El número de muertos por las graves inundaciones que castigan desde hace dos semanas el sur de Brasil ha llegado a 148 y el de desaparecidos a 127, según...
Actualizado
- 23/04/2021 00:00
Creado
- 23/04/2021 00:00
Cómo un ingeniero informático se infiltró en una operación de estafa telefónica: exponiendo a los estafadores y sus esquemas. Uno de los hallazgos: la manipulación psicológica que se logra a través de frases amistosas que surten el efecto de calmar a sus víctimas
En la edición de abril del boletín la American Association of Retired Persons (AARP), de la Asociación Norteamericana de Personas Jubiladas, aparece un reportaje especial dedicado a los fraudes que han proliferado en los medios sociales de la internet, para robar, de manera especial, a personas de edad avanzada.
Se trata de un informe investigativo preparado por Jim Browning, un ingeniero especialista en informática, quien ha utilizado sus vastos conocimientos técnicos para infiltrar e investigar a equipos internacionales especializados en fraudes para esquilmar a usuarios vulnerables. Jim Browning no es el verdadero nombre de este buen samaritano. Es un alias que utiliza para protegerse a sí mismo y a su familia de malhechores sin fronteras y, paradójicamente, también de las autoridades legítimas, porque, como lo explica el boletín, sus actividades de espionaje técnico, aunque moralmente encomiables, pueden ser técnicamente ilegales.
Por la importancia del tema, he decidido glosar algunos de los puntos destacados de este reportaje especial de la AARP, una organización a la que pertenezco, dedicada a proteger a sus miembros y al público en general.
La táctica generalmente utilizada por los estafadores consiste en enviar mensajes electrónicos no solicitados, aduciendo que en la computadora o en el teléfono del usuario se ha detectado un ataque, y que para proteger sus datos y evitar un colapso catastrófico de sus dispositivos, la persona debe llamar de inmediato a un número telefónico, donde técnicos certificados la auxiliarán. Por supuesto, la llamada es fraudulenta, el ataque no existe y el propósito es asumir control del equipo de la víctima para defraudarla.
Jim recibió una de estas comunicaciones, y sabiéndose protegido por sus conocimientos técnicos y picado por la curiosidad, decidió contestarla. Después de un breve intercambio, Jim se percató de que tal ataque no existía y que el único propósito de la llamada era robarle. Esta experiencia lo decidió a convertirse en espía de los espiadores, y compilar información detallada sobre sus tácticas.
No es mi propósito detallar los procedimientos utilizados por Jim para lograr su propósito. Quienes saben inglés pueden leer el reportaje en su totalidad accediendo al enlace en la internet: https://www.aarp.org/bulletin/ Lo que sí considero de interés para los lectores de La Estrella de Panamá es mencionar algunos de los programas utilizados por los defraudadores y algunas de las tácticas psicológicas empleadas para relajar a sus víctimas y cautivar su cooperación. La manipulación psicológica se logra a través de frases amistosas que surten el efecto de calmar a sus víctimas. Frases como, “No se apresure, señor, tome el tiempo que necesita”; o bien, “Estamos aquí para ayudarle, no se preocupe, todo se resolverá”, “¿Desea un vaso de agua? Vaya, le esperamos..., no hay prisa”, y con personas mayores, el uso de la familiaridad, “su voz es muy dulce, señora, me hace recordar a mi abuelita”.
Entre los programas técnicos que permiten el control en línea de su computadora se encuentran el TeamViewer y otros similares como AnyDesk o FastSupport. Estos pueden ser programas benéficos de ayuda técnica, pero en manos de ciberdelincuentes son armas poderosas para la criminalidad.
Existen aplicaciones que permiten también la manipulación remota de teléfonos celulares mediante la técnica del “espejado” o el copiado sistemático de la información contenida en un dispositivo. AirDroit, AirMirror, DeskDock, Mobizen y otros, son ejemplos de estas aplicaciones.
La complejidad de los ataques cibernéticos continúa en aumento. El clima de aislamiento creado por la pandemia ha intensificado estos ataques. Los defraudadores se mantienen informados de todo lo que es novedoso o popular, y actúan con rapidez y creatividad para sacarle ventaja. El boletín de la AARP describe varios. “Zoom Phishing” es uno de ellos. Los estafadores establecen numerosos dominios falsos de internet desde los cuales pueden enviar e-mails relacionados con la pandemia para diseminar sitios en la web de video-conferencias populares. Desde allí mandan textos o mensajes informando que la persona debe hacer clic en un enlace porque su cuenta ha sido suspendida por diversas razones. El enlace es fraudulento y les permite atacar su computadora. Su defensa es nunca acceder a un enlace que usted no haya solicitado. Otra estratagema consiste en aprovechar la ingenuidad de personas que anuncian su vacunación en los medios sociales con una imagen de su comprobante. Este comprobante contiene su nombre, fecha de nacimiento y lugar de vacunación. Con estos datos los estafadores tienen una buena parte de la información necesaria para acceder a cuentas bancarias y obtener tarjetas de crédito fraudulentas en nombre de la víctima.
Otra estrategia es el uso de sitios de “compra en línea” falsos, en los que se utilizan imágenes publicitarias de sitios verdaderos. En ellos se anuncian gangas ficticias que el comprador que pagó con su tarjeta de crédito nunca recibirá. “Transferencias bancarias” es otro de los medios utilizados por los cibercriminales para estafar. La estratagema consiste en invocar una “transferencia accidental o errónea”. Utilizando tarjetas de crédito o débito robadas, el estafador transfiere a la cuenta de la víctima una suma considerable de dinero, arguye que fue un error y la llama para pedir la devolución. Usted verifica el ingreso del dinero a su cuenta, se da cuenta de que no es dinero suyo y lo devuelve. Cuando el fraude se descubre, el depósito recibido es denegado, y usted ha reembolsado dinero que nunca realmente recibió. Para protegerse contra este fraude: nunca reembolse en línea dinero “accidentalmente” depositado o “recibido por error” en su cuenta. Acuda al banco para aclarar la situación.
