Qué es el Phishing y cómo denunciarlo: las estafas digitales que amenazan a los chilenos

Constanza, (nombre ficticio de la víctima para proteger su identidad), es una joven de 24 años que a principios de abril, estaba en la universidad y recibió una llamada de “Banco Estado”. El ejecutivo le informó que tenía “un monto de excedentes por los giros que realiza” y necesitaba que ella “autorice” la transferencia para poder recibirlo.

“Ellos me hablaron con mucha seguridad. Me dijeron el monto exacto que yo tenía en la cuenta. Me dieron todos los datos, es como si hubieran estado en mi banca en línea. Me dijeron incluso qué tipo de cuentas tenía”, relata a La Tercera la estudiante. Cabe resaltar que esta información es privada y, en ningún caso, es publicada por la institución.

El ejecutivo le transmitió suficiente confianza y ella estaba ocupada con sus estudios, por lo que no le dio mayor importancia. De hecho, lo tomó como algo bueno y autorizó la transferencia a través de su celular. El hombre le informó que estaba todo listo, le deseó un buen día y colgó. Entonces a Constanza le llegó un correo electrónico de su banco -esta vez el verdadero- que decía que ella había realizado una transferencia a otra cuenta por todo el saldo que tenía.

En un par de minutos, el delincuente que llamó a Constanza había orquestado el crimen perfecto. Tenía acceso a su banca en línea (probablemente porque ella apretó el link a una página falsa sin darse cuenta, pues un par de días antes había “cambiado” su contraseña por Internet), sabía toda su información personal y el monto total que manejaba en la cuenta, y la engañó para transferirse a sí mismo todo su dinero.

Engañar a alguien para que haga algo. Ese es el concepto más general de qué significa el phishing. Este tipo de estafas incluye una serie de técnicas que utilizan personas con malas intenciones que quieren obtener algo de alguien, ya sean datos sensibles (como contraseñas) o llevarlo un paso más lejos, como en el caso de Constanza, donde una vez teniendo acceso a su cuenta bancaria, al delincuente le faltaba la autorización de transferirse dinero, que solo podría obtener de ella.

El phishing se puede hacer a través de mensaje de texto (SMS), WhatsApp, redes sociales, correo electrónico e incluso registrando códigos QR con la cámara. En general, el objetivo de los estafadores es que la víctima entre a enlaces de páginas que cree “seguras” y acceda a sus cuentas.

Sin embargo, ese “usuario” y “contraseña” que ingresan las víctimas es información que llega directamente a manos de un ciberdelincuente, quien tendrá acceso a cuentas de banco, entretenimiento, redes sociales y todo tipo de información sensible y que utilizará para su propio beneficio.

¿Pero cómo lo hacen? Los estafadores de phishing son capaces de crear o comprar sitios web falsos de instituciones como Bancos, Servicio de Impuestos Internos (SII), Netflix, iCloud y todo tipo de empresas o instituciones que les resulte de interés para obtener algo. Estas páginas suplantan su identidad, por lo que les resulta fácil conseguir datos sensibles o robar dinero a las personas, pues son muchas las que caen.

De hecho, Nivel4, una empresa de consultoría y asesoría de ciberseguridad, junto con varias instituciones importantes del país, hizo pruebas con “correos falsos” para dimensionar el problema de estas estafas digitales.

Los resultados reflejaron que en Chile, en marzo de este año, el 63% de las personas que recibió un correo fraudulento lo abrió, el 12% hizo click en el link del correo y el 8% ingresó sus datos en el sitio falso.

Hernán Moller, ingeniero informático y experto en ciberseguridad y hacking y COO de Nivel 4 le explica a LT que “ningún banco ni empresa o institución te va a pedir una contraseña, nunca va a pedir datos bancarios ni información confidencial, porque toda esa información ellos ya la tienen, entonces no es necesario que te las pidan”.

“Uno siempre tiene que dudar y cuestionarse si la información que está entregando puede servir para un fraude o no antes de entregarlo, por muy convincente que suene o se vea”, agrega el especialista, además de contar que identificaron que hay “paquetes de phishing” a la venta, donde cualquier persona con conocimientos casi nulos de informática puede acceder y personalizarlos para cometer el crimen.

Y aunque suene lógico que los adultos y adultos mayores sean una presa más fácil para las estafas digitales, por la brecha que pueda existir en el manejo de la tecnología, para Möller, la credibilidad de las páginas que ha visto en su experiencia hace que crea que todos pueden caer.

Aunque hay algunas pistas que pueden ayudar a reconocer una página falsa: si recibes un mensaje de texto o un correo electrónico de tu banco o cualquier otra empresa donde tengas una cuenta, revisa la ortografía, que el correo remitente no luzca sospechoso y simplemente no hagas click en enlaces desconocidos.

Sin embargo, en el caso de las personas mayores, la recomendación del especialista es que pregunten. “Preguntar, dudar es súper importante. La tecnología avanza tan rápido que uno a veces no sabe que está cayendo en un phishing, no sabe que lo están estafando y si pregunta, siempre va a haber alguien que lo puede alertar, sobre todo la gente más joven”.

Según los datos que maneja la empresa de ciberseguridad, en Chile, la gente más propensa a caer en phishing son de los 45 años hacia arriba, pero también hay una gran cantidad de casos de las personas en el rango de los 20 a los 35 años, en especial quienes están iniciando su etapa laboral.

“Las respuestas de ellos casi siempre son que ‘no lo ví’ o ‘no lo revisé’. Y es por la gran carga de trabajo que tienen. Y es que las páginas falsas pueden ser súper convincentes, es muy difícil darse cuenta”, comenta Möller.

“Para nosotros es muy importante que la víctima de este tipo de delito denuncie en el plazo más corto posible”, dice el inspector Víctor Celis, de la Brigada Investigadora del Cibercrimen Metropolitana en conversación con LT.

Y es que en la denuncia puede haber pistas clave de quiénes están cometiendo el delito. “Hay información que se puede perder en el tiempo, como los enlaces, el canal por el que se hizo, etc. Por lo que se recomienda ir a denunciar el delito cuanto antes”, afirma Celis.

Desde el año pasado, la Ley 21.459 sobre delitos informáticos llegó a reforzar la labor del equipo de Policía de Investigación (PDI) que persigue estos crímenes a nivel nacional y transnacional, pues tipifica con exactitud los delitos que implican hacer phishing, por lo que el proceso de investigación promete ser bastante completo.

“Es un delito que es muy común, aunque no lo cree mucha gente. Y no tanto de tercera edad, sino de todo rango etario y estratos sociales. Le puede pasar a cualquiera”, agrega el inspector.

El llamado de la Brigada Investigadora del Cibercrimen Metropolitana es a denunciar estos crímenes en cualquier unidad policial del país, “en el cuartel más cercano, donde tengan más confianza. Ellos podrán ayudar mejor”. Además, aclara que pueden tomar contacto vía telefónica con las distintas brigadas de cibercrimen, quienes guiarán a todas las víctimas sobre cómo hacer la denuncia.