Las estafas digitales más peligrosas y qué se puede hacer legalmente para recuperar el dinero

En esta nota intentaremos poner en evidencia algunas estafas corrientes en el entorno digital y estrategias para evadirlas, acciones legales y prácticas de ciberseguridad.

Antes que nada, para manejar un sistema es necesario aprender, capacitarse. No es casualidad que los pilotos entrenen cientos de horas en simuladores antes de estar preparados para volar. Prevención y gestión de riesgos.

Dependiendo de la complejidad y la magnitud del daño posible, se deben tomar ciertos recaudos. Con la tecnología pasa algo similar. El uso de sistemas requiere un cierto conocimiento para evitar ser víctima de fraude o estafas. Cuando hay administración de dinero, datos personales o información sensible, es necesario tomar cuidados.

Es que a veces se piensan los sistemas sin tener en cuenta estos errores que puede hacer el usuario final, y generan vulnerabilidades que los delincuentes pueden aprovechar.

Desde el costado legal, cuando hay un engaño a la persona, un ardid, y por ese engaño doloso la persona es desapoderada de sus bienes, o cuando entran indebidamente a una cuenta sin permiso (hackeo) es un delito. Por esto es importante siempre hacer la denuncia penal, más allá de las responsabilidades que puedan surgir en cada caso.

Qué es el Phishing y cómo funciona

El phishing es una técnica de fraude donde los delincuentes se hacen pasar por entidades legítimas, como bancos o empresas, para engañar a las personas y obtener información personal o financiera (por ejemplo contraseñas, números de tarjetas de crédito o datos de cuentas bancarias).

Las modalidades son variadas, desde un organismo público hasta el correo, en forma reciente ("Recibiste un paquete internacional, completá este formulario"), o un mail (correo electrónico) de la tarjeta de crédito.

Usualmente, se lleva a cabo a través de mails, mensajes de texto o sitios web falsos que imitan a la perfección a las entidades reales. El objetivo es que la víctima, creyendo que está interactuando con su banco o una organización de confianza, entregue voluntariamente sus datos sensibles. Y con esos datos pueden hacer estragos.

Por ejemplo, la víctima recibe un correo electrónico que parece ser de tu banco, indicando que tenés que actualizar tu información de cuenta (o algo gravísimo pasará). El correo incluye un enlace a un sitio web que luce exactamente como el de tu banco, pero en realidad es una trampa para capturar tus datos.

Consejo para evitar el phising

La regla básica es desconfiar de cualquier mensaje que nos pida hacer algo. Por lo general siempre piden algo urgente, ya, bajo la amenaza de que si no hacés algo pasará algo trágico y peor.

Justamente juegan con la desesperación, los delincuentes tratan de activar áreas del cerebro que nos impulsan a actuar por miedo, y no por la racionalidad normal.

El apuro es el enemigo. No por nada, el excelente libro de Ariel Torres sobre el tema se llama Hackearán Tu Mente. Si estás tranquilo/a, en general la amenaza se neutraliza. Tomar un momento y pensar antes de hacer algo.

Verificar siempre la dirección del remitente y, contactar directamente con la entidad a través de sus canales oficiales. Pero nunca dar información personal por una llamada o mail. En resumen, nunca hacer clic en enlaces de correos electrónicos ni mensajes que soliciten información personal.

Qué es el SIM Swapping y cómo funciona

El SIM swapping es un tipo de estafa en la cual el delincuente logra duplicar la tarjeta SIM de tu teléfono móvil para acceder a tu línea y, por ende, a todos los servicios asociados, como cuentas bancarias, redes sociales y correos electrónicos. Es decir, se apodera de tu línea de teléfono para acceder a esas cuentas.

Para perpetrar el delito, el atacante se presenta en una sucursal de la compañía telefónica o llama por teléfono y se hace pasar por la víctima. Alega que le robaron la línea, por lo cual el chip de la víctima se da de baja (reporta Pablo Sabbatella, especialista en ciberseguridad).

