Con mayor frecuencia cada vez más vemos y escuchamos casos de estafas a través de billeteras virtuales, especialmente a personas a las que les robaron el celular, les extrajeron el efectivo, y/o les sacaron un préstamo a su nombre.

En las últimas semanas, en Twitter resonaron algunos casos que tuvieron como protagonistas a plataformas como Mercado Pago, mientras que en los últimos meses aparecieron casos de otro fenómeno, el SIM swapping o duplicación de la tarjeta SIM de los teléfonos celulares.

¿Qué se puede hacer para evitar lo más posible este tipo de estafas y proteger las billeteras virtuales?

Cuando el objetivo principal son tus cuentas bancarias

Durante la pandemia por coronavirus, y ante el crecimiento del comercio electrónico y un mayor uso de las billeteras digitales, las estafas aumentaron exponencialmente: crecieron un 3000% entre 2019 y 2020 en el país, según la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI), que depende del Ministerio Público Fiscal.

Es así que las modalidades de engaños digitales fueron evolucionando con el tiempo, los estafadores se fueron adaptando y, además de los engaños más clásicos, como el ya conocido phishing [suplantación de la identidad], se sumaron otros nuevos.

En la última semana, en Twitter resonó el caso de la usuaria @_julieme, quien contó que le robaron el celular, le vaciaron la cuenta de Mercado Pago y sacaron un crédito a nombre suyo. La usuaria explicó en su cuenta de Twitter que solicitó una verificación de identidad a la aplicación luego del robo para recuperar su contraseña y una hora después los delincuentes le vaciaron la cuenta. A partir de su testimonio, diversos usuarios (acá y acá) de esa red social se sintieron identificados con su propia experiencia y contaron sus propios casos de robos y estafas.

Chequeado consultó a Mercado Pago qué medidas está tomando la empresa para incrementar la seguridad de los usuarios frente a estos casos, pero no obtuvo respuesta hasta la publicación de esta nota.

Por otro lado, algunos funcionarios o políticos fueron víctimas, en los últimos meses, del SIM swapping o duplicación de la tarjeta SIM de los teléfonos celulares, entre los que se encuentran Nicolás Kreplak, ministro de Salud de la Provincia de Buenos Aires; Myriam Bregman, diputada nacional por el Frente de Izquierda; Sabina Frederic, ex ministra de Seguridad nacional y actual presidenta de Cascos Blancos, y Mara Brawer, diputada nacional por el Frente de Todos; cuyos chips asociados a una línea de celular fueron reemplazados para apoderarse de ese número y acceder a sus redes sociales. Con esta técnica también se pueden robar cuentas de correo electrónico y bancarias.

Respecto a esta última modalidad, Emiliano Piscitelli, especialista en seguridad informática, explicó a Chequeado que “es una técnica que se viene usando hace mucho y principalmente se enfoca en las operadoras telefónicas; el delincuente engaña a las operadoras telefónicas para sacar un SIM a nombre de otra persona. Con la pandemia, las empresas flexibilizaron algunas medidas y eso hizo que sea más fácil todavía sacar una tarjeta SIM a nombre de otra persona”.

Qué hacer para no caer en estos engaños

Si bien ningún método de seguridad es 100% infalible y seguro, los especialistas brindan una serie de consejos para minimizar los riesgos, elevar el umbral de seguridad de nuestras aplicaciones -especialmente, las billeteras digitales- y evitar caer en engaños.

Tener el celular bloqueado con una contraseña o método de bloqueo robusto, que no sea sencillo y fácil de adivinar, como una fecha de cumpleaños, o que sea seguro, como el desbloqueo utilizando el rostro o la huella digital, es el consejo inicial de los expertos. Además, es conveniente sumar un método de desbloqueo también para las propias aplicaciones, disponible tanto para Android como para iOS.

El bloqueo de la pantalla en un corto periodo de tiempo y el bloqueo en las aplicaciones -además del celular- también es recomendable, porque es una herramienta más de seguridad, señaló Piscitell.

De todos modos, la recomendación más importante de todas para los especialistas es tener un doble factor de autenticación -una medida de seguridad adicional que protege tu cuenta en caso de que te roben la contraseña- que no esté asociado al SMS en aquellas aplicaciones sensibles, como el caso de una billetera virtual, para que la recuperación de contraseña no quede supeditada a la línea de celular, que podría ser suplantada o robada. Se pueden utilizar, en reemplazo, aplicaciones independientes, como Google Authenticator. Se activa ingresando al menú de ajustes o configuración de la cuenta que se quiere proteger, opción “Autenticación en dos pasos”.

