Por Analía Filosi
Todos coinciden en que fue un minuto de distracción, que no se tomaron un tiempo antes de actuar. Pero solo eso alcanza para caer en las redes de un hackery en menos de lo que uno se imagine perderlo todo. Y ese todo puede tratarse no necesariamente de dinero, sino de una cuenta de una red social que para muchos es una herramienta de trabajo con miles de seguidores que será difícil recuperar.
“A mí me hicieron recontra el cuento del tío y me agarraron distraído porque estaba a punto de empezar una transmisión de básquetbol”, cuenta Diego Jokas a Domingo sobre lo que le ocurrió el pasado 5 de abril. El periodista aclara que, como siempre le están llegando mails, se fija bien quién es el remitente; pero ese día lo tomaron por sorpresa.
“Era un mensaje directo de Instagram diciendo que había infligido los derechos de autor. Esa mañana justo había estado en Desayunos Informales el cantante argentino Axel y yo lo había grabado tocando el piano y cantando y lo subí a las redes. Entonces pensé: ‘Pah, lo habrán denunciado’. Si no me hubiera pasado eso, no hubiera caído”, asegura.
¿Cómo cayó? Le dijeron que le iban a enviar un formulario y que tenía 48 horas para hacer los descargos. Como no lograba abrir el formulario, se ofrecieron a ayudarlo y para ello le solicitaron su correo electrónico y su número de teléfono. Le dijeron que por mensaje de texto le llegaría un código, que él se los reenviara.
“Cuando lo envié, ahí dije ‘la puta madre lo que acabo de hacer’, porque me di cuenta. Al toque se apoderaron de mi cuenta de Twitter @diegojokas. Les entregué una información que nunca les debí haber entregado”, se lamenta.
Los hackers le cambiaron el ícono enseguida y le pusieron la palabra “Sarsilmaz”, nombre del mayor fabricante de armas pequeñas de Turquía.
“No me chantajearon ni se tuiteó más nada desde esa cuenta”, apunta quien realizó la denuncia en Twitter en el momento. “Pero por ahora cero bola, más allá del mail automático de que hiciste la denuncia y que tu caso será tratado”, agrega.
Para el periodista deportivo solo representó perder una herramienta de trabajo que tenía miles de seguidores y que al día de hoy aún no ha logrado recuperar. No pierde las esperanzas porque su colega
César Bianchi
, al que le sucedió lo mismo, logró volver a tener su cuenta 11 días después.
Fue César quien le recomendó a Diego realizar la denuncia en la Unidad de Cibercrimen de la Dirección de Investigaciones de la Policía Nacional. “Es una denuncia más que nada para quedar exento de cualquier cosa que se pueda hacer a través de esa cuenta, o sea, me exime de cualquier tipo de responsabilidad”, explica.
A César Bianchi también lo hackearon el 5 de abril. Siempre está atento, pero en esta oportunidad estaba en plenas vacaciones en Punta del Diablo. “Por ver Barcelona – Real Madrid, en un plan relax”, recuerda.
También le llegó un mensaje supuestamente de una cuenta oficial de Instagram en el que le informaban en inglés que había violado un copyright —derechos de autor— de algo, sin especificarle de qué.
“Me asusté todo. Si me tomaba cinco minutos para pensarlo había formas de darse cuenta de que era un engaño. Por ejemplo, cuando les dije que no había violado nada, me contestaron ‘yes, my dear user’, que si lo pensás bien es como un lenguaje de botijeo”, comenta.
Pero actuaron rápido. Le dijeron que le iban a eliminar las cuentas de Instagram y Twitter a menos que les pasara el código que le iba a llegar por mensaje de texto a su teléfono. “Les pasé el código y en cuanto lo hice, marché. Traté de ingresar a Twitter y no podía. Por suerte cambié rápido la contraseña de Instagram, supongo que por eso no me la hackearon también”, apunta. Agrega que en Instagram y WhatsApp alertó a sus seguidores de que lo habían hackeado.
La cuenta de Twitter de César pasó a tener la misma palabra turca de la de Diego. Durante los días que duró el hackeo, mantuvo sus seguidores, pero comenzó a seguir a más personas.