También puede hacerlo de forma telefónica asignando la línea a un chip existente De esta manera, le otorgan al atacante un chip nuevo asociado a la línea de la víctima, por lo cual ahora tiene control total, con la cual comienza a resetear accesos a servicios pidiendo códigos de recuperación por SMS, agrega.

Por ejemplo, un día, de repente, tu teléfono pierde señal. Luego todas tus cuentas han sido hackeadas porque los estafadores han recibido los códigos de autenticación en dos pasos a través de tu número de teléfono.

Consejo para evitar el SIM swapping

Configurar medidas de seguridad adicionales con tu proveedor de telefonía, como un PIN o una contraseña para realizar cambios en tu cuenta. Consultar esto con el proveedor de telefonía porque según lo recabado por iProfesional, puede ser problemático si se extravía esta clave e invalida el teléfono.

También considerar usar aplicaciones de autenticación en lugar de recibir códigos vía SMS que son peligrosas. Por ejemplo, Google Authenticator o similares de Microsoft y otros servicios. Siempre activar el doble factor de autenticación, preferir el envío por whatsapp y ponerle clave a la cuenta de Whatsapp.

Ingeniería Social y otras modalidades

La ingeniería social es el arte de manipular psicológicamente a las personas para que revelen información confidencial o realicen acciones que comprometan la seguridad de sus datos.

Los estafadores utilizan diversas tácticas, como hacerse pasar por un empleado de soporte técnico de la misma empresa o un conocido de confianza, para obtener información sensible. Este tipo de estafa se basa en la confianza y el engaño.

Por ejemplo, recibís una llamada de alguien que dice ser del soporte técnico de la empresa, alegando que tu computadora tiene un problema de seguridad. Te piden que les des acceso remoto a tu equipo o que les des tus credenciales para solucionarlo.

Un caso común es la toma de control de WhatsApp y el pedido de plata a los contactos, explica Horacio Azzolin, Fiscal Especializado en la materia. Nunca debemos entregar el código de activación, y se minimiza riesgo con segundo factor de autenticación, explica.

El robo sucede en el contexto de llamados, usualmente que dicen venir de organismos oficiales. Pero también en el contexto de compras en línea, donde el comprador o vendedor, te pide un "código" de seguimiento del paquete, que es el de activación.

Consejo para evitar esta estafa

Desconfiar de las llamadas o mensajes inesperados que soliciten información personal o acceso a tus dispositivos. Como dijimos, poner especial atención cuando hay una alegada urgencia, verificar la información y su fuente, doble chequear con un llamado o video llamada.

Verificar siempre la identidad de quien se comunica contigo antes de proporcionar cualquier dato, entre parientes no está de más tener un código o palabra de seguridad.

En general desconfiar e ignorar los contactos con ofertas de promociones, por ejemplo de servicios de streaming como Netflix o de bancos o fintech (billeteras virtuales) con pretextos como autorizar una compra o problemas en la cuenta, directamente ignorar estos mensajes y reportar a la empresa.

Fraudes con tarjetas de crédito

Esta es una modalidad en aumento. Sobre el punto, la Secretaría de Información Estadística y Análisis de Datos del Ministerio Público Fiscal de la CABA relevó que mientras en el año 2020 se registraron 38 denuncias a la presunta defraudación con tarjeta de crédito, de débito o mediante manipulación informática, el pasado año 2023 ese número ascendió a 4360 denuncias.

A partir de allí, el Fiscal General, Juan Bautista Mahiques la creación de la Fiscalía Especializada en Ciberfraudes (FISEC), a cargo del fiscal Miguel Ángel Kessler, para intervenir en todos los casos en los que se investigue la posible comisión de un delito del artículo 173, incisos 15 y 16 del Código Penal de la Nación.

¿Qué es y cómo funciona?

El fraude con tarjeta de crédito es un delito en el cual un delincuente se roba los datos de una tarjeta de crédito de otra persona para realizar transacciones ilegales o retirar dinero sin el consentimiento del titular. Este tipo de fraude puede ocurrir tanto en el mundo físico, por ejemplo, clonando una tarjeta, como en el digital, a través de la obtención de datos sensibles mediante phishing o malware (programas maliciosos).

