Escribo sobre tecnología hace casi quince años, pero nunca había visto algo similar a lo que está sucediendo en estos momentos. Antes, los peligros -creíamos- eran otros, y hablábamos de virus, de computadoras infectadas. Pero ahora estamos viendo las consecuencias del mundo virtual en el mundo real. Ya no es solamente el mal funcionamiento de un equipo: hay vidas que se van allí. Este libro trata, justamente, sobre personas engañadas y estafadas de distintas maneras. Todos los casos sucedieron en la Argentina.
¿Cuál es la novedad? Que todos los casos transcurren de manera virtual, en la web. Lo que permite una característica particular, única: la escala ilimitada que tienen los delincuentes para atrapar gente. Es como una especie de mediomundo: no hay un objetivo personal o casi nunca ni muchas veces un objetivo claro. O al menos no lo hay en la mayoría de los casos de este libro, salvo una excepción: cuando el enemigo es alguien cercano.
Lo que van a encontrar aquí son engaños o estafas que afectaron a una, dos o tres personas pero que representan quizás a miles. Muchos incluso lo habrán evitado, pero nunca supieron qué hay detrás de esos correos falsos, de esas historias de las que pudieron ser parte.
Es que la rentabilidad de los engaños digitales está en el volumen: no sirve, en términos de negocio, que sea un ataque dirigido, sino que lo más efectivo es que haya muchas personas, organizaciones o gobiernos, todos al mismo tiempo, siendo engañados.
De ahí deriva otra característica de este tipo de delito: para que la maniobra sea realmente masiva, extremadamente escalable, es necesario que no haya contacto físico entre el atacado y el atacante. Estos dos vectores no se encuentran nunca porque eso atentaría contra el principio de escala del negocio. Y es fundamental: para que haya semejante tamaño, no tiene que haber pérdida de tiempo ni gastos logísticos en un encuentro personal.
Pongamos un ejemplo práctico: no es posible un robo a mano armada simultáneo en Buenos Aires y en Australia. Pero usando la tecnología sí se puede estar engañando a tanta gente a la vez en diferentes partes del mundo, con mensajes individuales para cada uno. Incluso con algo que suena aterrador: esos mensajes quizá fueron automatizados y ni siquiera fueron creados por seres humanos. No hay límites ni fronteras. Alguien en Costa de Marfil podría estar ganando dinero con una víctima en la Argentina. No es un ejemplo hipotético. Es un caso real. Donde haya un dispositivo conectado (un celular, una computadora, ¿una TV?), habrá un objetivo, una posible víctima.
“odo esto escala porque la penetración de internet no vino acompañada de una educación. Por ejemplo todo el mundo dice: ‘Mi hijito es superinteligente, mirá cómo maneja YouTube’. No, inteligente es el que hizo YouTube para que tu hijo de cinco años lo maneje”, ejemplifica Horacio Azzolin, titular de la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI).
La gente que cae en estos engaños no es ni más ni menos preparada que nadie: estas historias afectan sin distinción a cualquier nivel académico y socioeconómico. Los engaños aprovechan el poco tiempo de la víctima, la confianza, el desconocimiento y sobre todo las vulnerabilidades propias de cada uno de nosotros, que están presentes en todos los seres humanos, sin importar su nivel educativo.
En general, las empresas de seguridad informática y los especialistas suelen hablar de daño informático. Pero poco hablan de la dimensión humana. Creo que esto es clave para entender el fenómeno que intento representar en este libro: ya no debería hablarse de daño informático, sino más bien de daño humano.
Cerré este libro entre los meses de abril y mayo de 2020, durante el aislamiento social obligatorio para la prevención por Covid-19. Tiempos en los que creció el tráfico de datos a contramano del contacto físico. Muchos lo hicieron obligados, para poder seguir trabajando. Otros, para poder seguir en contacto con sus familiares, con sus amigos. Y de algo no hay duda: la migración hacia el mundo digital ocurrió y seguirá su curso en los próximos años. Pero adoptar herramientas, saber manejarlas, no significa necesariamente hacer un uso crítico y responsable de ellas.