“Todas cuentas en inglés raras, bizarras, que cuando recuperé la cuenta vi que me habían mandado mensajes directos que bloqueé. También me cambiaron dos veces la foto de perfil y la biografía; la segunda vez era un mensaje en español del tipo frase aspiracionista o motivacional de modelo con poca ropa”, describe con su particular humor.
César aprovechó sus contactos como periodista y se comunicó con el director de Convivencia Ciudadana del Ministerio del Interior, Santiago González, que lo vinculó con la Unidad de Cibercrimen. “Me dijeron cómo proceder, que era fundamental hacer la denuncia policial para seguir adelante y que a la larga se iban a comunicar con Twitter porque en definitiva son los que tienen la palabra final. Desde que Twitter se comunicó conmigo, fue todo rapidísimo”, relata quien el domingo 16 de abril, por la mañana, recibió un mensaje de Twitter indicándole los pasos a dar para recuperar su cuenta, que fundamentalmente tienen que ver con asociarla a otro correo electrónico (ver recuadro).
Cuando el mensaje puede ser cierto
No siempre uno es víctima de una estafa, a veces puede que realmente haya incurrido en un delito. Tal el caso de Miguel Nogueira, al que le bloquearon su cuenta de Twitter y que el periodista cree que fue con razón.
“Yo ponía videos musicales muy largos de artistas de los que nadie se acuerda y un día me llegó un mensaje que decía que me habían bloqueado la cuenta porque había violado derechos de autor”, cuenta a Domingo.
Hizo sus descargos, pero le contestaba una máquina. Le dijeron que le habían avisado por mail, pero nunca recibió nada ni consultó el spam.
“Igual creo que me hicieron un favor porque Twitter es una cloaca que mete miedo”, confiesa.
Siempre turcos
Otras dos víctimas del hackeo turco fueron Ana Inés Martínez y Sara Perrone. El fatídico “minuto de distracción” de la periodista deportiva se dio hace dos años, cuando estaba retornando de cubrir la Champion en Nicaragua para la Federación Internacional de Básquetbol (FIBA).
“Yo no tenía la cuenta de Instagram verificada y me llegó un mensaje privado en inglés, supuestamente de Instagram, preguntándome si quería verificarla. Vi el logo, leí rápido y comí del tupper porque no era Instagram. Me pasó de boba, caí porque estaba en otra”, admite.
Como aceptó, le pidieron correo electrónico y contraseña, que envió a pesar de que su hijo (hoy de 19 años) le dijo que no era algo confiable. De inmediato le empezaron a llegar WhatsApps de un número extranjero exigiéndole dinero en idioma inglés.
“Le grité a mi hijo, que enseguida me cambió la contraseña del mail y del Twitter”, recuerda.
Pero con Instagram ya era tarde y durante dos o tres días no dejó de recibir mensajes amenazando con borrarle todo y cambiar su perfil. Como le escribían de madrugada, por la diferencia horaria y lo que le decían, Ana Inés dedujo que el ataque provenía de Turquía.
“Como a los tres días puse un tuit diciendo que estaba hackeada y un técnico me ayudó, pero el trámite era muy engorroso”, explica.
La solución vino desde el lado de FIBA que, como trabaja directamente con Instagram, le pidieron sus datos y “literalmente en un minuto me recuperaron la cuenta”, señala. Lo único que perdió fueron los primeros cuatro posteos y las historias destacadas, algo que lamenta porque tenía registrados varios trabajos importantes, como dos finales de la Copa Libertadores de América. Además consiguió que la cuenta le quedara verificada.
Hoy le siguen llegando mensajes de tanto en tanto, pero ya está preparada. “A alguno en broma le contesté: ‘jajaja, ¿vos creés que voy a caer dos veces?”, acota entre risas.
Ana Inés prefirió no hacer la denuncia a la Policía, algo que tampoco hizo Sara Perrone, si bien no es lo que se aconseja por parte de la Unidad de Cibercrimen.
