“Ingrese este código”, la voz al teléfono suena formal, quien escucha sigue las instrucciones hasta el obediente click que abre una de las peores pesadillas. Acaba de perder el control de teléfono y homebanking y no lo sabe. Allí comienza a correr un tiempo que para los cibercriminales es oro: transfieren dinero, vacían cuentas bancarias, toman créditos y, a tono con los tiempos, convierten los fondos en criptomonedas, que al perder su estado físico vuelven los rastros más endebles para la Justicia y el infortunado que atendió el llamado. Las ciberestafas dejaron atrás las argucias de Nueve Reinas, pero según los investigadores, siguen siendo el mismo y viejo cuento del tío.
Días atrás, el Banco Municipal de Rosario restituyó cinco millones de pesos sustraídos al homebanking de una mujer de 75 años, a través de la ciberestafa página emulada. A sus ojos era la web oficial del Banco ofreciendo participar de un concurso, pero ambas cosas eran falsas. “Para un jubilado perder sus ahorros es no comer o comprar medicamentos”, dijo su abogado, Roberto Vázquez Ferreyra, al explicar la cautelar que permitió el reintegro anticipado, mientras las diligencias judiciales siguen su curso.
“No es el único caso que tramitamos, los hay de muchos otros bancos; esto tomó repercusión por el programa Tiempo de Justicia, es obvio que interese la difusión porque nadie está exento”, explicó el letrado. Y relató que en Santa Fe hubo un caso llamativo. “Una jubilada tenía una cuenta en dólares y otra en pesos, primero le vaciaron los pesos, luego vendieron los dólares, los acreditaron en la cuenta que habían esquilmado y volvieron a vaciarla”. En ambos casos fue a través de introducir un malware (programa malicioso) en la computadora de las víctimas, que se consuma con el famoso click sobre una página falsa.
¿Qué son las ciberestafas?
“Hoy hablamos del cuento del tío ciberasistido, que se hace utilizando la tecnología de la información y las comunicaciones (TIC)”, relata el fiscal jefe de la Unidad de Investigación y Juicio Especializada en Cibercrimen, del Ministerio Público de la Acusación (MPA) de la provincia, Matías Ocariz. Los TIC son el conjunto de recursos (equipos, programas informáticos, aplicaciones, redes y medios) que almacenan, procesan y transmiten la información: teléfono fijo, celulares, redes sociales, mails, entre otros.
El cibercrimen está en auge con una versatilidad que está en línea directa con la prevención que van tomando las potenciales víctimas. Cuando una modalidad delictiva se vuelve conocida entonces surge una nueva forma de engaño; las más conocidas utilizan llamadas telefónicas, correos electrónicos y páginas falsas como puerta de ingreso a las computadoras para instalar un programa espía (troyano).
Se las suele llamar: phishing, consiste en el envío masivo de correos electrónicos falsos tratando de pescar una víctima que los responda; spear phishing, en este caso envían información más personalizada para hacer que el ataque sea más creíble, y smishing, que son mensajes de texto fraudulentos para que se revelen datos. En los últimos tiempos se sumaron las estafas a través de la modalidad de créditos preacordados sin requerir datos biométricos, y con transferencias ficticias generadas en páginas emuladas.
Los investigadores coinciden que en la pandemia, cuando la vida cotidiana tuvo que pasar por la tecnología aún para comprar una lata de tomate sin salir al supermercado, el cibercrimen encontró un nicho que fue potenciando aún después de que el virus perdiera letalidad. También coinciden en que no hay un target de víctima especial, pueden caer todos; desde los nativos tecnológicos hasta los jubilados, incluyendo empresas y profesionales. Y no pasaron por alto la entrega de datos al mundo virtual a través de redes como Facebook o Instagram con fotografías que contienen en sí misma información valiosa como nombres, fechas de nacimiento, lugares de vacaciones o actividades, entre otros.
De la magnitud del problema parece dar cuenta la página ad hoc en la web del Banco Central de la República Argentina. “Conocer las distintas modalidades de engaño te permite cuidar tu patrimonio y evitar que accedan a tus cuentas a través del homebanking o de las aplicaciones de bancos o billeteras virtuales”, advierte la web antes de detallar consejos y formas de actuar después de haber caído en una ciberestafa.
“En este último tiempo estamos observando un aumento de denuncias, por eso mantuvimos reuniones con el Banco Central de la República Argentina y la semana que viene tenemos un encuentro con el Nuevo Banco de Santa Fe”, explicó Gabriel Savino desde la Defensoría del Pueblo de la Provincia de Santa Fe. Además destacó que la Defensoría es valorada en el tema de seguridad bancaria trabajando con recomendaciones y oficios. “Nos toman como referentes a nivel nacional”, enfatizó.
