Cuando
pensamos en ciberdelincuencia, seguramente lo primero que nos viene a la cabeza
son los piratas informáticos de las películas de Hollywood al estilo Matrix: expertos
en vulnerar sistemas de seguridad informática y acceder ilegalmente a redes
ajenas.
Sin
embargo, a veces subestimamos lo fácil que es engañar al eslabón más débil de
la cadena, al usuario, y obtener directamente de él la información que se
busca, a través de técnicas de ingeniería social.
La
ingeniería social parte de un engaño, al que sigue la manipulación psicológica
para obtener información personal, ya sea por teléfono o por medios electrónicos,
de la víctima, valiéndose de que, por lo general, todo el mundo suele ser
propenso a ayudar o colaborar, de que solemos ser bastante confiados de
primeras y que, además, nos cuesta bastante decir que no.
Un
ejemplo casi de libro de ingeniería social es aquél en el que alguien con
conocimientos avanzados en informática se hace pasar por un técnico y solicita,
por ejemplo, al empleado de una empresa, una serie de claves para poder hacer
unas comprobaciones informáticas de los equipos o directamente todos los
parámetros necesarios para poderse hacer con el control remoto de los
ordenadores, eso sí, habiéndose ganado previamente su confianza y con alguna
escusa justificada –la revisión técnica, una alerta en el sistema, o un
incidente de seguridad-. Y lo cierto es que, por lo general, estas prácticas
suelen dar buenos resultados a quienes las utilizan.
Si
se combinan estos dos factores –vulneración del sistema informático e
ingeniería social- podemos ser víctimas de auténticos fraudes.
Una
situación que, por recurrente, llama bastante la atención es aquélla en la que
alguien se hace con el control del correo electrónico de la víctima, algo que
es relativamente fácil a través de técnicas informáticas –phishing, virus, o
aprovechando vulnerabilidades del sistema- o por simples descuidos del usuario
– conectarse a redes WIFI abiertas o desde ordenadores de acceso– y estudiando
su comportamiento, solicita al banco por email -suplantando su identidad- que
le permita hacer una transferencia bancaria. Y ¡tachán! Como magia: el dinero
vuela de su cuenta y la víctima sin enterarse.
Mantener
una relación fluida con la entidad bancaria al operar con la banca electrónica
es algo habitual, por lo que no es extraño terminar utilizando el correo
electrónico o el teléfono para comunicarse con el banco y autorizar
transferencias, a pesar de no ser éstas las formas más seguras.
No
obstante, y por lo general, los bancos, conocedores de este tipo de prácticas,
suelen identificar las peticiones que pueden llegar a ser fraudulentas y
comprueban por otros medios que la solicitud es correcta, por ejemplo, mediante
verificación en dos pasos o mediante llamadas telefónicas de verificación de
identidad; pudiendo evitar de esta manera posibles fraudes. Sin embargo, esto
no previene que alguien haya estado utilizando el correo electrónico de la
víctima, haya estudiado sus movimientos, haya tenido acceso a información
personal o profesional y haya suplantado su identidad.
Ahora
bien, sí se podría encuadrar el global de la operación dentro de la figura de
la estafa, que castiga a los que, con ánimo de lucro y valiéndose de alguna
manipulación informática o artificio semejante, consigan una transferencia no
consentida de cualquier activo patrimonial en perjuicio de otro.
¿Moraleja?
No fiarnos nunca de terceros a los que no conocemos y ser conscientes de que
esto nos puede pasar a nosotros también; además de utilizar las medidas de
seguridad que los operadores de Internet ponen a nuestra disposición para
evitar estas situaciones.
Fuente: antilavadodedinero