Ciberseguridad

Crecen las estafas por sorteos de Instagram: qué tener en cuenta y cómo prevenir que te vacíen la cuenta

Los intentos de estafa en las redes sociales para quedarse con los datos personales no dejan de crecer. Relatos en primera persona y recomendaciones para proteger tanto a la marca como a los clientes.

"Subí el sorteo a las 12 de la noche, allá por abril, y al otro día me levanté con un montón de mensajes contándome que los contactaron diciéndoles que habían ganado un premio y que necesitaban todos sus datos ". Palabras más, palabras menos, así cuenta Ana Brandstadter, creadora del servicio de suscripción literaria Bukku, lo que le pasó por lo menos en dos oportunidades.

"Vos subís la foto de un sorteo, toman esa foto y hacen como una copia de tu perfil, de las últimas nueve fotos, las copian y al perfil le ponen casi tu mismo nombre con algún detalle extra, un punto o una letra de más, y la gente piensa que es tu cuenta. Y después empiezan a agregar a los que participaron del sorteo, les escriben y les piden información para "canjear el premio". Les terminan de dar los datos de la tarjeta", relata la emprendedora. 

"Es increíble que alguien acceda y les dé los datos pero sucedió, me escribieron tres personas diciéndome: 'ya di los datos', a lo que respondí: 'Ya mismo llamá al banco y da de baja la tarjeta porque es una estafa'. Lo que empezamos a hacer es informar que nosotros en ningún momento tenemos datos de pago. Todo es por medio de Mercado Pago", marca, preocupada.

¿Qué buscan los ciberdelincuentes? Los datos de los usuarios o clientes, en este caso, de una empresa, una pyme o un emprendimiento que realiza algún tipo de actividad -o tiene presencia- en las redes sociales. Y no les hace falta romper ninguna barrera de seguridad informática, porque logran que las propias personas les den los datos que quieren mediante técnicas de ingeniería social como la que cuenta Brandstadter.

"A nivel de usuarios particulares se vio un incremento de denuncias de fraudes y estafas en línea con técnicas de comisión más sofisticadas y nuevas modalidades de comisión, la mayoría no a través del uso de programas sino a través de técnicas de phishing, donde los estafadores envían comunicaciones fraudulentas en nombre de un organismo público o privado tratando de obtener datos personales de la víctima", detalla Gustavo Saín, director de Ciberseguridad de la Nación. "Este fraude se llama robo de identidad, e intenta obtener datos personales de la víctima para usurpar su identidad y cometer una estafa posterior, ya que es un fraude en dos pasos", detalla.

"Por un lado, nos encontramos con un aumento de delitos por internet del 50 por ciento, ya sean estafas, suplantaciones de identidad, entre otros. Y por otro lado, estos problemas comenzaron a aparecer cada vez más en las preocupaciones de los usuarios. En octubre de 2020, el 72 por ciento de los usuarios opinó que los negocios no estaban preparados para realizar la transición a plataformas digitales y el 83 por ciento opinó que el apuro por necesitar adaptarse a las ventas online vino acompañado por un mayor riesgo para la seguridad de los usuarios. Asimismo, el 76 por ciento de los encuestados consideró que la filtración de datos personales de los clientes es el principal peligro que enfrentan los usuarios para realizar compras online", explica Martina López, Investigadora del Laboratorio de ESET Latinoamérica, una empresa de ciberseguridad con sede central en Eslovaquia.

Leandro Reyes, director de Ingeniería para Fortinet Sudamérica.

"El uso de las redes sociales con suplantación de identidad o engaños para diseminar ciberataques está aumentando considerablemente. Durante el primer trimestre del 2021, desde Fortinet vimos un destacado incremento de las amenazas de malware vía redes sociales, haciendo que las víctimas compartan, sin saberlo, enlaces maliciosos con sus contactos", suma Leandro Reyes, director de Ingeniería de Fortinet para Sudamérica, compañía dedicada a la ciberseguridad oriunda de los Estados Unidos.

El cuento del tío

Relatos como los del principio se repiten y no solo le ocurren a los emprendimientos. La pyme Tomaselli, dedicada a la fabricación y venta de bicicletas, habitualmente realiza sorteos para los distintos días de festejos que existen durante el año. "En el último sorteo del Día del Padre nos sorprendió encontrar mensajes en el muro diciéndoles a nuestros seguidores que habían ganado el sorteo. Usaban como base nuestras piezas para hacer mensajes falsos y la gente nos empezó a mandar capturas de pantalla", cuenta Juan Pablo Cafure, responsable de Marketing de bicicletas Tomaselli, que comercializa las marcas Tomaselli y Oxea.

La cuestión puede escalar aún más allá, sin embargo, cuando los riesgos de estar en alguna en red social es mayor que los beneficios potenciales. Esto sucedió con el Banco Galicia, que en septiembre de 2020 decidió cerrar sus cuentas en Instagram a partir de los múltiples intentos de fraude, con operatorias similares a las anteriores: los cibercriminales se hacían pasar por el banco para pedirles datos a los clientes con distintas excusas. 

"Fue una decisión consensuada entre Ciberseguridad, Prevención de Fraude y otras áreas del banco con el fin de preservar la seguridad de nuestros clientes. En marzo de este año, retornamos a la red social ya que es un importante canal de comunicación, pero le empezamos a dar un seguimiento permanente a la evolución de cuentas falsas y otros potenciales riesgos", detalla Pedro Adamovic, CISO de la entidad.