Aquí hay nueve historias bien diferentes y con distintos tipos de engaños. En casi todos, el factor humano es clave en algún momento. Por eso lo importante de contarlo: para evitar que lo que ya le sucedió a un contador del municipio de 25 de Mayo vuelva a ocurrir. O lo de aquel que se enamoró de un contacto falso en Facebook; o lo de Boca Juniors, que nunca recibió un pago; o contar la historia de esas mujeres engañadas en Tinder por James Ferguson, un supuesto ingeniero nuclear en Boston, Massachusetts. O recordar a aquellos que compraron en un hot sale colchones baratos, sin saber lo que había detrás. O revelar lo que les sucedió a esos chicos menores de 15 años que cayeron en manos de un groomer. O quizá lo que le pasó, más complejo, a la Policía: allí también hubo errores humanos. Todo está contado aquí.
“En algún momento, continúa Azzolin, decían que Puerto Madero era el barrio más seguro de la Ciudad de Buenos Aires. Eso ya no importa. Ya no es saturación de policías, es de usuarios. Entonces, si nosotros pudiéramos empoderarlos más, minimizaríamos el riesgo de que esto pase”, sintetiza el fiscal.
Lo digital nos conecta, nos amplifica, y les permite a los delincuentes alcanzar mercados impensados, ilimitados, segmentados. Este libro busca empatizar con las víctimas de esas acciones. Los seres humanos necesitamos historias con las cuales sentirnos identificados porque son las que mejor funcionan -intuyo, creo- para evitar que haya más casos como los que aquí se describen. Y que sirvan para concientizar al eslabón más débil: el ser humano. Las historias de gente real, cuyos nombres preservo y modifico en causas que no fueron públicas, nunca fueron contadas y pueden ser fundamentales. Esta quizá sea la primera vez ( ).
“Bienvenido a mi morada. Entre libremente, por su propia voluntad, y deje parte de la felicidad que trae”, le dice el conde Drácula al joven abogado Jonathan Harker, que acaba de llegar a un castillo perdido de Transilvania, en la obra maestra de Bram Stoker. Nunca una advertencia fue tan clara. Sería ideal que alguien pusiera ese mensaje antes de cada clic, de cada intento por quitarnos algo. Es que, al igual que en el caso de Harker, en este libro también se pone en juego cómo los seres humanos somos siempre los que, en plena inocencia, damos el primer paso para que estos engaños sucedan.
Aquí hablaré de cómo evitar esas maniobras, lo que requiere de atención y criterio. Es un desafío, por supuesto. ¿Cómo le pedís atención a alguien que está en el baño, en su cama, charlando con sus amigos o en el ascensor?
Hay acciones, de las más básicas a las más complejas, para evitar el robo de información, que es algo clave en todo esto. Empecemos. En septiembre de 2019, el diario La Nación publicó que en Argentina se robaban 166 celulares por hora. ¿Vas a dejar los datos además del dispositivo? ¿Qué vale más? Lo primero y principal: tenés que configurar tu teléfono para que se bloquee por inactividad. Tiene que haber una barrera para que alguien pueda usarlo. Utilizá una clave alfanumérica o un pin de seis dígitos para desbloquearlo.
Si el celular está sin barreras, cualquiera podría tener acceso a tus cuentas. O pagar con MercadoPago, por ejemplo, con tus tarjetas precargadas. También revisar tu Facebook, ver tu Instagram, tus correos electrónicos. Eso suponiendo que tienen tu dispositivo. Si aún no lo tienen, podrían acceder a tus correos o redes en caso de que no las hayas protegido lo suficiente. Por eso, algo importante es no dar indicios en tus contraseñas: no repetir en el password el nombre, ni la dirección, ni algún dato previsible. Lo importante no es tanto que sean fáciles de recordar, sino que sirvan como barrera de seguridad. No parece ser el caso de la mayoría. En 2019, a partir de un análisis realizado por NordPass (un administrador de contraseñas) sobre un total de 500 millones de passwords que se filtraron en varias brechas de seguridad, se descubrió que 12345, 123456 y 123456789 eran las más utilizadas.
La recomendación con respecto a las claves es que uses la misma para sitios o cuentas de igual riesgo. Por ejemplo, que la clave para home banking sea la misma para cosas de similar importancia, y después tener password para la cuenta de mail principal y otra para cuentas y suscripciones que no son tan importantes. Entonces, si te comprometen una clave, solo tendrás en riesgo las del mismo nivel de sensibilidad, y no todo. También es recomendable cambiar de vez en cuando las contraseñas.
