La Unidad Fiscal Especializada en Ciberdelincuencia (UFECI), a cargo de Horacio Azzolin, informó sobre nuevas modalidades de ciberdelitos que se detectaron durante el aislamiento social preventivo y obligatorio. Frente a ello, anunció distintas recomendaciones para evitar ser víctimas de las diferentes maniobras, entre las que se destacan la práctica de “zoombombing” y de extorsión a través de envíos de mails, en donde los victimarios les hacen creer a sus víctimas que accedieron al contenido de sus dispositivos digitales.
¿Qué es Zoombombing?
En los últimos días se han constatado casos de accesos, en forma ilegítima, a videoconferencias que se celebran por medio de diferentes aplicaciones, entre las que se destaca la plataforma Zoom, debido al gran número de usuarios que la han adoptado. Las prácticas tienen distintas finalidades, ya sea desde entorpercer las reuniones virtuales o provocar a los asistentes, hasta difundir por esa vía contenido de naturaleza delictiva, puntualmente, imágenes de abuso sexual infantil.
La UFECI recomienda principalmente evitar que se hagan pública la información necesaria para acceder a las videoconferencias. Para eso sugiere no compartir las invitaciones ni las claves con terceros, ni publicar en redes sociales u otras plataformas de acceso público, y evitar compartir fotos o capturas de pantalla de las reuniones en donde se visualicen esos datos. Por otro lado, aconseja mantener la aplicación actualizada para que contenga las últimas medidas de seguridad adoptadas por la plataforma, como así también, comprobar que las nuevas reuniones creadas estén protegidas con una contraseña.
En cuanto a la plataforma Zoom en particular, se recomienda utilizar la función “Sala de espera”, que habilita un espacio virtual, a modo de instancia previa al encuentro, en la que las y los anfitriones pueden identificar a los asistentes legítimos y autorizarlos, manualmente, para que participen de la sesión. Seguidamente, cuando los invitados ya accedieron a la videoconferencia, se aconseja utilizar la función “Bloquear reunión”, de modo tal que no puedan ingresar nuevos usuarios.
Extorsión económica por supuesto hackeo de contenidos personales
Otra de las prácticas que se sucedieron en los últimos días son las maniobras fraudulentas materializadas por medio de correos electrónicos, que se basan en la afirmación de haber accedido a los dispositivos de las víctimas y registrado, mientras visitaban sitios de contenido para adultos, la pantalla y las imágenes captadas por sus cámaras web.
La estafa consiste en el envió de un mail a la víctima, en el que se incluye en el texto una contraseña utilizada en alguna oportunidad por el afectado, o simulando que el mensaje fue enviado desde su propio correo electrónico, con el fin de generar mayor nivel de convencimiento para después exigir un pago -a través de Bitcoin u otra forma de cobro electrónico- en un plazo de 24 horas, bajo la amenaza de distribuir grabaciones o contenidos injuriantes entre sus contactos personales en caso de no cumplir.
La UFECI aclara que, según la información de casos relevados, la mayoría de estos mensajes son producto de “campañas fraudulentas”, llevadas a cabo mediante el envío masivo de correos electrónicos, en las que se valen de múltiples artilugios y engaños para hacerle creer al mayor número de destinatarios que alguien accedió a sus dispositivos y pudo haber obtenido las imágenes en cuestión, pese a no ser cierto, para atemorizarlos y conseguir que paguen las sumas exigidas.
Sugiere no responder este tipo de mensajes, ya que si bien se trata de envíos masivos, cualquier respuesta puede ser utilizada por los autores para validar la dirección y, tras ello, reformular y personalizar la maniobra. Por otro lado, si la contraseña enviada por el delincuente es válida para acceder a alguna de las cuentas, se recomienda modificarla de forma urgente e incorporar, como medida de seguridad, un segundo factor de autenticación (conocido también como “verificación en dos pasos”).
Por último y como regla general, la Unidad recomienda modificar las contraseñas con cierta frecuencia, evitar el uso de una misma clave en múltiples plataformas, y, en el momento de generar una contraseña, utilizar una combinación de letras y números, alternar entre mayúsculas y minúsculas, e incorporar signos de puntuación y/o caracteres especiales.
Estafas bajo el ropaje de beneficios económicos
Por otro lado, la UFECI identificó una variante novedosa de un fenómeno sobre el que ya había advertido. Se trata de una modalidad en la que, por medio de llamados telefónicos, personas que simulan ser trabajadores de la ANSeS u otros organismos públicos engañan a sus víctimas para recolectar información personal, financiera e, incluso, datos de sus tarjetas de crédito o débito. Tras la puesta en marcha del aislamiento vigente, los autores suelen afirmar que el llamado guarda relación con la acreditación de alguno de los beneficios otorgados con motivo de la pandemia del coronavirus (COVID-19).
En ocasiones, se pide a los damnificados que se acerquen a un cajero automático y, una vez allí, los guían para que realicen transferencias a cuentas de terceros. En ocasiones, los estafadores instruyen a las víctimas para que activen la clave “token” de sus cuentas y les brinden el código generado, lo que les permite luego operar con las mismas y realizar nuevas operaciones perjudiciales.
Se trata de un engaño que, en las últimas semanas, se ha utilizado extensivamente en diferentes maniobras. “Sin ir más lejos, recientemente se constataron casos de captación de datos por medio de formularios web falsos, difundidos principalmente por WhatsApp, en los que se aducía que los ciudadanos debían inscribirse para poder recibir una asistencia de esa naturaleza”, detalla el texto.
Así, la UFECI recuerda que la ANSeS no realiza llamados telefónicos para solicitar datos personales, financieros, ni de tarjetas de débito o crédito; e insta a no acceder a ser guiado telefónicamente o por terceros desconocidos en el uso de un cajero automático, y a evitar brindar información personal en plataformas o formularios web cuyas direcciones no sean provistas por canales oficiales.
