Phishing: Fallo inédito a favor de una víctima de estafa

Compartí esta noticia !

Brindar las claves bancarias voluntariamente, no eximió a la entidad bancaria de su responsabilidad, así lo dictaminó la Cámara II en lo Civil y Comercial de La Plata, que se expidió sobre el caso de una docente jubilada que fue engañada por ciberdelincuentes.

Phishing viene del concepto de pesca (fishing) en inglés. Se reemplaza la f por la ph por cómo se hacían llamar los primeros hackers (Phreack) de la conjunción nace el término: Phishing.

Una docente jubilada de 65 años, oriunda de Quilmes, logró un revés judicial en materia de phishing, durante el juicio que está llevando a cabo contra el Banco Provincia. La justicia determinó que aunque ella brindó voluntariamente sus claves -mediante engaños- esto no exime la responsabilidad de la entidad bancaria en cuanto a la falta de actualización de las medidas de seguridad necesarias para evitar este delito.

Todo comenzó, en agosto del 2020 cuando la jubilada recibió un llamado telefónico de un supuesto empleado del Banco Provincia, que la convenció para le brindara un usuario y contraseña de homebanking, con la excusa que debía actualizar sus datos.

Días después, la señora constató que habían desaparecido unos $9 Mil pesos que habían depositado en concepto de adelanto de haberes, además que habían solicitado a su nombre un préstamo por $264 mil. El monto del préstamo había sido transferido a cuatro cuentas, desconocidas por ella, de dos bancos diferentes. Todo esto sin su consentimiento.

Debido a esta situación, la docente jubilada, presentó una denuncia penal correspondiente, además de solicitar al banco que dejara de cobrar las cuotas del préstamo que habían solicitado los ciberdelincuentes, obteniendo una respuesta negativa por parte del Banco Provincia.

Phishing es una técnica de plagio de la identidad mediante ingeniería social, por parte de ciberdelincuentes.

Casi dos años después el Juzgado en lo Civil y Comercial Número 16 de La Plata hizo lugar a una medida cautelar interpuesta por la defensa de la damnificada, para que el banco se abstenga del cobro hasta que no haya una sentencia de fondo.

No conforme con esta resolución, la entidad bancaria apeló a la medida ante la Cámara II en lo Civil y Comercial de La Plata. Argumentando que la “culpa o la torpeza”, fue de su clienta al haber brindado de manera voluntaria las claves de su homebanking y que de ninguna manera incumplió la normativa y las exigencias del Banco Central en materia de seguridad informática. Para ello habría llevado adelante numerosas campañas de marketing alertando a sus clientes sobre el phishing.

Más allá de estas campañas, “la realidad es que muchos de ellos (hablando sobre las estafas) se concretan porque las personas ceden sus claves y datos sensibles a terceros”, expresaron desde el Banco Provincia.

Si bien admitieron que esta modalidad tomó impulso gracias a la masiva digitalización de operaciones bancarias post pandemia, aseguraron que el banco “incrementó desde 2020 los mensajes en sus diferentes canales de comunicación (redes sociales, prensa, web, institucional y correos electrónicos) para difundir las recomendaciones de seguridad a la hora de operar a través de canales digitales y electrónicos”.

Como parte de estas políticas de prevención, detallaron que “incorporaron mecanismos de doble validación de identidad para operar en canales digitales” y en lo judicial formularon denuncias penales ante las autoridades jurisdiccionales en aquellos casos en que el banco pudo reconstruir la trazabilidad de las operaciones fraudulentas.

Más allá de estas explicaciones, el Banco Provincia, obtuvo un revés judicial que sentó jurisprudencia. “El Banco Provincia, erradamente apeló la medida y ese error los ha llevado a un camino infinito de precedentes que han sido muy favorables a mi representada. La gran brecha jurisprudencial se fija primero con las cautelares y luego con las sentencias de fondo”, expresó el abogado Marcelo Szelagowski.

Los magistrados Leandro Banegas y Francisco Hankovits entendieron que “los argumentos brindados por el banco no resultan suficientes”, asegurando que “parecería que las medidas bancarias vigentes se tornan obsoletas e insuficientes”. Además, solicitaron al Banco Provincia que encuentre “nuevas medidas de seguridad complementarias y superadoras de las vigentes”.

Szelagowski relató que el crédito se otorgó a los ciberdelincuentes de manera inmediata, luego de que los estafadores modificaran el perfil financiero de su clienta y que en cuestión de minutos ese dinero fue transferido a cuentas con la que la jubilada nunca había operado.

“Esto lleva a concluir que la palabra ‘seguridad electrónica bancaria’ es absoluta desconocida por el Banco Provincia ya que aprobó el crédito sin validad la identidad de la persona que lo solicitaba” remarcó el letrado.

Lo trascendente del caso es que marca jurisprudencia ante el argumento que se suele utilizar de que el cliente es el único culpable. Hoy está demostrado que la responsabilidad también podría ser de la entidad bancaria.