Además, es importante utilizar el doble factor de autenticación. Esto es combinar al menos dos variables distintas a la hora de ingresar a un servicio: por ejemplo, una clave (algo que sé), con una app o servicio disponible en el teléfono, como una llamada o SMS (algo que tengo) y alguna forma de validación biométrica, como la huella dactilar (algo que soy). Así, por ejemplo, para ingresar a Twitter es necesario poner el usuario, la clave, y además un código por mensaje de texto que se envía por única vez para validar.
A las redes y los correos hay que protegerlos con doble factor de autenticación, fundamentales para restringir los accesos, para que la clave no sea la única barrera. Es algo que tienen los principales servicios, que permite que cada vez que ingreses a una cuenta (sea de Instagram, Twitter, Gmail) haya una validación de distinto tipo. La más segura, según los expertos, es la que se hace por hardware. Por ejemplo, con un dispositivo que se llama Yubikey, aunque casi nadie la utiliza. No es la habitual, porque hay que comprar algo aparte.
En Gmail o MercadoLibre podés combinar el uso de una contraseña con un password por SMS o desde una app. Para esto último funciona muy bien Google Authenticator o Authy (aplicaciones disponibles en Android y iOS), que son como tarjetas de coordenadas que te habilitan la entrada a esos lugares. En tercera instancia, está la opción del doble factor de las apps, que pueden mandar un código por SMS o llamarte para que valides tu ingreso. Hay que activarla en cada uno de los servicios, claro, pero no es grave: lleva menos de un minuto y se hace -dependiendo de la app– desde Configuración/Seguridad/Autenticación en dos pasos.
Aparte, considerá usar un gestor de claves (password manager, en inglés), que te guarda todas las claves cifradas, ya sea en tu compu o en la nube, protegidas por una clave maestra, y las recupera y usa automáticamente cuando querés loguearte a algo. Lastpass es la más conocida. Estos gestores suelen ser útiles para sitios a los que no se accede con frecuencia (siempre es más difícil memorizar algo que no usamos seguido) y permiten tener contraseñas más complejas, ya que no hay necesidad de recordarlas. Aun así, el uso de los gestores genera contradicciones entre especialistas: hay algunos que no están a favor porque dicen que es como poner todos los huevos en la misma canasta.
Hora del cuidado
Además de las claves, hay cuestiones que, más allá de una contraseña o ingreso seguro, dependen de las acciones cotidianas: ¿a quién de ustedes se le ocurriría dejar una sesión abierta en una computadora que es compartida por otros seres humanos? Sin ir más lejos, eso pasa en el lugar donde trabajo. En la radio, todos los días me encuentro con sesiones de Twitter abiertas, cuentas de Gmail y todos los documentos liberados, o Facebook en modo público. Alguien podría ingresar en una billetera digital como MercadoPago, pedir recupero de contraseña, mandarla al mail y listo.
Dejar la puerta de casa sin llave, abierta, es bastante raro, pero dejar nuestras cuentas, que tienen tanto de intimidad como nuestros hogares, es mucho más posible. Una opción acá es configurar la computadora y el teléfono para que se bloqueen después de un tiempo de inactividad. En el caso de la PC, cuando la dejes de usar, podés bloquearla a mano (tecla Windows + L).
En ese sentido, el monitoreo de cuentas (y las alertas que estas suelen emitir ante cambios de contraseña o ediciones en los perfiles) puede ser fundamental. La clave aquí es que pueda reportarte de inmediato una actividad inusual para proteger tus datos y servicios. También -aunque no es estrictamente virtual, pero lo vale- las tarjetas de crédito cuentan con esta opción, incluso con la posibilidad de enviarte por correo electrónico cada gasto, aunque sea de un peso. Se puede hacer online en los portales de cada tarjeta.
Todas estas son protecciones ante una eventual intromisión. Nos alertan. Si nos robaron el celu, es útil poder saber si alguien ingresa a esos servicios que quedaron allí. Pero hay veces que el ingreso externo es una invitación de la inocencia (la nuestra, claro). A todos nos puede pasar. Son casos de phishing por correo electrónico. Cuentas de Netflix que amenazaban con suspenderse por falta de pago, deudas o problemas con MercadoPago, o de iCloud, el servicio de almacenamiento online de Apple. El phishing -recordemos- consiste en correos que simulan ser de alguna empresa y buscan engañar a las víctimas con la intención de robar información personal o financiera. Quizás el remitente sea extraño, esté mal escrito el correo. El camino para dejar de dudar puede ser tipear la dirección del sitio oficial en el navegador.