El técnico de informática “Jim Browning” afirma que si las circunstancias son apropiadas, “absolutamente cualquier persona” puede ser víctima de un fraude cibernético. No importa el grado de educación, la edad, los conocimientos técnicos o el estado social de la persona. Me pongo de ejemplo.
Mi afición a los cantos gregorianos data de mis años escolares en el colegio Miramar y el colegio La Salle de Panamá. Mi esposa Catherine posee la misma afición porque se educó con monjas benedictinas en Estados Unidos. Durante 10 años administramos en nuestro hogar dos grupos gregorianos: uno de hombres, llamado “Exaudi nos” y otro de mujeres, llamado “Cum Jubilo”. En enero de este año uno de nuestros cantores buscaba un libro de este género, litúrgico y musical, difícil de conseguir. Comencé a investigar en línea y encontré un ejemplar en un sitio perfectamente reputable del cual he sido cliente por años. Por alguna razón, mi pago por la transacción no aparecía en mi cuenta. Preocupado de que iba a perder la oportunidad de comprar este raro ejemplar, traté de comunicarme con el sitio. En esta época de pandemia, hablar por teléfono con una persona en un sitio comercial no es nada fácil. Decidí indagar en la internet la manera de comunicarme con un ser humano en vez de escuchar interminables mensajes electrónicos. No tardé en encontrar información en línea para hacerlo. Cuando llamé al número que encontré en la internet creí que estaba hablando con el personal del vendedor, pero en realidad, el sitio al que llamé era fraudulento y el que me contestó fue un estafador. Esa persona pidió acceso a mi celular para corregir el problema. Pensando que, como yo había iniciado la llamada, el sitio era legítimo, bajé mi guardia y colaboré. En el curso de la conversación observé cierta conducta que me hizo sospechar y corté la llamada. Sin demora, investigué mi tarjeta de débito y me percaté de una transacción de $500 en proceso que yo no había autorizado. Acudí inmediatamente al banco y cancelé la tarjeta. Eso ocurrió el 6 de enero. Posteriormente me enteré que en esa fecha, no una, sino dos transacciones de $500 trataron de tramitarse con cargo a mi cuenta. Ambas fueron rechazadas. Yo había frustrado al defraudador. Me convertí en víctima potencial por ser yo quien inició la llamada. Si, por el contrario, la llamada la hubiera iniciado el defraudador, como decimos en Panamá, no habría llegado a primera base. “Jim Browning” tiene razón: según las circunstancias cualquier persona puede convertirse en víctima.
Otro ejemplo refuerza lo anterior. Aquí, me limito a transcribir un whatsapp reenviado por mi amiga María Cristina de la Guardia, anfitriona de nuestro grupo de Whatsapp llamado “Mes amis” en Panamá. Lo recibí el mismo día en que leí la edición especial de AARP sobre la ciberdelincuencia, lo cual me inspiró a redactar este artículo.
“Buenos días a todos. El día de ayer mi WhatsApp fue hakeado y les quiero compartir esta experiencia para que no les pase a ustedes. El proceso se inicia con el envío de un mensaje pidiendo que les comparta un código SMS que accidentalmente se envió a su celular, y que en verdad es el código que activa su WhastsApp en otro dispositivo generado por el hacker. Si se envía ese código su WhatsApp queda suplantado por el hacker en otro dispositivo para poder usar sus contactos activos, realizar más hackeo y lograr más información. No se sabe en qué se utiliza la información obtenida, pero no es buena, porque una vez instalado en otro dispositivo tienen casi 12 horas para hacer su fechoría y el WhatsApp queda bloqueado para su uso por todo ese tiempo. Yo tuve que pedir a mi operadora desligar el chip para bloquear esa cuenta por medio de un correo del servicio de atención de WhatsApp, y hacerlo hasta obtener mi nuevo código, un proceso que demoró dos horas. De antemano les pido disculpa y que cualquier información solicitada por WhatsApp de mi persona, sea confirmada antes por una llamada. Espero que esta experiencia les sea útil y podamos evitar futuros ciberataques.”
Transcrito casi literalmente, el mensaje anterior aparece firmado por el Dr. Alfonso Mou.
Los ejemplos anteriores demuestran que todos podemos ser víctimas. No solo las personas mayores.
Medidas prácticas de defensa contra el crimen cibernético sugeridas por “Jim Browning”:
Dejen que las llamadas de personas desconocidas sean transferidas al correo de voz.
Sencillamente borren cualquier “ventana emergente” (pop ups) sospechoso o mensaje telefónico de origen desconocido.
Si llega a contestar el teléfono, pida que cualquier información que le soliciten se haga por escrito y cuelgue de inmediato. Si la petición es legítima la recibirá, si no lo es, nunca le llegará.
No permita que nadie obtenga acceso remoto a su celular o a la computadora de su hogar. Me permito agregar que la única excepción aceptable es la petición de acceso recibida de una entidad con la que usted haya firmado un contrato de servicio, para obtener ayuda técnica que usted haya solicitado.
El potencial de la internet como instrumento de comunicación social es extraordinario y benéfico, pero su capacidad como vehículo nefario y antisocial es igualmente potente. El uso de la internet requiere cautela.
Lo Nuevo