Compartí esta noticia !

Cómo estar atentos a las estafas financieras

Compartí esta noticia !

El mes pasado distintas entidades de la banca tradicional firmaron un acuerdo con la Cámara Argentina de Fintech para unir sus fuerzas contra el fraude y las estafas cibernéticas.

Esta cooperación entre las partes, lo que busca es crear una comunicación para actuar rápidamente y así, mediante un proceso estandarizado, detectar acciones sospechosas entre cuentas bancarias y virtuales, proteger los datos personales de los usuarios y concientizar sobre este tipo de delitos.

Por otro lado, el Observatorio de Cibercrimen y Evidencia Digital en Investigaciones Criminales de la Universidad Austral (Ocedic), elaboró un informe donde detalla que las denuncias por estafas aumentaron un 200% en los primeros tres meses del 2022, en relación al mismo período del año pasado.

Para mantener los datos bajo custodia y así evitar una estafa, los expertos de Adelantos.com elaboraron un listado con los métodos y plataformas más utilizados por los ciberdelincuentes.

Metodología

• Vishing: obtienen información a través de una llamada telefónica. El ciberdelincuente se hace pasar por personal de una empresa o de soporte técnico.
• Phishing: envían correos electrónicos falsos para obtener información de la víctima. Por ejemplo, pueden solicitar datos personales, de tarjetas de crédito, de la obra social, de actualización laboral, contraseñas de sistemas.
• Concursos falsos: informan a la persona que ha ganado un premio para obtener información personal.
• Farming: realizan varias comunicaciones con las víctimas hasta conseguir la mayor cantidad de información posible.
• Robo de cuentas de correos electrónicos: roban cuentas reales para cometer ilícitos entre los contactos de la víctima, enviar software malicioso o para obtener información personal.

Plataformas más usadas para los fraudes

• Llamadas telefónicas.

• Aplicaciones de mensajería instantánea.

• Correos electrónicos.

• Redes sociales.

“Está comprobado que implementar múltiples mecanismos de seguridad aumenta las posibilidades de evitar los ataques. Lo fundamental es configurar correctamente la privacidad en las redes sociales; usar contraseñas robustas y autenticación de dos pasos; informarse y prestar mucha atención sobre quién es la persona o entidad que está solicitando datos personales”, asegura Rodrigo Moreno, CEO de Ixpandit Fintech Factory.

Compartí esta noticia !

En Estados Unidos desmantelan un sistema de cripto-ponzi de más de US$ 300 millones

Compartí esta noticia !

La SEC salió a acusar hoy (1/8) a 11 personas por la creación de un esquema Ponzi con criptomonedas que, según estiman, recaudó más de US$ 300 millones

Este lunes, 1 de agosto, la Comisión de Bolsa y Valores de Estados Unidos -SEC- salió a acusar a 11 personas por la creación y promoción de un esquema Ponzi con criptomonedas que, según estima la entidad, recaudó más de US$ 300 millones de inversores minoristas de todo el mundo.

De los 11 acusados, 4 corresponden a los creadores del esquema llamado Forsage. Según el comunicado difundido por la SEC, lo último que se sabe acerca de los fundadores de esta pirámide es que vivían en Rusia, la República de Georgia e Indonesia.

De acuerdo Reuters, la denuncia de la SEC detalla que la página web donde operaba el esquema fue creada en enero de 2020 y le permitía a millones de inversores minoristas realizar transacciones por medio de Smart Contracts -contratos inteligentes-. Dada la fecha de creación del sitio se estima que el esquema Ponzi duro más de 2 años y le permitió obtener ganancias a aquellos inversores que reclutaron a otros en el esquema.

La denuncia de la SEC también agrega que supuestamente Forsage usó activos de nuevos inversionistas para pagar a inversionistas anteriores en una estructura típica de Ponzi. Sobre esto, Carolyn Welshhans, jefa interina de la unidad de Criptoactivos y Cibernéticos de la SEC, aseguró:

Forsage es un esquema piramidal fraudulento lanzado a gran escala y comercializado agresivamente para los inversores

Agregando que

Los estafadores no pueden eludir las leyes federales de valores al enfocar sus esquemas en contratos inteligentes y cadenas de bloques

Sin admitir ni negar las acusaciones, dos de los acusados acordaron resolver los cargos y uno de ellos acordó pagar las multas, dijo la SEC.Evolución de las criptomonedas

Más allá de la denuncia de la SEC, el mercado de las criptomonedas retrocede en las últimas 24 horas pero sigue manteniendo el terreno positivo en la última semana:

Cotización de las principales criptomonedas del mercado según su capitalización de mercado (Fuente: CoinMarketCap)

Compartí esta noticia !

Estafas: “Nunca hay que compartir el número de trámite del DNI”

Compartí esta noticia !

