Sandra Borghi fue víctima de un robo virtual de identidad: ¿qué técnica emplearon?

«Hola Sandra». «Mejor hablemos por acá». Estos fueron algunos de los mensajes que la periodista televisiva Sandra Borghi recibió este mes en su teléfono de parte de colegas a las que nunca les había escrito. Sin entender qué pasaba, les preguntaba qué necesitaban. Y cuando le contaron que había sido ella quien las había contactado para un proyecto. nuevo se dio cuenta de que había sido víctima de una estafa virtual.

Un desconocido creó un perfil paralelo en su Facebook, subió sus fotos con el fin de entablar diálogo con sus contactos y robarles información. Le escribió solo a colegas mujeres porque la «falsa Borghi» les proponía formar parte de un programa, de televisión hecho por periodistas.

«Cuando empezaron a llamarme y me decían ‘seguimos mejor por acá’ me llamó la atención y me imaginé que poco no andaba correctamente. Que había sido víctima de una ciberestafa. A mis colegas les llamó la atención que las contactara por Facebook, entonces decidieron escribirme por WhatsApp. Si ellas no me alertaban, no me hubiera entregado cuenta. Ellas ya están avisadas, pero lo preocupante es cuántas otras están chateando con este estafador y no se dieron cuenta. Por eso decidí hacerlo divulgado, más allá de hacer la denuncia formal», detalló la periodista en diálogo con la web de TN.

Borghi hizo la denuncia en la Unidad de Delitos Informáticos de la Policía porteña y la investigación está en curso. Los efectivos recomendaron que cualquier persona que sea víctima de este tipo de delito, no borre el perfil, no lo bloquee y no envíe mensajes hasta tanto no haya hecho la denuncia correspondiente.  También sugirieron que los damnificados hagan historias de Facebook para alertar a sus seguidores de los que les está pasando para que no caigan en una maniobra de estafa.

Claudia tiene 30 años., es periodista y fue una de las víctimas. «A Sandra la admiro, entonces nunca sospeché que no era ella quien me había contactado. Me preguntaba cosas de mujeres, en qué medio me gustaría trabajar, cómo me sentía con mi cuerpo, opinaba sobre mi ropa, era una charla de mujeres apoyándonos entre nosotras. A diferencia de las demás chicas, a mi no me ofreció trabajo. Nada que sospechar. Hasta que le dije que siguiéramos por WhatsApp y me contestó con evasivas, entonces empecé a desconfiar, pero me engañó 24 horas», contó.

El hipócrita perfil de Borghi tiene fotos con sus hijos, su famliia y su trabajo. En uno de los chats con Claudia le dijo que tenía una hija adolescente y otra de cuatro años.. «Ahora que descubrí todo tengo miedo por Sandra y por mí. Y empecé a atar cabos, ni correctamente Sandra subía una foto a su Instagram él o ella la replicaba», detalló. Lo cierto que delante la solemnidad del caso, la Policía porteña ordenó una custodia para Sandra Borghi.

Modalidades de «phishing»

Más de una cuarta parte (28%) de los argentinos encontró casos de suplantación de identidad («phishing«, en galimatías informática en inglés), y uno de cada cinco fue víctima de un ataque de esta modalidad, mientras que tres de cada diez dijeron que no están seguros delante esta habilidad.

Así lo informó un estudio de la empresa informática Avast. De los encuestados que cayeron en un ataque de phishing, tres cuartas partes fueron víctimas en un contexto personal y un tercio en un contexto profesional.

La modalidad de la indagación fue en orientación del 7 al 27 de julio sólo entre usuarios de Avast con el sucesivo desglose de edades: Menores de 18 años.: 15%; 18-24 años.: 11%; 25-34 años.: 10%; 35-44 años.: 13%; 45-54 años.: 15%; 55-64 años.: 16%; 65-74 años.: 13%; 75-84 años.: 6%; 85+ años.: 1%.

La indagación preguntó si se encontraron o fueron víctimas de los siguientes tipos de suplantación de identidad:

• Phishing de correo electrónico: mensajes que están diseñados para que parezca que provienen de una estructura legítima, lo que dificulta su examen e incluyen un enlace o archivo adjunto receloso.
• Sitios web de phishing: parecen sitios web reales, pero están diseñados para robar información o entregar malware a los visitantes del sitio.
• Phishing telefónico: se lumbre a una víctima potencial y se la convence que lleve a extremo acciones en su computadora, entregue información personal o confidencial, otorgue a la persona que lumbre paso a un sistema o cuenta que de otra modo estaría restringida o envíe pasta.
• Smishing: mensajes SMS o por WhatsApp que, por ejemplo, afirman que el destinatario ha rebaño un premio, como un teléfono móvil. También intentan controlar la cuenta de WhatsApp, convenciendo a la víctima para que entregue un código de demostración necesario para iniciar sesión en una cuenta. Incluye un enlace receloso que lo conduce a un software receloso o un sitio web receloso.
• Phishing físico: cuando algún finge ser algún que no es, como un policía, un empleado o un reparador, para obtener paso a un campo de acción restringida o para engañar a las personas para que les den pasta o información.