Según Savino, las denuncias en la Defensoría son una pequeña muestra, pese a ser un número importante, “pero el MPA tiene centenares”, “Nosotros visualizamos lo que va a pasar a corto plazo, es una radiografía, tenemos 48 delegaciones en la provincia. Cuando empieza a verse una modalidad de estafa en alguno de los departamentos de la provincia, ya sabemos que va a replicar en Rosario y Santa Fe”.
Modalidades
Según el fiscal Ocariz, las modalidades pueden incluir o no la participación de la víctima, dando ella misma los datos, respondiendo mails o al interactuar con páginas emuladas de algún organismo oficial o institución conocida. “Se está viendo mucho mail que pide bajar PDF adjunto con algún ardid que puede ser vacuna contra el dengue y que en realidad es un malware que, una vez en el sistema de computadora o teléfono, queda a la espera de que la víctima entre al homebanking para realizar el ataque”, explicó.
Pero las víctimas pueden no interactuar, por ejemplo en el caso de activos intangibles como los de las monedas virtuales (criptomonedas). “En la última semana hubo entradas a la blockchain (base de datos dentro de una red) de Bitcoin (la primera criptomoneda descentralizada) y sacaron algunas de estas monedas”, comentó Ocariz. Pero alertó: “Las criptomonedas no son ilegales, son descentralizadas no reguladas; que se utilicen para cometer acciones ilegales como por ejemplo lavar activos es otra cosa, pero no son ilegales en sí mismas”. El mundo de estafas critpo incluye estafas piramidales, criptomonedas inventadas, promesas de inversiones con retornos enormes y superlativos que no se producen, entre otras.
Las transferencias equivocadas suelen ser otro ardid muy difundido, y se cae en la trampa al devolver la cifra que en realidad nunca fue transferida, transacción que se realiza vía teléfono. Otra modalidad es creer que está ingresando en la web correcta y repetir la contraseña al ser rechazada; en realidad es una página emulada a la que se le están dando los datos. Las páginas emuladas duplican las originales, con el dominio ligeramente cambiado, ya que no se suele prestar atención al dominio.
En las modalidades, el fiscal Ocariz introduce un cariz revelador que tensiona dos dominios que aparecen contrapuestos, los sentimientos y la dimensión tecnológica de la estafa: las emociones. “Cuando recibimos un llamado con una muy buena noticia, por ejemplo que ganamos un premio importante sin haber participado, o para asustarnos sobre nuestra cuenta bancaria, es porque están tratando de inhibir la racionalidad y activar los sentimientos para que dejemos de razonar y hagamos las cosas irrazonables que nos piden”.
¿Qué tipo de delito es un cibercrimen?
Después de tomar examen en la Facultad, el profesor y juez en lo Civil y Comercial de la 3ra Nominación de Rosario, Ezequiel Zabale, dialogó con Suma Política. “Separaría en dos aspectos, civil y penal, en este último está el ciber delito, la ciber estafa, el acoso cibernético, el ciber bulling, pornografía infantil, es decir delitos comunes que se comenten por un medio digital y otros de naturaleza directamente digital”, explicó. Y dijo que en esa área en general no hay vacío legal, porque hay reforma de los Códigos Penales que las cubren.
“Ahora esos mismos delitos tienen incidencia civil, especialmente la ciberestafa que es el phishing, la pesca. Si alguien logra conseguir los datos bancarios de una persona, inducirlo a realizar transferencias, o tomar un crédito, comete un delito que tiene un aspecto penal, que es la ciberestafa, y un aspecto civil que es la posibilidad de reclamar como usuario y consumidor al banco por las medidas de seguridad, lo que se conoce como responsabilidad objetiva”, comentó. “Cuando el usuario o la usuaria viene a reclamar la protección judicial diciendo fui engañado o el banco no tenía condiciones de seguridad suficiente, lo que permitió que sucedieran estos hechos, eso es lo que vemos nosotros”, detalló.
“En general más que litigar contra un banco, se presentan a reclamar en su carácter de consumidores, de usuarias y usuarios. Los colegas y las colegas que litigan tratan de solucionar el problema en tanto consumidor/usuario, a veces se logra, otras veces no, algunos Bancos tienen mayor política para solucionarlo y otros no”, explicó el juez Zabale. Y señaló que muchas veces los bancos aceptan la responsabilidad reconociendo un tema de seguridad e indemnizan al cliente, o hay casos en que le adjudican torpeza o no creen que dice la verdad.
“Hay un poco de todo, pero esta idea de que los bancos sistemáticamente se oponen no sucede, sin perjuicio de que los bancos defienden sus intereses. La asimetría frente al cliente se cubre con el derecho del consumidor que es protector, es decir de la persona individual que consume los servicios bancarios, porque cada uno en particular frente a un banco es un pigmeo en cuanto recurso y capacidad económica”, consideró. Y en ese marco señaló al derecho del consumidor, las medidas cautelares, autosatisfactivas, el concepto de prevención de daño del nuevo Código Civil y Comercial, como herramientas para solucionarlo rápidamente y después seguir litigando. “En principio, cautelarmente, se ha resuelto a favor de consumidores y usuarios”, dijo con respecto al juzgado que preside.
