El pais
SUSCRÍBETE
En Cali, las cifras de delitos informáticos vienen creciendo año tras año, en especial estafas y la ‘sextorsión’. Entre 2017 y 2018 estos delitos subieron un 60%. | Foto: istock / El País

CALI

Los 'hackers' atacan a los caleños, claves para no caer en sus manos

Todos los días en Cali se registran 6 denuncias por delitos informáticos, 45 a la semana en promedio, más de 2340 al año. Delincuentes están exigiendo bitcoins a cambio de no revelar información personal.

24 de febrero de 2019 Por: Redacción de El País

En su oficina en el CTI de la Fiscalía en el barrio Santa Mónica de Cali, el investigador de la Unidad de Delitos Informáticos asegura que la gente no le da un valor tangible a su información “hasta que la pierde”.

Eso hace - continúa el investigador - que la mayoría de las personas decidan a la hora de adquirir un computador comprar software ilegal - el sistema operativo Windows, el paquete de Office, los programas de diseño y edición, los videojuegos y el antivirus - que comprar todo ello con las respectivas licencias.

Así, por ejemplo, mientras el paquete básico de Office oficial cuesta $180.000, hay tiendas donde lo regalan por la compra del equipo o lo venden pirateado en, por mucho, $20.000. El ahorro, aparentemente, es considerable, pero a muchos aquello les ha resultado tan caro que se han debido sentar en esta misma silla, frente al mismo investigador de la Unidad de Delitos Informáticos del CTI.

Lea también: No caiga en las nuevas modalidades de las 'pirámides', así se llaman ahora

– Lo que la gente no tiene en cuenta es que el software legal tiene vulnerabilidades que sin embargo se van descubriendo y se corrigen a través de las actualizaciones. Hay hackers que trabajan atacando estos sistemas para descubrir sus fallas e informarles a las empresas.

Actualizar el equipo es una manera de blindarlo contra los delincuentes. En cambio, esto no sucede con los programas piratas. Pueden tener lo que llamamos ‘puertas traseras’: son debilidades que un hacker podría aprovechar para robar la información.

La Alianza de Software, un grupo creado por Microsoft que representa a los fabricantes de software más grandes del mundo, aseguró tras una investigación que en Colombia la mitad de las empresas trabajan con programas piratas. Aunque no es necesario realizar un estudio para saberlo: todos hemos comprado estos programas en algún momento.
Tal vez eso explique en parte las estadísticas. Cada día, solo en Cali, en el CTI de la Fiscalía se registran en promedio 6 denuncias por delitos informáticos; 45 a la semana; 2340 al año.

– Dejar la pereza es otra manera de protegerse de los delincuentes virtuales – dice el investigador.

Cada persona, en promedio, maneja 18 cuentas o equipos que requieren contraseñas. Desde la clave de acceso al computador de la oficina, el personal, hasta las claves para ingresar a Netflix, Facebook, Instagram, Hotmail, las cuentas bancarias, el celular, la tablet, las consolas de videojuegos… 18.

Por pereza disfrazada con excusas - “es para que no se me olvide” - por lo regular se utiliza la misma contraseña para todos los dispositivos. O a lo sumo se usan dos o tres claves, casi siempre muy parecidas entre sí.
Y sin embargo, muchos las olvidan, quizá por relajación. Los equipos ‘inteligentes’ hacen la tarea por nosotros: nos dan la opción de “recordar” las claves automáticamente, por lo que solo necesitamos un clic para ingresar.

El problema es cuando se pierde el equipo, o lo hurtan. Las víctimas no recuerdan sus claves y pierden el control de su correo electrónico, las redes sociales y a muchos les ha sucedido, de las cuentas bancarias.

– La recomendación es dejar la pereza: memorice todas sus claves, jamás las escriba en ninguna parte para guardarlas. Haga el ejercicio de introducirlas siempre que va a ingresar a una cuenta, no apele a la opción de ‘recordar’ del equipo. Y lo que se ha dicho siempre: no utilice claves obvias, datos que entregamos en cualquier formulario: la cédula, el nombre de la pareja, la fecha de cumpleaños. Lo que se sugiere es que la estructura de la contraseña tenga mínimo siete caracteres. Y relacionar las claves con cosas cotidianas pero no comunes. Como por ejemplo el nombre de la empresa que usted ve en diagonal desde su ventana. Cosas cercanas, pero no obvias. Y hay que utilizar mayúsculas, puntos, asteriscos. Que si, por ejemplo, usted le dice a alguien: mi contraseña es ‘gaseosauno’, esa clave tenga tantas combinaciones que ni sabiéndola la persona pueda ingresar – dice el investigador.