En la Argentina, el tipo más popular de estafa de phishing que las personas han contrario y del que han sido víctimas es la modalidad por correo electrónico. «Los delincuentes de hoy pueden atacar a las personas con ataques de phishing a través de varios canales diferentes, por lo que es fundamental que las personas estén al tanto de ellos y de las estafas actuales que circulan», dijo en una conferencia de prensa en la que participó iProfesional Luis Corrons, evangelista en seguridad de Avast 

La palabra inglesa «phishing» se refiere al arponcillo de la pesca tradicional.

Montos involucrados en el «phishing»

Entre los argentinos que dijeron ser víctimas de phishing, el 21% dijo que le robaron datos personales; el 16%, le robaron pasta; el 14%, tuvo que cambiar su contraseña; y el 13%, tuvo que detener tarjetas de crédito y/o débito.

De los que sufrieron pérdidas económicas, un tercio perdió hasta $3.499; el 21%, entre $3.500-6.999; el 6%, entre $7.000-13.999, el 9%, entre $14.000-20.999; y tres de ellos más de $21.000. 

«La ingeniería social se utiliza para transigir a extremo el phishing, para engañar a las personas para que realicen determinadas acciones. Los ciberdelincuentes utilizan la ingeniería social para aprovecharse del comportamiento humano, ya que es más posible engañar a una persona que piratear un sistema. Lo hacen jugando con las emociones de la gentío, usando el miedo, presionando a la víctima con un sentido de emergencia, emoción o alegando que necesitan caridad», dijo Corrons.

La mayoría de las estafas de «phishing» no se denuncian

El 64% de los encuestados que han sido víctimas de phishing no denunciaron la estafa. Las razones para no hacerlo incluyen no memorizar a quién denunciarla (47%), o se considera que valga la pena (34%), la creencia de que no pasaría mínimo si se informa (21%) y el 8% considera que la pérdida financiera no es lo suficientemente incorporación como para que valga la pena denunciar la estafa.

De las víctimas de phishing que informaron la estafa, el 43% fue a la policía, el 29% a la empresa de la que informaba el estafador, el 14% a su proveedor de correo electrónico, el 14% a su proveedor de antivirus y el 9% a algún de la empresa para la que trabaja.

La suplantación de identidad apunta a conseguir los datos personales de la víctima.

Cómo evitar caer en estafas de phishing

Corrons ofreció los siguientes consejos sobre cómo los usuarios pueden evitar caer en estafas de phishing:

Cuestionar el mensaje

Independientemente del contexto, ya sea personal o profesional, es importante que los usuarios adivinen los mensajes que no los abordan. Muchos mensajes de phishing son genéricos y se propagan a las masas, o son mensajes que presentan una propuesta que parece demasiado buena para ser verdad, cómo ingresar un nuevo teléfono inteligente o heredar una gran suma de pasta de un emparentado desconocido. Además, las personas deben tener cuidado cuando un mensaje afirma o amenaza que se requiere una batalla inmediata.

Los mensajes de ransomware, por ejemplo, son conocidos por intentar convencer a las víctimas de que el mensaje es del FBI y que hicieron poco ilegal y, por lo tanto, necesitan fertilizar una multa con emergencia para recuperar el paso a su sistema bloqueado.

Comprobar si hay errores

Los mensajes de phishing tienden a contener errores gramaticales, enlaces mal escritos, están mal escritos o contienen archivos adjuntos de poco a lo que normalmente solo se puede obtener desde una cuenta, como una extracto mensual. 

Los usuarios además deben considerar si el mensaje proviene de un servicio que no usan o que ya no usan, o si se tráfico de un pedido que el legatario no realizó, ya que estos además podrían ser signos de un mensaje de phishing.

Ser cauteloso

En ninguna circunstancia, ningún contacto verdadero debe solicitar credenciales de inicio de sesión, independientemente de si la solicitud llega por correo electrónico o por teléfono, de una persona que dice ser algún de un sotabanco o un entendido en TI que necesita paso a un sistema o credenciales.

Evitar desplegar enlaces o adjuntos

Los enlaces en los correos electrónicos pueden transigir a sitios web maliciosos diseñados para compendiar información confidencial o credenciales de inicio de sesión, y los archivos adjuntos pueden instalar malware si se descargan.

Es mejor evitar desplegar enlaces y archivos adjuntos, a menos que se pueda fiarse en la fuente desde la que se envían. De lo contrario, es mejor pasarse los sitios web de la empresa directamente para descargar software o obtener a sitios.

En caso de duda, vuelva a probar a través de un canal diferente

Si los usuarios no están seguros de si el mensaje, la llamamiento telefónica o la cita que recibieron son confiables, no deben reaccionar. En cambio, es recomendable que utilicen un canal diferente para comunicarse con la empresa de la que dice ser la persona.

Por ejemplo, los usuarios pueden ponerse en contacto con la empresa a través de los canales que suelen utilizar como forma habitual de contacto con esta compañía, como a través de los canales de redes sociales oficiales de la firma, o direcciones de correo electrónico o números de teléfono que figuran en el sitio web oficial de la estructura.