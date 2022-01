“La acción legal y no la indefensión frente a los delitos que se cometen en las redes sociales debe ser la bandera principal del internauta honesto, pues “todo lo que ocurre online en materia delincuencial se rige por las mismas leyes que existen para el mundo físico”, dice a EL TIEMPO Oscar Raúl Puccinelli, especialista en el sector y doctor en Derecho Constitucional de la Universidad de Buenos Aires.



“Una estafa es una estafa en cualquiera de los dos ámbitos, sin perjuicio de las características específicas como, por ejemplo, el uso de técnicas de phishing (suplantación de identidad), que son empleadas para obtener datos privados de los usuarios de internet y para apoderarse de sus cuentas bancarias o de su identidad digital”, afirma.



Además, “por la especificidad que caracteriza a muchos de los delitos informáticos, la mayoría de los países han creado tipos penales concretos. En Argentina, por ejemplo, se introdujeron delitos informáticos en el Código Penal, mediante la ley 26.388, aunque no todos están vinculados a supuestos de ingeniería social”.



En Colombia, la Ley 1273 de 2009 creó nuevos tipos penales relacionados con los delitos informáticos y la protección de información y datos y estableció penas de prisión hasta de diez años y multas hasta de 1.500 salarios mínimos vigentes.



El delito de la ingeniería social se refiere a las técnicas que usan los cibercriminales para que, a través de la manipulación, los usuarios les compartan información confidencial o permisos para utilizarlas en su beneficio y en perjuicio de las víctimas.

Para lograrlo, se hacen pasar por familiares, amigos, personas de soporte técnico, compañeros de trabajo, representantes de entidades o hasta por la misma víctima, cuando buscan embaucar a terceros en las redes sociales, por ejemplo.



Puccinelli, que también es profesor de Derecho Constitucional y Derechos Humanos y juez de la Cámara de Apelación en lo Civil y Comercial y ha sido invitado varias veces a Colombia para hablar sobre el tema, explica que en el empleo de técnicas de ingeniería social por lo general se hace un relevamiento previo de información sobre el usuario (víctima) tanto en la surface web (la web superficial) que todos conocemos y a la que accedemos con los botones de búsqueda, como en la deep web (web profunda), donde está la información a la que no accedemos con esos mismos botones.

Técnicas de ciberestafa

Aunque las técnicas de ingeniería social se utilizaron en el pasado en famosas estafas como las de los norteamericanos George Parker (1860-1936), que vendió varias veces el puente de Brooklyn y otros lugares de interés público de Nueva York o, las de Carlo Ponzi (1882-1949), de origen italiano, que creó un esquema piramidal de estafa, conocido como “el esquema Ponzi”, en el ciberespacio los estafadores no solo han encontrado un campo altamente fértil sino más diversificado.



Con el uso de inteligencia artificial y con el perfilado de la eventual víctima “se suele establecer un contacto preliminar con la misma para sacar información a través de diversas técnicas psicológicas, que es preciso conocer, para neutralizar la estafa y evitar daños materiales, como la sustracción de dinero de una cuenta, o morales, como el daño a la reputación, la aniquilación digital, etc.,” afirma Puccinelli.



Entre las técnicas empleadas menciona “las de reciprocidad, cuando se ofrece y pide algo a cambio; las de autoridad, cuando el victimario se presenta como alguien importante, como por ejemplo una autoridad”.

Igualmente, señala la técnica de la urgencia, “cuando se crea una supuesta situación apremiante y se usa el ransomware (secuestro de datos), que es un programa dañino que impide el acceso a determinadas partes o archivos del sistema operativo infectado y se pide un rescate a la víctima, a cambio de quitar la restricción, como sucedió con el ataque perpetrado, con fines de rescate, con el criptogusano WannaCry que, en 2017, afectó 230.000 computadoras en 150 países”.



Menciona también la utilización de técnicas como la simpatía, que proyectan confianza y optimismo; las de concesión, en las que se reconoce una falta, para que se entregue una tarjeta, como un deber y en la que dirige a la víctima a una página falsa para que entregue datos, por ejemplo, entre muchas otras.



Señala que la información también puede obtenerse mediante el empleo de técnicas que halagan a la víctima; el lanzamiento de información incierta para que sea corregida por la misma; la utilización de una supuesta ignorancia sobre un tema que domina la víctima para obtener la información buscada; el empleo de cajas de resonancia, en donde se le cuenta una supuesta intimidad para que ella revele la suya o mediante la formulación de preguntas adecuadas (cerradas –por sí o por no–, abiertas o guiadas).



“Lo que da andamiaje a este tipo de técnicas es el hecho comprobado de que los usuarios son el eslabón más débil del sistema”, afirma Puccinelli.

Alerta que, gracias a múltiples factores tecnológicos, “se ha generado un sinnúmero de riesgos hasta hace poco apenas imaginados, que se acentuaron a partir de fenómenos como el big data (que se refiere a un enorme y complejo volumen de datos que requiere de un tratamiento especial para procesarse), la computación en la nube y el internet de las cosas”.



Menciona también la inteligencia artificial, la machine learning (rama de la inteligencia artificial que desarrolla técnicas para que las computadoras aprendan), etc., que, en su opinión, “confluyeron especialmente a la configuración de la web 2.0 –esto es, la web participativa–, especialmente impulsada por las redes sociales, donde sus usuarios vuelcan gran cantidad de información personal propia y de terceros que constituye una materia prima invaluable para quienes utilizan tales técnicas de ingeniería social”.

