes sociales, siempre deberán corroborar que se trata de la cuenta verificada (con un tilde azul en el caso de Instagram) y nunca pasar a otro canal de comunicación que no sea aquél con el cual comenzaron la conversación.
Franco Pilnik es fiscal de Cibercrimen de la Justicia provincial