Restringir los permisos que les otorgamos a las aplicaciones es otra forma de mantenernos seguros. ¿Para qué WhatsApp requiere tener acceso a los métodos de pago?, por decir algo.

Ignorar las amenazas de los delincuentes es otra manera de defenderse.

Lea además: No caiga en las nuevas modalidades de las 'pirámides', así se llaman ahora

En la Unidad de Delitos Informáticos de la Sijín, ubicada en la Autopista Simón Bolívar, el jefe del despacho asegura que en este 2019 los hackers que se dedican a delinquir en la web están utilizando una técnica llamada ‘Phishing’: suplantación de identidad. El término suena parecido a la manera en que lo logran: ‘fishing’. Una pesca.

Los piratas cibernéticos están enviando un correo electrónico en el que aseguran que han hackeado las cuentas de redes sociales y correos, y que además han tenido acceso a la cámara del celular de la persona, así como la del computador, y por lo tanto lo han grabado en situaciones comprometedoras como una relación sexual. A algunos les han escrito que tienen el video de la última vez que se masturbaron.

Para no publicar todo ello, dicen enseguida los hackers en el correo, la víctima tiene un plazo de 48 horas para comprar bitcoins y depositarlos en una billetera virtual.

– Es una moneda que no se puede rastrear fácilmente y por eso la utilizan. En Colombia las autoridades no tenemos acceso a los registros de estas transacciones para determinar a quién le pertenece la billetera donde son depositados los bitcoins, lo que nos deja en un camino sin salida – advierte el investigador.

Sin embargo no hay que temer en caso de recibir un correo así. Los agentes de la Unidad de Delitos Informáticos tanto de la Sijín como del CTI han determinado que se trata de mensajes masivos que se envían “a ver quién cae porque tiene algún ‘pecado’ que ocultar y paga”.

– Para hacer más creíble la amenaza, los delincuentes suplantan el correo de su víctima, que previamente han averiguado comprando bases de datos. Es decir: mandan el mensaje supuestamente desde la misma dirección y usuario del correo de la víctima. La gente piensa que efectivamente le han hackeado sus cuentas, pero no es así. En los casos que hemos investigado, determinamos que el código fuente de esos correos proviene de servidores del Japón; un servidor libre. Los hackers simplemente pueden ponerle cualquier nombre y dirección y sale el correo como si fuera de la misma cuenta de la víctima. Por eso sospechamos que estos estafadores son del exterior. En la mayoría de los casos los mensajes que envían son en inglés – dice el investigador del CTI.

La recomendación, entonces, es ignorar estos mensajes (aunque se deben guardar en caso de que se requiera una denuncia), no caer en el anzuelo. Tampoco seguir links que envían a través del correo electrónico. Esa es otra de las ‘carnadas’ de los hacker para pescar a los incautos.

Lea además: Así funcionan en Cali los 4 cajeros donde se compra y se vende monedas virtuales

En la Unidad de Delitos Informáticos de la Sijín están investigando estafas recientes que comenzaron con un correo falso de la Secretaría de Tránsito.

En ese mail le dicen a la víctima que tiene una foto multa. Por lo regular todo el mundo se alarma, entonces da clic en el link que aparece en el correo. En realidad lo que sucede es que se descarga una especie de virus en el computador; un artilugio que hace que lo que se digite, sea enviado al correo de la supuesta Secretaría de Tránsito: al correo del hacker: contraseñas, números de cuentas bancarias, tarjetas de crédito. El remitente de este falso mail, para estar alerta, es secretaria@simitdepartamental.org.

La misma Secretaría de Tránsito expidió un comunicado en el que explica que para estar seguros de haber recibido una sanción, hay que consultarlo directamente en la página web serviciosdetransito.com.
Los investigadores de la Sijín, por lo pronto, continúan con su trabajo. Saben que el falso correo de la Secretaría de Tránsito fue enviado desde un call center. Los pescadores de contraseñas a veces muerden anzuelos.

Las empresas también están cayendo en las estafas de los timadores virtuales. En la Sijín ya hay denuncias de compañías que hicieron despachos a clientes que en realidad eran hackers.

– Los delincuentes, primero, acceden a la base de datos de los clientes de la empresa. Entonces, por ejemplo, una empresa de venta de calzado tiene un cliente que cada dos meses le hace un pedido de 50 pares. Los hackers están suplantando esos correos de esos clientes para hacerse pasar por ellos y hacer pedidos iguales o incluso superiores. Cuando la empresa cobra después de que el pago no le ingresó a los 30 0 60 días convenidos, es cuando se da cuenta que fue estafada. El verdadero cliente no ha hecho ningún pedido. Por eso siempre se debe verificar la información que se recibe por correo. Basta una llamada – dice el Jefe de la Unida de Delitos Informáticos de la Sijín y, antes de despedirse, recuerda que navegar en la web es como salir de casa. Siempre hay que cerrar la puerta.

