Para evitar caer en la trampa, “uno siempre tiene que tomar medidas porque la seguridad informática 100% no existe”, afirmó en diálogo con Sala de Redacción, Nicolás Zeballos, ingeniero en computación. Aunque la Organización de Estados Americanos (OEA) destacó a Uruguay por un proyecto de ciberseguridad para realizar trámites en línea, el país no es ajeno a los ataques informáticos.
En abril se identificaron varios casos de phishing con la plataforma de la tarjeta Midinero, de Redpagos, que afectaron a 300 usuarios. Una de ellas fue Daniela Wilkins, una emprendedora que, como otros afectados, reclamó en las redes sociales por lo que catalogaron como una mala gestión de la empresa. Wilkins explicó a Sala de Redacción que “la comunicación con la gente que trabaja en Midinero no es fluida”. “Llamé cuatro veces, y siempre estuve en el número 30 de espera y cuando llegaba al uno me cortaban”; agregó que de todas las veces que se comunicó con la operadora siempre aguardó a ser atendida, por lo que “no soy la única que está pasando por este problema en este momento”, recalcó.
Bajo la lupa
“El phishing es una de las modalidades que se ha implementado para el hackeo de los bancos”, declaró hace unos días el abogado especializado en Derecho de la Información, Pablo Schiavi a La República. El abogado entiende que “la ciberdelincuencia es una foto virtual de la delincuencia tradicional” y que a ese escenario se han trasladados hurtos y estafas que antes se daban en otros ámbitos.
En diálogo con Sala de Redacción Christian Quintela, analista informático, explicó que los bancos prestan un servicio a través de las tarjetas para que los usuarios puedan recibir, almacenar, pagar, transferir, cobrar y retirar su dinero pero que “no pueden solucionar lo que ya te robaron, es como en la calle, por más denuncia que hagas la plata ya se perdió”, dijo. Sostuvo que se puede hacer la denuncia en la División Especializada en Materia de Delitos Complejos del Ministerio del Interior para detectar de dónde fueron enviados los mensajes de phishing, pero aclaró que “cada computadora posee una dirección IP en cada dispositivo, que es única en el mundo y de ahí se puede detectar, pero para evitar ser rastreados los hackers utilizan VPN [una red virtual privada] para simular la ubicación con un IP falso”.
Para llevar a cabo estos ataques “los hackers también utilizan navegadores descentralizados que ocultan la residencia de la información como TOR”, lo que les permite navegar de forma anónima. Dijo que esos navegadores se asimilan a una VPN pero que tienen mucha más seguridad y trabajan a través de múltiples saltos de conexiones: “lo que hace este navegador es que de Rusia se pasa a una máscara de China y de China pasa a Estados Unidos y así, hasta llegar a Uruguay”. Para el ingeniero, la concientización de los usuarios es importante porque un compromiso con estas entidades “es una responsabilidad que uno asume al firmar un contrato para recibir una herramienta de pago”.
Según Zeballos, hay que tener mucho cuidado porque “hoy en día a mucha gente le llegan mails malignos para que descarguen archivos que en realidad son virus”, expresó. Las nuevas estrategias de digitalización financiera facilitan los trámites y permiten pagar todo tipo de facturas y hacer compras en línea; sin embargo, no se ha logrado evitar que, de forma astuta, expertos informáticos ingresen a estos sistemas buscar información confidencial y roben datos personales. A su vez, el analista informático, explicó que para evitar que ocurra este tipo de situaciones, se debe prestar atención y leer bien el remitente, letra por letra, para saber si es oficial o no. Ante todo, recomendó desconfiar, siempre.
Cómo darse cuenta
“Si no hiciste ningún movimiento en una tarjeta o cualquier aplicación que uses, no tiene por qué llegarte un mensaje para cambiar la contraseña por seguridad ni agregar datos personales para habilitar un pago”, dijo Quintela. Por lo general, cuando las personas descargan una aplicación o reciben un correo que indica que proviene del ente financiero al que están afiliados, no dudan de su credibilidad. La única forma de que un mensaje sea válido es que sea enviado directamente desde la app oficial cuando se quiere realizar un movimiento o un cambio de contraseña. Agregó que todo el proceso de verificación de datos conlleva dos pasos, una notificación al correo electrónico y al celular de la persona que quiere hacer el cambio porque “es más difícil que un hacker tenga esos dos datos y no solo uno”.
Muchas personas son víctimas de estos fraudes financieros, pero el público favorito son los adultos mayores que tienen un bajo dominio de la tecnología y caen en la trampa con facilidad, porque los trámites en línea les resultan complejos.
Al momento de ingresar datos personales en los dispositivos, los usuarios no suelen ser conscientes del nivel de fiabilidad de los programas descargados o a los que acceden. No todas las aplicaciones son perfectas, pueden tener vulnerabilidades y los ciberdelincuentes aprovechan estos deslices para tomarse el trabajo de engañar a las personas a través de diversas técnicas, como la creación de software bancarios falsos, el envío de correos malignos y otro tipo de códigos.
Mejor prevenir que lamentar
Quintela comentó que tanto las aplicaciones como los sitios web son vulnerables todo el tiempo. Evaluó que las más seguras son las de megacorporaciones multimillonarias que tienen el capital necesario para invertir en ciberseguridad. En el caso de comercios electrónicos, dijo que las aplicaciones más confiables para ingresar datos personales son Amazon, Paypal y Mercado Libre, por ser reconocidas mundialmente.
En contraposición, distinguió que “todas las empresas pequeñas que no tienen la cantidad de dinero para asegurar su sistema suelen ser las más hackeadas para acceder a la base de datos de todas las personas registradas”. Señaló que si una persona utiliza casi siempre las mismas contraseñas en los diferentes soportes, es más probable que un hacker utilice la fuerza bruta para descifrarlo hasta lograr tener acceso. Por eso, remarcó que “lo ideal sería que por cada página se tenga una clave diferente al resto” y evitar, a toda costa, usar datos personales en las claves.
Al momento de ingresar a una página web, Quintela aconsejó observar si hay un candado cerrado antes del link URL, que indica si un sitio tiene un protocolo de seguridad activo. Este protocolo posee un código cifrado de HyperText Transfer Protocol Secure (HTTPS), dicho en español, un protocolo seguro de transferencia de hipertexto. De todos modos, Quintela aclaró que un sitio aparentemente seguro puede no serlo, porque un hacker puede crear o acceder a la red por los escasos controles de ciberseguridad. Recomendó escribir la dirección completa del banco antes que hacer click en el buscador de Google.
Se trata de una doble concientización: de las empresas y de los usuarios, planteó Zeballos. Explicó que en caso de hallar un error, las empresas deberían alertar a los usuarios, para protegerlos, y evitar dañar su imagen. Por otra parte, señaló que los usuarios tienen que cuidar de no estar compartiendo sus datos personales en cualquier espacio digital. Tanto el ingeniero como el analista estuvieron de acuerdo en que para tener mayor confidencialidad, se debería evitar el uso de wi-fi de libre acceso, puesto que la convierte en “el sida del internet, porque todos los hackers están a la espera para robar la información”, finalizó Quintela. En todo caso lo más recomendable es comunicarse con el Centro Nacional de Respuesta a Incidentes de Seguridad Informática con el que cuenta Uruguay para analizar cualquier tipo de riesgos cibernéticos.