No sé si hay una lógica que se repite siempre, pero la mayoría de las veces funciona así: el asunto del correo es alarmista o busca llamar tu atención, te incita a algún tipo de acción inmediata, te ofrece un gran descuento como incentivo o utiliza pretextos para conseguir tus datos personales, te habla de un reseteo que nunca pediste, te pide hacer clic en un hipervínculo sin aclarar a dónde lleva En todos estos casos, son mensajes falsos. Y si se trata de un banco, deberás saber y tatuarte: nunca una institución financiera pidió ni pedirá cambios de contraseña o saldos adeudados por correo electrónico.
Engaños con solo conectarte
Abrir la puerta de tu casa, mostrarle a alguien externo dónde guardás tus ahorros o enseñarle cada una de las tarjetas de tu billetera también puede suceder por propia voluntad. Te puede pasar con solo conectarte a una wi-fi. Hay redes en lugares públicos que en rigor no funcionan como medio de conexión a internet y nada más, sino para recopilar datos como información de tarjetas de crédito y más. Hay otras, abiertas y con contraseña, que brindan servicio de internet a sus clientes en un bar. ¿Te conectás desde esas redes a tu home banking, por ejemplo? Mejor evitarlo. Incluso las redes legítimas alojadas por establecimientos pueden estar abiertas a las escuchas digitales, de modo que evitarlas puede ser clave. Algunos especialistas recomiendan utilizar una VPN (virtual private network) como seguridad adicional: una especie de navegación con vidrios polarizados que oculta tu dirección IP y mantiene tus datos personales lejos de posibles delincuentes.
Tampoco se trata de evitar las compras online. Sería ridículo. Pero quizás haya algunos consejos para evitar ser víctima de un engaño, de una estafa. En HotSale o CyberMonday, hay páginas oficiales que tienen a todos los socios que participan. Desde allí están todos los links que conducen a los sitios verdaderos, y no a sitios falsos que contengan promociones falsas. Nadie regala nada Ni pasajes, ni teles, ni mucho menos plata.
Ojo: a veces, estas promociones dudosas llegan por WhatsApp. Una de las últimas que circularon por la red de mensajería decía: “Aquellos que trabajaron entre 1990 y 2019 tienen el derecho de retirar $ 120 mil de gob. de Argentina. Verifique si su nombre figura en la lista de aquellos que tienen derecho a retirar estos fundos [sic]”. La “propuesta” aparecía firmada por el Ministerio de Trabajo y Previsión Social de Argentina. Era falsa, claro.
También notarás que la mayoría de los sitios oficiales -si no todos- usan “https” para garantizar una conexión cifrada entre vos y los administradores de la página. Aunque, en rigor, no es garantía de seguridad (los estafadores también podrían hacer sitios con https, como lo hicieron los de Cuponsemanal.com), si el sitio es verdadero y honesto, es un dato más de confianza.
Por último, es importante contar con un software de seguridad. Muy pocos usuarios lo tienen. Sistemas operativos como Windows, por ejemplo, traen uno preinstalado (Defender). Pero quizás ahora mismo, mientras estás leyendo este libro, te des cuenta de que no hay nada que te advierta, ni que te evite, un virus como el ransomware, que atacó a la cooperativa de Esquel. O recuerdes que una aplicación que instalaste hace poco te pidió más permisos de los que habrías querido, y vos los aceptaste sin pensar en los peligros.
Pero ¿alcanza con un antivirus? No. A la vez hay otras cosas a las que deberás estar atento, por ejemplo:
◆ Mantené tu computadora actualizada con los últimos parches de seguridad, algo que Windows y Mac hacen automáticamente (¡pero dales bola!).
◆ Hacé backups periódicamente. Uno completo por mes y otro por semana. Hay softwares que lo hacen automáticamente.
◆ Desinstalá todas las aplicaciones que no uses o que no quieras (tanto en el teléfono como en la compu).
◆ Minimizá la cantidad de apps que usás o instalás. Muchas apps gratuitas filtran información, y quizá (como nunca leíste los términos y condiciones) varios de tus datos hayan sido cedidos (o vendidos) al exterior.