Precauciones

Consultados por APERTURA, desde Instagram indicaron una serie de recomendaciones a tener en cuenta. En el caso de empresas y cuentas comerciales, se puede efectuar la denuncia a través del Centro de Ayuda de Instagram, indicando violación de la propiedad intelectual y derechos de autor. Y a los usuarios les recomienda desconfiar de las cuentas que redireccionan a un sitio externo, fuera de Instagram o que piden datos personales, bancarios o cualquier otro dato para obtener un premio o una promoción. Finalmente, recomiendan denunciar anuncios, publicaciones o cuentas que parezcan sospechosas.

Pedro Adamovic, CISO de Banco Galicia, que cerró y volvió a abrir su cuenta de Instagram.

"Una vez producido el incidente, es importante recolectar toda la información disponible, y denunciar y bloquear el o los perfiles fraudulentos a la plataforma. En casi todos los casos, la suplantación de identidad es un motivo elegible para realizar una denuncia", dice López, de ESET. "Además -sigue-, se debe alertar a los contactos o seguidores cercanos que la víctima tenga sobre esta suplantación, así podremos evitar posibles engaños. Finalmente, en casos de ciberacoso o estafas virtuales, es posible realizar una denuncia penal para abrir una posible investigación".

Ana, de Bukku, cuenta que ella pidió a todos que denuncien la cuenta falsa pero que no es tan fácil: si la cuenta original no está verificada, solo se puede denunciar el contenido. "Vi casos posteriores al mío y me di cuenta porque vi casos anteriores. La única acción que tomé en ese momento fue dar información en las historias sobre que no pedimos datos personales", marca. En Tomaselli ocurrió algo similar: pidieron que reportaran las cuentas, algo que los usuarios comenzaron a hacer solos.

En Galicia, teniendo en cuenta los posibles efectos sobre el patrimonio de las personas, fueron más lejos. "Reforzamos las campañas de concientización sobre cómo operar de manera segura, brindando distintos consejos que impiden ser víctima de una estafa.Las campañas las comunicamos a través de spots en radio, mails, en nuestro sitio bancogalicia.com, en sucursales y todos los perfiles en redes sociales como Facebook, Instagram, Twitter y YouTube. Asimismo, hemos mantenido conversaciones con Facebook para que desde la plataforma se encuentren alternativas proactivas de desactivación de cuentas falsas de Instagram y del propio Facebook, y hemos puesto mayor inteligencia en algunas casuísticas poniendo validaciones complementarias para ciertas operaciones", explica Adamovic.

"Además, en un hecho inédito, 35 bancos del sistema financiero argentino desarrollamos en conjunto una campaña publicitaria para advertir a la sociedad sobre las nuevas modalidades delictivas. Allí se difunden mensajes simples pero fundamentales para no caer en una estafa virtual, como no compartir datos personales y contactarse a través de los canales oficiales de los bancos", cuenta.

"Las suplantaciones no se pueden evitar y es probable que sigan sucediendo. Para no caer en estafas, el primer paso es prestar atención y tomarse 10 segundos más para pensar si es real lo que recibí. Muchas veces incluso sirve consultar a un familiar, amigo o compañero de trabajo que puede tener más información que uno, también es bueno googlear el nombre de la cuenta para ver si alguien ya denunció una estafa. Las cuentas falsas suelen presentarse como representantes de la cuenta oficial, tienen poco seguidores, o pocos posteos", cierra Santiago Vallés, director de la carrera de Ingeniería informática y del programa Ciberseguridad: Pentest y Vulnerabilidades del ITBA.

Al fin y al cabo, hay que hacer caso a la sabiduría popular y no olvidar el dicho que reza: "cuando la limosna es grande, hasta el santo desconfía".

Qué dicen las leyes

El Código Penal argentino no prevé un delito de "phishing", así como tampoco castiga la suplantación de identidad digital, explica Marcos Blanco, asociado y líder del área IT en Martínez de Hoz & Rueda Abogados. 

En cambio, se han incorporado figuras que, en determinadas circunstancias, podrían configurar casos de phishing, como la defraudación "mediante cualquier técnica de manipulación informática que altere el normal funcionamiento de un sistema informático o la transmisión de datos", introducida como un caso especial de estafa (art. 173, inc. 16., Código Penal), las operaciones realizadas "mediante el uso de una tarjeta (...) hurtada, robada, perdida u obtenida del legítimo emisor mediante ardid o engaño, o mediante el uso no autorizado de sus datos, aunque lo hiciere por medio de una operación automática" (art. 173, inc. 15, Código Penal), y la figura "general" de la defraudación "con nombre supuesto, calidad simulada, falsos títulos, influencia mentida, abuso de confianza o aparentando bienes, crédito, comisión, empresa o negociación o valiéndose de cualquier otro ardid o engaño", siempre y cuando exista una disposición patrimonial perjudicial (art. 172, Código Penal).

"Debemos reconocer que la obtención no autorizada de datos mediante técnicas de manipulación, aun con fines defraudatorios o extorsivos, no se encuentra específicamente penalizada por sí misma", admite Blanco.

La versión original de esta nota se publicó en el número 332 de revista Apertura.


Tags relacionados

Más de Actualidad

Compartí tus comentarios