Sara recibió una
notificación de Instagram
informándole que le habían cambiado el mail de referencia de su cuenta. Ella respondió y se inició así un intercambio de mails en el que ella cree que se mezclaron mensajes reales de la red social con mensajes de los estafadores. En definitiva, terminó por brindarles la información que necesitaban, perdió el acceso a la cuenta y enseguida comenzó a recibir mensajes de WhatsApp diciéndole que para recuperarla debía pagar US$ 300 en bitcoins.
Como su mail cambió a idioma turco y por la hora en la que estuvo negociando con los hackers, dedujo que podían estar en Turquía o Jordania. Se comunicaban en español, pero viendo la forma en que se expresaban o armaban las frases, ella piensa que era gracias a que recurrían a un traductor de Internet.
Su hijo la ayudó, pagaron el dinero exigido, pero nunca recuperó una cuenta que tenía unos 40 mil seguidores y era su herramienta de trabajo ahora que se dedica a organizar viajes fuera de Uruguay. Hizo el reclamo en Instagram, pero no le sirvió de nada porque la información que necesita para tener de nuevo la cuenta le llega tanto a ella como a su estafador. Eso no se ha podido solucionar.
Tanto a Sara Perrone como a César Bianchi le han llegado también por WhatsApp mensajes que supuestamente les envían personas que ellos conocen vendiéndoles dólares. A ella le pasó con Gaspar Valverde y a él con el diputado Alfonso Lereté, y hace unas semanas Victoria Rodríguez fue la hackeada para hacer ese tipo de estafa ya que le robaron sus contactos para enviarles mensajes pidiéndoles dinero en su nombre. La comunicadora hizo la denuncia y por eso, consultada por Domingo, prefirió no referirse al tema mientras esté en curso la investigación.
La verificación en dos pasos es clave
Los expertos en seguridad informática brindan varios consejos para evitar ser hackeados.
“Lo que vale la pena destacar es que hoy prácticamente todos los servicios que están expuestos a Internet, incluyendo las redes sociales, ofrecen un mecanismo adicional de autentificación que es lo que se denomina segundo factor o verificación en dos pasos”, explicó a Domingo el ingeniero en sistemas y experto en el tema Hugo Köncke.
Desde hace ya mucho tiempo, “usuario y contraseña” se transformó en un mecanismo sumamente débil. “La contraseña te la roban de múltiples formas, ya no son una garantía”, apuntó Köncke, aunque igual aconseja que sean fuertes y que no se use la misma para todo.
En cuando al segundo factor de autentificación, si bien ya hay quienes han encontrado cómo vulnerarlo, “para usos normales, como las redes, es un mecanismo de seguridad adicional más que suficiente y le hace el trabajo sumamente difícil al que intente violarlo”, aseguró el experto.
Todas las redes ofrecen esta posibilidad en forma gratuita (ver los Ajustes) y, según Köncke, es de esperar que todos los bancos de plaza terminen por activarla también.
“Es un segundo factor que debe ser distinto del primero. El primero es la contraseña, que es algo que sé, y el segundo es una secuencia numérica, que es algo que tengo porque me lo da un dispositivo que puede ser físico o virtual”, detalló.
Esto último es el dato que voy a tener que dar si en algún momento hay duda de la identidad de quien está usando la red social o el servicio de Internet.
Lo que se debe hacer
“El hacker tiene tiempo y más si se trata de dinero o de sexo. La innovación de la persona que tiene tiempo siempre está”, señala a Domingo el Comisario Winston Rodríguez, subdirector de la Unidad de Cibercrimen.
Eso permite, entre otras cosas, que el hacker haga lo que se llama “ingeniería social”. “Las personas normalmente tenemos parte de nuestra vida publicada en distintas redes y hay herramientas que ayudan a compilar toda esa información. Se arma un relato, una historia de cada persona, y aprovecha eso para ver las vulnerabilidades y que sea la propia persona que permita el ingreso”, explica por su parte el Comisario Paulo Rocha, director de esta unidad.
Destacan que gran parte de los ciberataques se dan por errores humanos. “Los ataques que buscan romper las contraseñas son los menos; la mayoría es la propia víctima que abre la puerta”, insiste Rocha.
