Isabel se encontraba esa mañana en su casa atendiendo a unos trabajadores de la construcción cuando sonó su teléfono celular.

—Buenos días, señora. Le hablamos de parte del Banco Continental para informarle que hay un problema con su cuenta, el cual debe ser resuelto lo antes posible.

—¿Y cuál será el problema? Es que en este momento estoy ocupada y no puedo atenderlo.

—No le vamos a quitar mucho tiempo, es rápido y es muy importante para usted porque su cuenta corre peligro, en cualquier momento le podrían sustraer el dinero.

—Este… es que como le dije, en este momento estoy ocupada. ¿Podría llamarme más tarde?

—Es que esto es urgente, son solo un par de minutos. Usted no tiene que hacer nada, nada más le mandamos un enlace por WhatsApp y usted le da clic. Con solo eso nosotros corregimos de inmediato el problema técnico.

La historia de Isabel, aunque ficticia, no tuvo un final feliz. Todos los días se repite y es similar a la de muchas personas que son víctimas de los fraudes informáticos por medio de una llamada telefónica, un correo electrónico, el hackeo de su perfil de Facebook o de su información personal por medio de una red no segura de wifi.

Este fenómeno está presente en todo el país. Aunque las provincias del Área Metropolitana son las que reportan más casos, ya se presentan denuncias en Guanacaste, Puntarenas y Limón.

Todo esto ocurre en un abrir y cerrar de ojos, sin que nos percatemos de que estamos siendo estafados. Es, posteriormente, cuando nos damos cuenta de que caímos en las estratagemas de los grupos de ciberdelincuentes dedicados a dicho negocio.

El vishing es un tipo de fraude por medio de llamadas telefónicas, en las cuales el atacante suplanta la identidad de una institución, empresa o persona con el propósito de obtener información personal de la víctima. Es lo que le ocurrió a Isabel, quien creyó que realmente la contactaban del banco en donde ella guardaba su dinero.

Al hacer ella clic en un enlace, instalan un software de gestión remota para ver el contenido de una cuenta bancaria y luego capturar la información.

El artículo 217 bis del Código Penal costarricense establece una pena de tres a seis años de prisión por el delito de estafa informática. La sanción será de cinco a diez años de prisión si las conductas son cometidas contra sistemas de información públicos, sistemas de información bancarios y de entidades financieras o si el autor del fraude es una persona encargada de administrar o dar soporte a un sistema o red informática.

De acuerdo con el Foro Económico Mundial, el 95 % de los delitos e incidentes informáticos ocurren por factores humanos; es decir, “el ser humano es el punto donde se focaliza toda la energía del ataque”, explica el Ing. Abel Brenes Arce, oficial de seguridad de la información (CISO, por sus siglas en inglés) de la Universidad de Costa Rica (UCR).

Las diferentes técnicas de manipulación que usan los ciberdelincuentes para engañar a los usuarios y obtener información confidencial es lo que se conoce como ingeniería social.

Persona escribiendo en un celular

Las personas son el blanco principal de las técnicas de manipulación (conocidas como ingeniería social) que los atacantes usan para engañar a las personas y obtener información confidencial.

Foto: Laura Rodríguez Rodríguez.

¿Por qué este acercamiento hacia el usuario? Brenes considera que los ciudadanos no son conscientes de la cantidad de información que manejan y de la importancia de resguardarla. Nos referimos a claves, acceso a sistemas informáticos, datos confidenciales personales o de su lugar de trabajo, por ejemplo.

Se busca atacar a las personas que usan los sistemas informáticos para obtener información valiosa de ellos. Por tanto, no hay en primera instancia un ataque directo a las máquinas, sino que este se efectúa de forma indirecta.

En palabras del ingeniero informático y abogado especialista en ciberseguridad Roberto Lemaitre Picado, profesor de la Escuela de Ciencias de la Computación e Informática de la UCR, “nuestro sistema operativo humano es muy vulnerable”.

Los cibercriminales se aprovechan de la condición humana, desde quienes quieren ayudar a otros o creen mediante engaño que ganaron un premio sin haber participado en ninguna actividad, hasta las personas que dan por cierta una herencia que no esperaban.

“Los atacantes son depredadores del comportamiento y de las emociones humanas”, complementa Brenes.

Métodos sofisticados

Lemaitre confirma que el cibercrimen no ha dejado de avanzar. La pandemia por el COVID-19 marcó un antes y un después en este tipo de acciones, ya que muchos criminales tradicionales evolucionaron hacia actividades más sofisticadas.

De hecho, durante ese período de emergencia sanitaria disminuyeron los asaltos físicos a las personas y aumentaron los ataques por medios informáticos.

Con la inteligencia artificial, los ciberataques han aumentado y las capacidades de los delincuentes también se han fortalecido para acceder a dichos recursos tecnológicos.

Este campo de la informática permite mejorar los mensajes para que parezcan más reales y cada vez es más difícil identificar las fuentes de la estafa, puntualizan los expertos.

“El phishing —indica Lemaitre —, que se usa mucho para estafas informáticas, inicialmente era muy difundido, mal redactado y con temas poco precisos. Ahora ha mejorado y se ha venido especializando”.

Esta técnica de ingeniería social se dirige a ciertos segmentos de la población, entre estos los adultos mayores, pues se aprovechan del desconocimiento del uso de la tecnología debido a la brecha digital.

También buscan información en las redes sociales y en internet de ciertas personas de su interés, ya sea por las características de su perfil, su trabajo o su condición económica.

Brenes detalla que existen tres fases en la estrategia de los fraudes informáticos. La primera fase es la recolección de la información de la víctima.