Guía práctica para ciber fraudes.
El presente documento tiene por finalidad ser una guía ante la amenaza de ciber fraudes que se están generando a nivel mundial explicando de la manera más práctica posible en qué consisten las principales tipos de estafas que se realizan a través de medios tecnológicos, algunas recomendaciones en materias investigativas que pueden ser útiles a la hora de tener que tramitar una causa penal de este tipo y un breve acercamiento a lo que la legislación Chilena establece al respecto y las herramientas que entrega. ¿Qué es el cibercrimen? Consiste en todas las actividades ilícitas que ocupan Internet o el ciberespacio como lugar del delito. Desde accesos no autorizados a información digital, sabotaje y robo de información, hasta fraudes virtuales. Los delitos informáticos más recurrentes en Chile son el malware y el phishing, mediante los cuales los atacantes buscan robar información personal, contraseñas o dinero, a través de mensajes falsos de e-mail o sitios web que parecen legítimos. En el año 2019, según cifras de NovaRed, en Chile los delitos informáticos aumentaron en más de un 74% respecto al último trimestre del año anterior, siendo los principales que afectan a las empresas los del tipo malware, donde casi el 50% tienen relación con Ransomware o alguna variante de éste. Por otro lado, el principal método de propagación empleado por los ciberdelincuentes continúa siendo el phishing, donde casi el 91% de los ataques emplean esta metodología. Estos números siguieron creciendo en el 2020 manteniéndose el phishing como el principal método. Según medios de comunicación, 165 mil usuarios hicieron denuncias en segundo semestre de 2020 por fraudes, por $54.000 millones, unos US$73 millones. Estas denuncias se dividen en fraudes en tarjetas de crédito, 57.343 denuncias de este tipo (34,7% del total). Le siguen las tarjetas de débito con 40.036 usuarios afectados (24,2%), muy cerca se posicionan las transferencias electrónicas con 39.825 casos (24,1%) y robos o transacciones en cajeros automáticos, 26.143 (15,8%). Algunas definiciones y alcances conceptuales de los ciberdelitos más comunes en el ámbito del fraude: Acceso indebido a sistemas (haking) Es el ilícito más básico y el hackeo más simple de todos. Consiste en el ingreso indebido o no autorizado a un sistema informático; desde la apertura de un email sin autorización del dueño, hasta el ingreso pirata a una cuenta de Facebook y el robo de información confidencial o sensible. Virus informáticos Es el ciberdelito más antiguo de todos. Comenzó como un programa informático diseñado para contaminar discos duros y destruirlos. Hoy, sus posibilidades son infinitas gracias a su versatilidad. Como buen virus, se propaga fácilmente mediante portadores voluntarios e involuntarios; emails, mensajería móvil, publicidad online, entre otros. Phishing Es el tipo de estafa por internet más conocido hoy en día. Su nombre deriva de un juego de palabras con el término pescar en inglés (fish), dado que la víctima “muerde el anzuelo”. Consiste en el envío de falsos correos electrónicos y mensajería online mediante chats y aplicaciones móviles que dirigen usuarios a un sitio web falso, con el fin de obtener su información personal como claves de acceso y otros datos para robar cuentas bancarias. Con esta técnica, los ciberdelincuentes son capaces de alterar mínimamente la URL (dirección) de un sitio web y crear una web falsa, casi idéntica a la real, con detalles casi imperceptibles lo que hace que gran parte de las personas se transforme en víctimas. Este es el tipo de ataque que más ha crecido desde los inicios de la crisis sanitaria. Pharming En este caso la víctima sufre el delito en un mundo virtual totalmente falso sin darse cuenta. Todo gracias a un virus que ingresa a su computador y que envía al usuario a una página web falsa de su banco u otra, que copia sus datos de acceso y transfiere el dinero en segundos. El concepto responde a un juego de palabras con el término en inglés para cultivar (farming), porque los ciberdelincuentes “cosechan” el dinero de sus víctimas. Malware Es un “software malicioso” que se inserta en los sistemas operativos o discos duros de computadores y smartphones para recolectar la información que genera el usuario. Por lo general su descarga es automática y sin previo conocimiento del usuario como archivo adjunto desde emails publicitarios falsos, páginas web hechizas, o apps supuestamente gratuitas. Su uso es también versátil; desde capturar información para enviar SPAM con publicidad hasta el robo de datos confidenciales para su tráfico. Ransomware Este ciberdelito hizo su debut mundial en 2017 con Wannacry, programa informático malintencionado que impidió el acceso a la información de determinados archivos o todo el disco duro de computadores de empresas en todo el mundo. Su valor está en que cifra los datos para hacerlos imposibles de acceder excepto por un sistema de descifrado específico que los hackers desarrollan para ese fin, previo pago de una cuantiosa suma de dinero. Se llama de esta manera ya que constituye un verdadero secuestro del sistema de la empresa y solo se libera ante el pago de un rescate (randsom). Estafas en entornos digitales, aprovechamiento de vulnerabilidades de los sistemas. Fraude a través de Phishing: Habiendo ya explicado lo que es el phishing como la forma más común de ciberdelito, paso a explicar de qué forma se utiliza esta estrategia de ciberataque para realizar estafas virtuales. Un ejemplo práctico es el caso que se dio el 31 de octubre de 2021 con un masivo envío de correos electrónicos personalizados fraudulentos destinados especialmente a clientes del Banco Macro de Argentina. El mensaje que recibieron los clientes del banco indicaba que ya se había acreditado el monto del Ingreso Familiar de Emergencia (IFE) y derivaba a un link, en donde está el anzuelo para que se ingrese. Con una página falsa, con logo del banco, solicitan que coloquen el número de cuenta y clave, o sea, el acceso a la cuenta”. La tentación de ingresar al link que figuraba en el mensaje permitía acceder a una falsa página oficial del Banco para volcar allí sus datos confidenciales. Ya