Una herramienta más de seguridad recomendada por expertos es activar la contraseña a la tarjeta SIM del celular que lleva la línea telefónica. En Android, la opción se configura desde la opción “Seguridad” en “Ajustes”, mientras que en iOS, desde “Datos celulares” de la opción “Configuración”. Para agregar un PIN propio primero habrá que ingresar el actual, que tendrá que ser requerido a la empresa prestadora de servicios.

Ese PIN será requerido cada vez que el celular sea prendido o reiniciado, y es muy importante no olvidarlo: el celular no tendrá conexión a la red hasta que no se ingrese el PIN correcto.

Sebastián Davidovsky, periodista especializado en delitos digitales y autor del libro “Engaños digitales, víctimas reales”, coincidió en el programa “De Acá en Más” que la recomendación es acertada: “Es una variante para que cuando los delincuentes quieran poner el chip en otro nuevo dispositivo no puedan activar ese SIM porque les va a pedir un código para activarlo en el nuevo dispositivo. Teniendo en cuenta que hoy en día el objetivo no es tanto el aparato, o no solo el aparato, sino tus líneas y tus cuentas”.

“Todo lo que sea útil como segundo factor de autenticación sirve. En particular en los servicios como WhatsApp, redes sociales, correo y billeteras electrónicas es más que recomendable: es vital. No solo por el posible robo de teléfono sino también por estafas más tradicionales como el phishing”, coincidió Pablo Lázaro, director de la carrera de ciberseguridad de la Universidad Nacional Scalabrini Ortiz (UNSO), en diálogo con Chequeado.

La Unidad Fiscal Especializada en Ciberdelincuencia (UFECI) elaboró, además, una lista de consejos para minimizar los riesgos de la duplicación de la tarjeta SIM.

• En caso de que el servicio de telefonía celular se vea interrumpido, contemplar la posibilidad de haber sido víctima de esta modalidad, por lo que conviene contactar inmediatamente a la empresa prestataria.

• Cambiar las contraseñas regularmente, ante la posibilidad que alguna pueda haberse filtrado.

• Utilizar dispositivos actualizados y con antivirus, que están menos expuestos a programas que puedan obtener las credenciales.

• Usar conexiones a internet seguras, especialmente si se va a acceder a lugares que necesiten usuario y contraseña (correo, bancos, plataformas de comercio electrónico, etcétera). En términos generales, evitar las redes inalámbricas abiertas o las cerradas que no sean de confianza.

Recomendaciones para estafas bancarias

Además, para estos casos y otros de estafas financieras, como engaños telefónicos en nombre del banco, aplican otros consejos. Los empleados de las entidades bancarias no solicitan ni nombre de usuario, contraseña de homebanking o de cajero automático, número de token de seguridad, número de cuenta bancaria CBU o Alias o transferencias de efectivo a cambio de un beneficio.

Como explicamos en esta nota, si se recibe un aviso sobre un supuesto error al realizar una transferencia bancaria, no se debe responder a estos mensajes. Ante cualquier duda, se debe comunicar telefónicamente con el banco. Nunca se debe acudir a un cajero automático, abrir la app o acceder al homebanking cuando se recibe una llamada supuestamente proveniente de la entidad bancaria. El cliente debe ser el que origina la llamada.

El Banco Central de la República Argentina (BCRA), que reforzó este año las medidas para mejorar la seguridad de las billeteras digitales, publicó también una serie de recomendaciones, entre las que se encuentran no ingresar datos personales en sitios por medio de enlaces que llegan por correo electrónico, ya que podrían ser fraudulentos; tener cuidado con los enlaces sospechosos y asegurarse siempre de estar en la página legítima antes de ingresar información de inicio de sesión.

Cómo denunciar

En el caso de que el celular sea robado, Piscitelli recomienda hacer de inmediato la denuncia a la empresa prestadora de servicios para que bloqueen la tarjeta SIM y el IMEI (International Mobile Station Equipment Identity, en inglés) del dispositivo -un código de 15 dígitos pregrabado por el fabricante para identificar cada equipo móvil-.

También es conveniente denunciar el hecho al número 910, para que el teléfono no pueda ser utilizado para hacer llamados, enviar mensajes ni utilizar los datos para conectarse a la red.

En caso de que el delito se haya cometido, Daniel Monastersky, abogado especialista en Delitos Informáticos y director del Centro de Estudios en Ciberseguridad de la Universidad del CEMA, explicó en esta nota que la denuncia se puede hacer también en una comisaría por el acceso indebido a un sistema informático. Y después, para avanzar con la denuncia, aportar las pruebas.

“En [la Dirección de] Defensa del Consumidor también se puede hacer un reclamo para pedir una mediación con el banco”, señaló. Por otra parte, remarcó la importancia de las medidas cautelares, “para que se retrotraiga todo el dinero que le sacaron a la persona, esperando la definición más de fondo”.

Por otro lado, es aconsejable cambiar las contraseñas de todas las cuentas, como el mail o las redes sociales.