◆ Configurá tu compu para que tenga los discos cifrados (tanto en Windows como en Mac, esto se puede hacer cambiando la configuración del sistema). Esta acción sirve principalmente para que si perdés o te roban la compu/celular nadie tenga acceso directo a los datos almacenados allí.
◆ Evitá dejar datos personales en sitios de internet. Si es indispensable, create una segunda o tercera cuenta de mail solo para ese uso.
◆ Hablá con los chicos sobre las identidades falsas. Aquí es importante que entiendan que incluso ellos, quizá menores de 13 años, pudieron crearse una cuenta en Facebook e Instagram solo modificando su edad. ¿Por qué no podría otro hacer eso, como mínimo? (este concepto vale para adultos también).
◆ Explicales la noción de cuentas verificadas (que se representa con una tilde azul al lado del nombre). A veces creen que los sigue un “famoso” al cual admiran y, en rigor, es una cuenta “homenaje” o de fanáticos.
◆ Antes de empezar a publicar algo, configurá la privacidad. Por ejemplo, tené la cuenta en modo privado (aunque, claro, de nada servirá si después aceptás a todos los que solicitan autorización).
◆ Tené en cuenta que tener amigos en común no significa nada. Muchos groomers agregan a alguno, y entonces luego otros amigos bajan las barreras porque suponen que es un conocido. El amigo del amigo.
◆ En el caso de menores (sobre todo, chicos de hasta cuarto grado de primaria, si usan juegos online, bloqueales el chat. Aunque no sea estrictamente una red social, vincula con desconocidos.
◆ Si se acuerda un encuentro físico, se tiene que hacer en determinadas condiciones. La primera cita debe ocurrir en un lugar en el que haya mucha gente. Y los menores deben ir acompañados de un adulto.
◆ La revisión de las cuentas -explica Lucía Fainboim, directora de la ONG Faro Digital- funciona con los más pequeños y siempre con aviso. Algunos padres optan por tener esas cuentas en sus teléfonos para control. “Luego habrá que desprenderse de este método porque puede transformarse en una invasión a su intimidad”. La clave -señala- es “hablar cotidianamente sobre lo que hacen en internet, lo que les gusta, lo que no, y que ante cualquier duda o inquietud sepan que sus padres están disponibles para charlar”, asegura.
Entre abril y mayo de 2020, durante la cuarentena obligatoria para la prevención del Covid-19, mientras terminaba de escribir este libro, el aumento del uso de las herramientas digitales hizo que, a la vez, se multiplicaran los reclamos por estafas online. A la par, lo que sucedió con los usuarios y las empresas no fue una transformación digital. Fue un exilio analógico. Millones de personas y miles de compañías se vieron alejadas de su lugar natural de pertenencia. Obligadas a irse. A comprar y vender online. A teletrabajar, a estudiar a distancia. A utilizar el home banking. Y en ese aterrizaje forzoso, sin aviso ni educación previa, las consecuencias todavía están por verse. La Ufeci, por ejemplo, recibió quinientos por ciento más de denuncias en esos días.
Estos son solo algunos de los consejos. El tema central del libro son todas las cosas que pasan mientras suceden otras. Por eso, el principal consejo es estar atento, desconfiar, poner cerraduras digitales. El estado de alerta permanente. No hacer un clic sin pensar. Usar la mirilla. Incluso cuando cueste prestar atención en determinadas situaciones (como cuando estamos en el baño, en la cama, charlando con amigos, en un ascensor) hay que intentarlo.
Y, para terminar, aunque parezca contradictorio, te voy a pedir que viralices algo. Adivinaste: dale este libro a otra persona; seguro que algo vamos a lograr. Hagamos lo posible para que, cuando andemos por el mundo virtual, no dejemos -como diría el conde Drácula- “parte de la felicidad que uno trae”.
☛ Título Engaños digitales, víctimas reales
☛ Autor Sebastián Davidovsky
☛ Editorial Ediciones B
Datos sobre el autor
Periodista con amplia experiencia en temas relacionados con la tecnología. Actualmente conduce No dejes para mañana y comparte aire con María O’Donnell en Tarde para nada, ambos en Radio con Vos.
En 2017 y 2019 recibió el premio ESET al Periodismo en Seguridad Informática y recibió una mención de ADEPA en el rubro Información General.
Cubrió ferias de tecnología en distintas partes del mundo, como el CES de Las Vegas y el Mobile World Congress en Barcelona