Para detectar un ataque de ingeniería social recomienda “prestar especial atención en el victimario, que se caracteriza por transmitir control y confianza; por conceder favores y regalos, usar el humor y presentar motivos razonables para que caiga su víctima”.



También recurrir a los canales de especializados en las plataformas sobre estos delitos y apoyarse en un informático forense para reunir las pruebas, pero reconoce que en América aún no contamos, como en Europa, con la llamada “ventanilla única”, que prevé el Reglamento General de Protección de Datos, donde la víctima puede presentar su reclamo ante la autoridad competente, que se encarga de dar curso a su demanda.



La aniquilación digital no solo se aplica a la censura en las redes contra personajes públicos, por posturas contrarias a la mayoría, como, por ejemplo, comentarios racistas, machistas o discursos de odio, sino también a la ejercida por Facebook o Twitter contra figuras como el expresidente Donald Trump, a quien, por su agresividad, le suspendieron sus cuentas en esas plataformas. Esta también se refiere a delitos cibernéticos que atentan contra la honra y existencia digital y social de las personas. Puede vincularse con la ingeniería social cuando existe un rechazo social generalizado por las conductas altamente reprochables de una persona desde el punto de vista ético, como en los casos de abusos de menores o violencia de género, etc.



Pero el profesor Puccinelli admite que la aniquilación digital también puede darse en casos de persecuciones por competencia desleal o celos profesionales.



“A través de las técnicas de ingeniería social se pueden generar acciones destinadas a aniquilar digital y socialmente a una persona que no ha cometido ninguna incorrección, mediante la utilización de una campaña de desprestigio a través de noticias falsas, como sucedió en las presidenciales de Estados Unidos en 2016, cuando se descubrió el escándalo Facebook-Cambridge Analítica”, recuerda.



En ese escándalo se acusó a Facebook de haber compartido, de forma inapropiada, los datos de 87 millones de personas con la consultora política Cambridge Analítica, por lo que tuvo que pagar a la Oficina del Comisionado de Información (ICO, por sus siglas en inglés), que regula la protección de datos en el Reino Unido, una multa de más de 2.515 millones de pesos colombianos (580.000 euros).

No dar papaya

La gran mayoría de delitos informáticos tienen que ver en la actualidad, sobre todo, con las facilidades que dan los usuarios de las plataformas de internet a los ciberdelincuentes. “Muchísimas personas publican en sus redes sociales datos sensibles, como, por ejemplo, dirección de su casa, lugar y puesto de trabajo, lugar de estudio de sus hijos, número de documento, fecha de nacimiento, etc., datos que aprovechan los delincuentes para, de manera sistemática, sacar de la misma víctima datos para acceder a sus cuentas bancarias, tarjetas de crédito, etc.”, dice a EL TIEMPO el informático colombiano David Dejoy, que insiste y alerta a los internautas sobre no divulgar datos personales en la redes.



El mayor volumen de los delitos informáticos se vincula con las estafas o defraudaciones, seguidos por la pornografía infantil, el sexting (grabación y difusión en las redes de actividades sexuales) y el stalking (persecución ininterrumpida contra alguien a través de las redes sociales, mensajes, correos, etc.), según Puccinelli.



Precisa que están regulados penalmente “la revelación de secretos, la violación del secreto de las comunicaciones, la interceptación ilegal de comunicaciones personales, la utilización y/o modificación de los datos personales sin consentimiento, el acceso ilegal a datos y sistemas informáticos, la difusión de datos, hechos o imágenes captadas ilícitamente, así como amenazas, coacciones y falsificación de documentos privados, certificados y tarjetas bancarias”.



Un informe sobre ciberseguridad de la OEA y el BID de 2016 afirmó que la mayoría de los países de América Latina no solo no están preparados para afrontar las amenazas del cibercrimen, sino que gran parte “de las fiscalías no están capacitadas ni provistas de recursos efectivos para perseguir los delitos cibernéticos”, recuerda Puccinelli.



“América Latina se presenta como un campo fértil para este tipo de prácticas, aunque, por lo general, los ciberdelincuentes prefieren dirigir sus acciones a ‘peces gordos’ cuyo abordaje exitoso justifique la labor de inteligencia previa de toda esa ingeniería”, añade.



Reconoce que los más expuestos son los internautas que tienen menos educación y posibilidades para defenderse, en su mayoría con ingresos medios, bajos y con menor preparación, que no creen en que podrían ser víctimas de ciberdelincuentes.



“En muchos casos creen en supuestas oportunidades económicas que les ofrecen ventajas en correos electrónicos como compartir una fortuna, a cambio de datos bancarios o de transferencias previas”, dice Puccinelli.



¿Cómo darse cuenta de que somos víctimas de ingeniería social o de algún otro delito informático?



Si el usuario nota, por ejemplo, que sus datos profesionales “desaparecieron” de su biografía de redes como Linkedin, Facebook y otras, y que no los puede ingresar de nuevo porque parece bloqueado por la plataforma, el informático Dejoy afirma que “la mayoría de redes sociales tienen una línea de atención digital a la cual se puede acudir para aclarar la situación”, como paso previo para hacer valer los derechos ciudadanos regidos por las leyes vigentes.

GLORIA HELENA REY

Para EL TIEMPO