Justamente fue en ese marco en el que se resolvió a través de una cautelar el caso del Banco Municipal de Rosario, indicó Vázquez Ferreyra, que formó parte de la comisión que redactó el proyecto del Código de Defensa del Consumidor que en la actualidad está a disposición del Congreso Nacional. Como profesor, dictó durante cuatro décadas Obligaciones y Derecho de Daños, en la Facultad.
“Hicimos lo que se hace en todos los casos; primero se inicia un juicio contra el banco que puede durar años, pero como la persona no puede esperar ese tiempo para que le devuelvan el dinero se pide una medida cautelar para que le devuelvan el dinero de manera anticipada, y seguimos discutiendo lo que quieran”, argumentó. Si el litigio concluye que corresponde la devolución que ya se realizó, se le suman intereses u otro tipo de daño, pero si la demanda no prospera, esta persona tendrá que devolver el dinero, para lo cual necesita un fiador, por si pierde el juicio, para que responda con su patrimonio, detalló.
Para Vazquez Ferreyra aún faltan medidas de seguridad en los bancos. “Cuando el banco advierte que uno entra desde otra computadora o teléfono, le envía un alerta; cuando se ingresa para vaciar una cuenta es de otra computadora, entonces ¿no pueden parar esa operación y consultar al cliente?”. Y señaló como falla el hecho de que “en los casos en que el banco exija registrar al beneficiario de una transferencia, ¿cómo no lo exige en una transferencia con beneficiario no registrado?”.
Para el fiscal Ocariz, “se utiliza el Banco para la estafa pero el Banco es otra víctima; por supuesto con más obligaciones que la víctima común y por eso hay fallos de juzgado civiles donde obligan a los bancos a restituir a las víctimas el dinero sustraído porque consideran que hubo falla en la seguridad informática, pero normalmente los bancos están trabajando bien estos temas”.
El cibercrimen en el ámbito penal
“En lo penal el objetivo es satisfacer a la víctima, recuperar el dinero, pero también tiene otro objetivo que es el fin punitivo, recolectar pruebas que permitan demostrar la materialidad del hecho delictivo y la autoría que siempre nos falta y es lo que se investiga penalmente. En el caso de llegar a buen puerto, se toman medidas que pueden ser de tipo económico, como prisión preventiva o alternativas y condena”, explicó Ocariz y confirmó que en la actualidad hay detenidos por este tipo de crímenes, así como investigaciones en curso.
“No pasa un día sin recibir muchas denuncias, el número es muy importante”, aseguró Ocariz. Y con respecto a recursos disponibles comentó que “a veces habría que tener más tanto a nivel humano como informático, pero tratamos de buscarle la vuelta a todo, pero sí hay recursos”. Y caracterizó la labor penal sobre el ciberdelito. “Son investigaciones complejas, tienen sus bemoles, sus cuestiones que no todos entienden o pueden representarse, lo informático a veces es bastante oscuro, está muy vinculado a las matemáticas”, explicó. Además no pasó por alto que no sólo el cibercrimen se investiga a través de la evidencia digital que hoy es la prueba estrella, hoy se investiga a través de los metadatos, por ejemplo una IP (número que investiga a un dispositivo conectado a internet), la geolocalización de una llamada y otros metadatos (datos que identifican y describen otros datos).
Prevenidos
“Una cosa importante sobre la prevención, los ciberdelincuentes tienen más poder de fuego porque tienen el ciber espacio a su disposición y pueden tirar más ardides que Ricardo Darín en Nueve Reinas, que tenía que estafar de a uno, acá las posibilidades son muchísimo más grandes”, concluyó Ocariz que el 3 de abril presenta en Buenos Aires, Tratado Internacional sobre Procedimiento Criminal, Transnacional y Digital”.
Disertaciones y presentación de texto
La actividad del fiscal Matías Ocariz, reconocido por sus pares en la labor que realiza, también expuso sobre el tema en distintos ámbitos y conferencias. Como en Los Nuevos Desafíos de la Litigación Penal en Ámbitos Digitales, donde desarrolló el tema “Metadatos en investigaciones penales. Análisis de Información en dispositivos electrónicos de almacenamiento”. Sobre Metadatos también disertó en el Congreso Provincial de Derecho Procesal Penal, sobre metadatos en la Universidad Católica.
El pasado 28 de enero, en la Universidad de Barcelona, expuso como autor de parte del “Tratado Internacional sobre Procedimiento Criminal Transnacional y Digital”, que Tirant Lo Blanch editó en España, texto en el que Ocariz desarrolla el capítulo sobre Límites en el Análisis de Información en Dispositivos Digitales. El libro que ya está a la venta y del que también participan autores españoles, mexicanos y argentinos, se presentará el próximo 3 de abril en Buenos Aires.
Autor
