La estafa puede comenzar al responder un mail personalizado del banco que solicita al cliente determinados datos de sus cuentas. Confiado, uno brinda toda la información y, sin darse cuenta, entra en el creciente y peligroso mercado negro de comercialización de datos. Expertos afirmaron que las cinco formas más comunes de fraude de tarjetas de crédito y de débito son clonación, robo de identidad, phishing, hacking y smishing.
 

De acuerdo con César López Matienzo, gerente del área de Desarrollo de Sistemas de un conocido banco local, existe fraude online y físico.
 

En América latina la estafa física, como la clonación de tarjetas de crédito, sigue siendo muy común a pesar de ser el método más antiguo.
 

"En todos los casos de fraude siempre hay mecanismos tecnológicos que permiten a los estafadores captar los datos de la tarjeta de crédito, y una vez que lo hacen, el modus operandies el mismo -dijo López Matienzo-. Para comenzar hacen operaciones pequeñas para ver si el dueño de la tarjeta lo adiverte o no."

En online, predomina el phishing, un engaño informático para tratar de hacer caer a algún desprevenido en una trampa digital.
 

Santiago Vallés, ingeniero y director del Centro de Seguridad Informática (Censi) del ITBA, comentó que existen dos tipos de phishing, uno masivo y otro dirigido. El phishing masivo puede aparecer diariamente como spam, un e-mail fraudulento enviado a miles de usuarios, de los cuales un porcentaje cae en la trampa. "Los estafadores se están volviendo cada vez más expertos en saltear las barreras antispam que instrumentan los sitios como Gmail o Yahoo, por lo tanto, el phishing masivo está comenzando a aparecer en las bandejas de entrada", comentó Vallés.
 

El método de phishing dirigido es un engaño a una persona en particular y requiere de ingeniería social para ser efectivo. "La ingeniería social es el método de investigación previa al phishing", especificó Vallés. Consiste en la averiguación de datos de una o más personas con el propósito de extraerle información personal y en particular los datos de la tarjeta de crédito. La ingeniería social juega un papel fundamental para un exitoso fraude con tarjetas de crédito.

 

La mente de los estafadores
 

"La ingeniería social es el arte de hackear personas," dijo Maximiliano Bendinelli, ingeniero especializado en análisis informático forense para la compañía CySI, un estudio de informática forense. Bendinelli comentó que se puede conseguir un software, llamado exploit kit, con el propósito de hacer phishing. Se puede comprar o alquilar por un valor de 2 o más bitcoins, la moneda digital mejor cotizada en el mercado ilegal de los hackers, ya que no es rastrable. Actualmente cada bitcoin tiene un valor aproximado a los US$ 450.
 

Vallés explica que la venta de los exploit kits proviene de países como Rusia, donde no hay legislación contra delitos informáticos. "Es una herramienta que se usa para explotar una vulnerabilidad no conocida. El valor del exploit está asociado a la masividad, y cuanto más específico es el kit, más barato será para el estafador; por eso es importante la ingeniería social," comentó Vallés.
 

Otra forma de fraude es el hacking. Se realiza a través de un software maligno, también conocido como malware, o virus troyano. Según Raúl Fiori, consultor en seguridad bancaria, los troyanos penetran en la computadora y se auto instalan para copiar datos de cuentas y todo otro dato de interés que pueda ser utilizado para cometer fraudes. El mismo troyano se encargará del envío de ésta información a la dirección del delincuente sin que pueda ser advertido por la víctima.
 

El smishing es similar al phishing, pero en este caso, los estafadores lo hacen a través de mensajes de texto. Según Vallés, los mensajes utilizados tienen la apariencia de los SMS oficiales de las compañías reales. "El SMS tiene dos opciones: cancelar o aceptar, sin dar mucha más información. La gente acepta y pasa meses sin darse cuenta de que hubo fraude", explicó Vallés. El "anzuelo" lleva al usuario a un sitio falso o a una aplicación sospechosa.

 

Por último, el ID theft, es el robo de datos personales para hacerse pasar por la víctima del fraude, o cometer delitos con su nombre. La mayoría de estos engaños se logran obteniendo datos personales por teléfono. El valor promedio de la identidad de una persona en el mercado negro es de U$S 21,35, según información de Quartz, un medio norteamericano online.

 

En un informe publicado por el primer observatorio de delitos informáticos de la región, Odila, se pudo determinar que el 70% de los denunciantes son personas físicas, mientras que el resto son Pymes, empresas y organismos gubernamentales. Más de la mitad de las 1290 denuncias que registró esa ONG, pertenecen a la Argentina.
 

Leyes antifraude
 

En 2012 existía un proyecto de ley para penalizar la suplantación de la identidad digital. Actualmente el proyecto caducó por falta de consenso en el Congreso. Sin embargo, Marcelo Temperini, abogado especializado en derecho informático y uno de los impulsadores del proyecto, comentó que trabajó en 2013 y 2014 en un nuevo proyecto para sancionar penalmente la práctica de phishing, tipificándola como la captación ilegítima de datos confidenciales.

 

"Lamentablemente, el phishing no es considerado un delito en la Argentina, sólo pasa a ser un delito cuando se produce una estafa con daños patrimoniales. Pero para entonces, ya es muy tarde y no se puede frenar la divulgación de la información que ha sido robada y se vende en el mercado negro", dijo Tamperini.
 

Actualmente existe legislación que penaliza el hacking: la ley 26.388. Tamperini asegura que esta norma fue una especie de "parche" que modificó varios artículos y agregó otros. Es una buena ley desde el punto de vista penal material, mejorable como todas, aunque quizás con penas bajas.

 

Los expertos consultados coinciden en que el cliente es quien debe prestar atención a todas las advertencias emitidas por los bancos y compañías de tarjetas de crédito. Existe una fuerte "evangelización", como la llama César López Matienzo, para concientizar a los usuarios de tarjetas de crédito para que no caigan en las trampas de fraude que existen hoy.
 

Raúl Fiori explica que las entidades previenen los fraudes a través de múltiples herramientas informáticas, bases de datos e identificación de IP (dirección que posee la computadora que genera la información maliciosa). Por su parte, las administradoras de tarjetas, poseen software que monitorea online millones de transacciones y controlan la actividad del cliente para la detección temprana del fraude.

 

El futuro del antifraude es la biometría. "El cliente dejará de utilizar "lo que sabe" (por las claves) por "lo que es" (huella dactilar, cara, voz o iris). Esto impedirá la actividad de los delincuentes informáticos o los que utilizan inteligencia social directa", dijo Fiori.
 

Fuente: La Nación, Argentina