Por eso recomiendan especialmente leer bien todo lo que llega, ya que a veces la clave está en los pequeños detalles (una letra o caracter diferente en la URL, o sea en la dirección del banco, por ejemplo), así como contar con métodos de seguridad en las cuentas, como contraseñas fuertes, un correo paralelo para cada red social y activar el procedimiento de verificación en dos pasos (ver recuadro).
Y si aún así la persona cae en la trampa, el consejo es acudir lo más rápido posible a una unidad especializada o, de no ser posible, a cualquier dependencia policial. Si se trata de una estafa con cuentas bancarias, aconsejan primero comunicarse con el banco y luego ir a la Policía.
“La idea es que podamos trabajar rápido y hacer un procedimiento interno que nos permite conservar información técnica que necesariamente tenemos que tener para ver cómo fue la línea que se siguió para hacer el hackeo”, detalla Rodríguez.
El ciberataque puede tener como objetivo un bien de una persona o puede buscar apoderarse de sus contactos para, haciéndose pasar por ella, atacar a otras personas. “Es bastante común”, dice Rocha.
Si bien puede ocurrir que los estafadores residan en otro país —caso de Turquía en los consultados para este informe—, Rocha aclara que puede pasar que “el atacante sea tu vecino que se conecta con un servidor que está en el extranjero”.
A todo esto se suma que ninguna de las redes sociales tiene servicios en Uruguay. La mayoría está radicada en los Estados Unidos y la información de nuestras cuentas se encuentra en otro país. “Hay canales oficiales de comunicación, pero obviamente ellos se manejan con la legislación del país donde están”, destaca Rocha, resaltando lo importante en este tema que es la cooperación internacional.
Aclaran que la
Unidad de Cibercrimen
procura ayudar y asesorar a los damnificados en todo lo que está a su alcance, pero que la última palabra a la hora de recuperar una cuenta la tiene el servicio que la brindó. “Es un tema de contrato con una empresa extranjera en el que hay un montón de letra chica”, remarca Rocha.
Ambos comisarios señalan que si bien se insiste con campañas para alertar a la población de estos peligros, “las personas siguen cayendo”.
Por lo pronto, Sara, Diego, Ana Inés y César hicieron mea culpa y reconocieron que el error partió de ellos; hoy aseguran que aprendieron la lección.
En Uruguay falta legislación y educar a la población
"Está todo relacionado con el celular”, dice el Comisario Winston Rodríguez, subdirector de la Unidad de Cibercrimen de la Dirección de Investigaciones de la Policía Nacional.
El teléfono móvil es una computadora personal de bolsillo que, cuanto más avanza en tecnología, más delitos genera a su alrededor.
Si bien hay delitos que siempre están, que son la estafa de dinero y el sexo —donde entra la pornografía infantil—, después están los llamados delitos zafrales.
Por ejemplo, cuando se acerca el clásico del fútbol uruguayo entre Nacional y Peñarol o transcurre una campaña política, se multiplican las amenazas o los delitos de difamación a través de las redes sociales.
“También pasa que de repente este año predominan las estafas o las extorsiones, pero después se calman y aparecen otros delitos. Antiguamente se daba el sexo con extorsión, o sea, filmaban a la persona masturbándose y a cambio de eso pedían plata para no difundirlo”, menciona Rodríguez.
Las modas pasan también por la red social elegida: un año atacan más en Facebook y otro año más en Instagram.
“Año tras año hay nuevas modalidades o modalidades viejas que se van adaptando”, agrega el comisario.
En tanto el director de la Unidad, el Comisario Paulo Rocha, destaca que “lo importante es que ahora el Ministerio del Interior potenció la Unidad de Cibercrimen. Se está trabajando en mejoras, en potenciar al personal y formarlo, en mejorar el equipamiento. Hay mucha cooperación de organismos internacionales que ofrecen capacitaciones. Pero es algo de nunca acabar”.
En tal sentido, Rodríguez apunta que lo bueno que pasa en los cursos impartidos en el extranjero es que muchas veces las tendencias en delitos que se abordan en ellos todavía no han llegado al Uruguay por tratarse de un país chico.