Mediante técnicas como la clonación de tarjetas, el phishing (suplantación de identidad) o la instalación de skimmers en cajeros automáticos, los delincuentes pueden obtener la información necesaria para realizar compras o retirar dinero a nombre del titular de la tarjeta.

En el caso del fraude digital, los ciberdelincuentes suelen utilizar tácticas para engañar a las víctimas y hacer que revelen sus datos personales y financieros, como contraseñas o números de tarjetas.

Cómo prevenir el fraude con tarjeta de crédito

Hacer pagos siempre en sitios seguros, ssl. Y que no almacenen la información de la tarjeta. Evitar dar la tarjeta o perderla de vista, recordamos que es un derecho que en el restaurante o bar traigan el posnet a la mesa, o en su defecto ir a la caja a pagar.

Evitar mandar los números de tarjeta por Whatsapp o mail, porque esa información podría ser usada o incluso filtrarse y ser robada. Solo usar plataformas de pago seguras.

Qué son y cómo funcionan las Deep Fakes

Los deep fakes son videos, imágenes o audios falsificados mediante inteligencia artificial, que crean contenido muy realista de personas diciendo o haciendo cosas que en realidad nunca hicieron.

Los estafadores utilizan deep fakes para crear videos o audios que parecen auténticos, con el objetivo de engañar a las víctimas para que realicen pagos, divulguen información confidencial o comprometan su seguridad. Por ejemplo, recbís un video aparentemente de tu jefe pidiéndote que realices una transferencia urgente a una cuenta desconocida. El video parece legítimo, pero es un deep fake.

Consejo para evitarlo

Si bien todavía esta modalidad está en desarrollo, es bueno tomar recaudos como siempre verificar solicitudes inusuales a través de un segundo canal de comunicación.

Si algo parece sospechoso, confirma directamente con la persona involucrada antes de actuar. Es posible que pronto se manden mensajes emulando la voz o incluso el video de una persona conocida pidiendo dinero urgente, doble chequear antes de hacer alguna acción.

Posibles acciones legales ante una estafa

Como medida ex post, es decir, posterior a que alguno de estos hechos delictivos pasen, la víctima debe hacer la denuncia penal ante la fiscalía o comisaría, porque son un delito.

Ello sin perjuicio de avisar de inmediato al banco, entidad financiera o fintech. Y luego se le puede acercar una copia de la denuncia. Sobre el punto, Ariel Aguinski, abogado especializado en la materia, expone: "Siempre hacer el reclamo al banco de manera inmediata".

Al margen, por los daños sufridos, hay que evaluar la responsabilidad civil de la entidad. Es decir, se debe evaluar en cada caso si la entidad protegió adecuadamente la información o el dinero, más allá del engaño del que fue víctima el cliente. Esto se evidenciaría cuando, por ejemplo, un banco deja transferir un monto inusual a un desconocido sin validar de manera adecuada la identidad de quien hace la transacción.

En tal sentido, "aparte de hacer la denuncia ante la policía o fiscalía, para evaluar la restitución del dinero por el banco puede ser necesario tener que ⁠contratar a un abogado. El profesional debería evaluar la responsabilidad civil de la entidad financiera en la facilidad de la transacción inusual a un destinatario desconocido", concluye el colega.

Estafas: cuándo hay responsabilidad del banco o fintech

En la modalidad de estafa bancaria, por ejemplo cuando se es víctima de un phishing, abundan las medidas cautelares que ordenan no debitar los montos resultantes de un préstamo a un cliente. 

Estas medidas son provisorias, porque lo que importa es la sentencia definitiva, sobre cuándo hay responsabilidad del banco y cuándo hay culpa de la víctima que exime a la entidad financiera de responsabilidad. 

El caso clásico es cuando una persona fue víctima de un fraude por ingeniería social para acceder a su cuenta bancaria y realizar operaciones no autorizadas, incluido un préstamo que fue transferido a cuentas desconocidas. La víctima presentó una denuncia penal y diversos reclamos al banco, sin obtener respuesta favorable.