Tips para una contraseña segura

Las contraseñas deben tener mínimo siete caracteres.

Se debe combinar mayúsculas, minúsculas, números y símbolos: asteriscos, guiones, etc.

Se recomienda asociar las contraseñas a cosas cercanas de nuestra vida pero no obvias, lo que facilita memorizarlas. Una canción por ejemplo, un poema, etc.

Una regla imprescindible: la clave no puede incluir jamás datos personales (nombre, dirección de casa, número de teléfono, fechas de cumpleaños, cédula…).

Es recomendable cambiar las contraseñas por lo menos una vez al año.

Glosario ‘hacker’

Vishing 

Se trata de una nueva estafa que consiste en suplantar la identidad del afectado a través de VoIP (Voice over IP), recreando una voz automatizada como la de las entidades bancarias. El término proviene de la unión de dos palabras: voice y phishing (suplantación de identidad). 

Por lo general las víctimas de este tipo de estafas reciben un mensaje de texto en el que les informan que han hecho una compra con su tarjeta de crédito. Muchos no llaman al teléfono directo del banco sino que se comunican al teléfono que aparece en el mensaje de texto. Allí una ‘operadora’ - el delincuente - pide el número de la tarjeta y el código de seguridad para supuestamente cancelar la compra, aunque en realidad lo que logra es robar los datos de la tarjeta.

Skimming

Consiste en el robo de información de tarjetas de crédito en el momento de la transacción, para reproducir o clonar la tarjeta.

Ransomware 

Es un programa que logra restringir el acceso a ciertos archivos del computador. Para eliminar el bloqueo, el hacker exige un pago. Algunos ransomware dejan inservible el computador hasta que la víctima no pague el rescate. La recomendación en todo caso es nunca pagar. No hay garantía de que el delincuente devuelva la información. Además, pagar es promover el delito.

Pharming 

Es un método de suplantación de identidad. Los delincuentes redirigen el dominio de una entidad de confianza - generalmente bancos - a otra página aparentemente idéntica creada por el hacker para robar los datos personales del usuario: cédula de ciudadanía y claves virtuales. Lo que nos piden los bancos para entrar a nuestras cuentas.

Malware

Se define como un software malicioso que se introduce en los sistemas operativos o discos duros de computadores y teléfonos a través de archivos adjuntos o links. El objetivo es hurtar la información que digita el usuario. Es, de alguna manera, un virus silencioso. Algunos malware no son para estafarnos sino para ofrecernos publicidad de acuerdo a nuestros hábitos de navegación.

‘Sextorsión’ 

Es un delito informático relacionado con la explotación sexual. La víctima es chantajeada con una foto o un vídeo de sí mismo desnuda o realizando actos sexuales. De no pagar, es la amenaza, lo publican. Los investigadores de la Unidad de Delitos Informáticos del CTI en Cali aseguran que la mayoría de las personas afectadas por esta modalidad en la ciudad son menores de edad.

Top de lo que debe hacer para no ser asaltado en la web: Sijín

Verificar el remitente de un correo en el que se le pide que haga cualquier transacción económica, sobre todo en el caso de empresas y funcionarios de tesorería.

No descargar archivos adjuntos enviados desde correos desconocidos.

No acceder a links enviados a través de correos electrónicos.

Comprar, siempre, software legal.

No postergar las actualizaciones del equipo.

Mantener actualizada la base de datos del antivirus.

Visitar webs de instituciones financieras o de comercio electrónico tecleando directamente la dirección en el navegador. No siga links.

Restrinja los permisos de las aplicaciones. No es necesario que todas las aplicaciones tengan acceso a la cámara, a la ubicación o a los métodos de pago.

Active sistemas de seguridad tanto en correos como en redes sociales como la verificación en dos pasos: además de la clave, se debe ingresar un código que es enviado a un número celular registrado. Así, si un hacker roba su contraseña, no podrá entrar a sus cuentas.

Activar los bloqueos a conexiones entrantes de otros ordenadores desde Internet.

Activar la privacidad al máximo en redes sociales. Los delincuentes hacen ingeniería social: a través de lo que publicamos obtienen nuestra información: dónde trabajamos, dónde vivimos, rutinas, etc.

Tenga cuidado al publicar fotos. De manera inocente podemos revelar información clave como, por ejemplo, la dirección de la casa.

No conectarse a equipos desconocidos, para evitar virus capaces de controlar de manera externa un computador. Tampoco es recomendable conectarse a redes de WiFi públicas.

AHORA EN Contenido Exclusivo