“Eso nos permite que, cuando lleguen, estemos medianamente preparados y sepamos cómo evacuar esa duda, ese miedo, esa consulta. Y todo es gracias a la cooperación internacional”, insiste.
Lo que ambos lamentan es la falta de legislación nacional en el tema. “Hay delitos como el grooming (acoso sexual a menores) en los que estamos bastante actualizados, pero en el resto hay mucho vacío legal”, señala Rocha sobre la falta de tipificación de la mayoria de los ciberdelitos.
Es importante aclarar que no es lo mismo un delito informático que el cibercrimen. En el primer caso se trata de los delitos tradicionales a los que se les sumó la tecnología para llevarlos a cabo (por ejemplo, una estafa). En el segundo caso es cuando una persona con altos niveles de conocimientos en ingeniería informática (hacker) busca específicamente los sistemas de información para dañarlos o exponer que son vulnerables.
Proyectos de ley
Actualmente hay dos proyectos de ley referidos al cibercrimen, uno más reciente del Frente Amplio y otro que ya tiene un tiempo de presentado cuyo autor es el diputado de Cabildo Abierto, Sebastián Cal.
Este último entró en 2021 en la Comisión de Ciencia, Innovación y Tecnología para su estudio y, si bien cuenta con la firma de todos los partidos políticos con representación parlamentaria, aún no consigue su aprobación.
“Lamentablemente está trancado porque no les interesa que salga o porque se intercambian figuritas en el Parlamento. Es vergonzoso, pero es así”, manifiesta Cal a Domingo.
El proyecto se apoya en dos pilares: la tipificación de ciberdelitos y una campaña nacional de educación.
Cal considera que esto último es lo más importante de la ley que propone, pensamiento en el que coincide con los comisarios Rocha y Rodríguez, que creen que mucho de lo que pasa en este tema es por falta de educación de la población en redes sociales o en los métodos que se usan para estafar.
Cal sostiene además que el proyecto debería ser prioritario no solo para todos los partidos políticos, sino también para el Poder Ejecutivo porque “hoy el Estado uruguayo está en riesgo, los organismos estatales están en riesgo”.
Menciona como ejemplos de vulnerabilidad los ataques a la refinería de La Teja y al Ministerio de Transporte y Obras Públicas.
“Lo que ha tenido Uruguay hasta ahora en materia de ciberseguridad es suerte, nada más”, remarca.
El parlamentario señala que es fundamental insistir en la educación de la población porque “tenemos que apuntar a tener un blindaje colectivo a través del blindaje individual de las personas”.
Agrega que la gente comete errores involuntariamente y el Uruguay no cuenta con los recursos que tienen países como Estados Unidos o Israel para hacerles frente.
El diputado afirma que hay tres aspectos que se tienen que cumplir para más o menos empezar a hacer las cosas bien.
“El primero es la tipificación de los delitos, que Uruguay no tiene y el proyecto lo contempla en el primer capítulo. Estamos innovando al tipificar delitos que no están en el Código Penal y que han sido incluso muy elogiados por varios participantes del Consejo de Europa en Ciberseguridad, como la tipificación del terrorismo digital o de la usurpación de identidad”, dice Cal.
Lo segundo es la parte procesal, que consiste en nutrir de recursos a jueces, fiscales y a la Policía para perseguir el ciberdelito.
Y el tercero —y más importante según el parlamentario— es la cooperación internacional.
Es importante destacar que Uruguay no está adherido al Convenio de Budapest, el más importante a nivel de cooperación entre los países.
“Otro problema que tiene nuestro país es que seguimos pensando que los responsables son hackers sentados en el garaje de una casa y en realidad son organizaciones criminales que mueven más recursos que el narcotráfico”, destaca quien cuenta con un registro de más de mil casos de hackeo, todos diferentes entre sí.
“Algunos han terminado de la peor manera, con personas que se han quitado la vida”, apunta.
El próximo miércoles el proyecto volverá a ser abordado en el Parlamento.