Como pruebas presentó los registros de las operaciones bancarias realizadas sin su consentimiento y denuncias penales y documentación de los reclamos realizados ante el banco. El banco intentó eximirse ("zafar") de responsabilidad argumentando que la seguridad de su sistema no había sido comprometida y que la víctima había compartido sus datos.

Para los jueces, al menos en la etapa cautelar, el banco no debe descontarle los fondos porque incumplió su deber de custodia, no tomó los recaudos para verificar la identidad de esas transacciones.

En un caso, la víctima recibe -en su celular- un llamado de un "número privado", mediante el cual, una persona que no aportó dato personal alguno, dijo llamar de parte de la ANSeS para informarle que existía un depósito a su nombre por la suma de $15.000, en concepto de Asignación Familiar por Hijo; también le informó que, para retirar ese dinero "... debía acercarse a un cajero automático, con una tarjeta de débito VISA...". Como N no poseía una tarjeta como la requerida, le solicita al actor su tarjeta.-

En dicho contexto, va al cajero automático del Banco de la Provincia de Buenos Aires, y cumplió con las indicaciones que le requerían telefónicamente para "concretar" el depósito de la suma que le había informado que existía a su favor.

Relata que ese mismo día, lo contactan telefónicamente desde el Banco para informarle que "habían notado movimientos extraños en su cuenta bancaria" (sic), en virtud de ello, concurre a la sucursal bancario donde le hacen entrega del extracto de los últimos movimientos de su cuenta "... que reflejan que una persona había solicitado ese mismo día un préstamo por la suma de Pesos Ciento Noventa y Nueve mil, observándose que la misma persona había realizado, en distintos horarios extracciones y transferencias, por la totalidad del monto solicitado en el préstamo...".

En vista de ello, solicitó al banco el "bloqueo" de su cuenta bancaria y de la tarjeta vinculada, sin perjuicio de lo cual "... desde la emisión del préstamo a nombre del actor se le han comenzado a retener mensualmente las cuotas correspondientes al crédito otorgado de modo fraudulento...".- 

Hizo la denuncia en la fiscalía de turno pero igual le empezaron a descontar la jubilación que es es el único sustento con el que cuenta su grupo familiar, conformado por su conviviente (con problemas de salud con tratamiento de medicación crónica) y su hija de 34 años que posee Certificado Único de Discapacidad, también con suministro de medicación en forma permanente.

En este caso de consumidores vulnerables, se determinó la responsabilidad del banco. En efecto, la sentencia dijo que  frente a un consumidor hipervulnerable como es el caso del actor (y también de su hija) que fueron víctimas de un delito, la entidad bancaria no contó con los resortes de seguridad necesarios para advertir que la solicitud de un préstamo y las inmediatas transferencias no resultaban una conducta habitual.

"Su cuenta solo era utilizada para percibir su jubilación y las asignaciones pertinentes, más no era un usuario asiduo de la banca internet.- El banco demandado expuso al actor a la situación que vengo analizando, es que en ningún momento se da la opción de no pertenecer al sistema digital, ello se impone de modo tal que quien lo impone debe responder por las deficiencias del servicio", expresó el tribunal para descartar la culpa de la víctima.

Si tuvieramos que sintetizar algunos parámetros, de lo visto, podemos decir que el banco será responsable si no implementa medidas de seguridad actualizadas para proteger los datos y operaciones de sus clientes. Ejemplo: no tener alertas ante transferencias atípicas.

Desde ya que será responsable el banco si no informa claramente a los clientes sobre los riesgos de seguridad y cómo prevenir fraudes. O si no implementa sistemas de alerta que detecten y prevengan fraudes en tiempo real.

Por ahora es un caso por caso y para la jurisprudencia, al tener un deber de custodia de los fondos, el banco debe probar que hubo culpa de la víctima en abrir su puerta. Veremos cómo se desarrolla.

Sergio Mohadeb es abogado, divulgador de temas legales y creador de Derecho En Zapatillas. En Twitter @dzapatillas