Un mail que nos avisa de una encomienda o una venta apurada, instancias que pueden terminar mal si no cuidamos nuestra información personal

Muchas veces llegan correos electrónicos, avisándonos sobre encomiendas, paquetes en el correo, solicitando que nos acerquemos. Similar es el caso de Juan, a quien llegó un correo electrónico avisando que tenía una encomienda pendiente. Juan esperaba una encomienda que tenía que ser liberada desde aduana, pero se sorprendió porque en el mail le solicitaban que debía cancelar no solo una diferencia por aranceles, sino enviar adjunto una captura de su DNI del frente y el reverso, así como una selfie de su cara. A Juan, esto no le pareció seguro.

Marcelo, por su parte está dedicado a la venta de productos por internet. Un sábado recibió un mensaje en la plataforma de Marketplace de Facebook, donde un comprador lo contacto y lo apuró para pagar un equipo. Entonces solicitó que le mandara su CBU, una foto suya y una foto del DNI frente y reverso. “Y se lo pasé, porque la verdad pensé que no podía hacer nada con eso”, dice Marcelo.

El número de trámite del DNI se encuentra en este sector. Nunca debe compartirse, de compartir imagen del documento, borrar este número.

Nunca hay que mandar fotos del DNI

Antes de la pandemia ya existían aplicaciones de verificación mediante el DNI, pero durante y post pandemia muchos servicios se plegaron a esta modalidad. Para dar de alta una cuenta, por ejemplo, se escanea el rostro y se verifica que esa misma persona coincida con la imagen almacenada en el Registro Nacional de las Personas (ReNaPer). Así se pudieron abrir cuentas masivamente en billeteras digitales, Fintech, bancos, o incluso para validar la identidad de alguien que esta cursando una carrera virtual.

Los datos biométricos son claves, incluidos los que están en el Documento Nacional de Identidad, que pueden servir como “foto” para validar una identidad. El ReNaPer solo verifica que la persona existe y es real. Pero la información que se le envía (una sonrisa, que gire la cabeza, escaneo 3D, foto junto al DNI) son requerimientos que pueden pedir o no, según el grado de complejidad que definan. El BCRA tiene requisitos mínimos que las instituciones deben cumplir.

“Hoy el DNI resulta tan importante porque en su parte frontal hay un dato clave, que sirve para hacer un montón de gestiones a nivel organismos públicos, pero también para las Fintech, como solicitar créditos. El número de trámite funciona como un doble factor de autenticación para validar la identidad de la persona”, aclara el abogado especialista en protección de datos personales, Daniel Monastersky.

El experto señala que es imprescindible cuidar esta información porque se pueden generar fraudes o estafas “Cuando alguien te solicite que le envíes una foto del DNI para la compra, nunca lo hagas”, explica y añade “Y si lo haces, que sea borrando el dato del número de trámite”.

Tener el DNI y el número de trámite funciona como la tarjeta de crédito y la clave de tres dígitos. Por lo que simular nuestra identidad por parte de un tercero, es muy sencillo.

Un crédito para pagar un producto

En el caso de Marcelo, recibió el dinero, pero no era una simple transferencia. “Empiezo a recibir mensajes de esta persona diciéndome que me había hecho el pago. Hasta ahí yo no sabía nada, solamente me pidió los datos de pago, me había hecho supuestamente el pago y demás. Cuando vuelvo a la noche a mi casa, miro los mensajes y me dice “mirá”, hubo un problema, el monto era de $5000 y te hicieron un pago de $7500 y me manda el ticket”. Relata en el podcast Internet me arruinó. Marcelo se fijó en su cuenta, si bien con duda, pero efectivamente estaban los 7500. Todo parecía verdadero.

El dinero había llegado de un crédito de una Fintech. Sin pedirlo, ni saberlo, tenía acreditado un préstamo a su nombre. Marcelo buscó la razón social, llamó, amenazó con enviar una carta documento y por fin logró que dieran de baja el préstamo después de unos días. Los delincuentes no llegaron a retirar el producto y él se evitó acceder al veraz.

El Pishing que le llegó a Juan del Correo Argentino no tuvo consecuencias visibles. Pero con esa información pudieron haber activado algún tipo de servicio a su nombre. También esto permite que además de aperturas de cuentas bancarias, solicitar un chip de una nueva línea telefónica, tal como pasó en muchas ocasiones, lo que permite tomar control de otros servicios digitales que usan un SMS como validación.

Es habitual que los estafadores utilicen varias técnicas, como en una pesca.

Cómo denunciar el robo de datos, cómo cuidar el DNI

Con los datos del DNI se puede validar la identidad en varios servicios digitales, así lo sostiene Horacio Azzolin, fiscal de la Unidad Fiscal Especializada en Ciberdelincuencia (Ufeci), “Entregar las fotos del DNI en las manos equivocadas puede generar que nos usurpen la identidad. Además, la combinación de DNI con número de trámite sirve para acceder a muchos servicios oficiales, de forma tal que además de usurparnos la identidad, pueden acceder sin permiso a plataformas, haciéndose pasar por nosotros”, enfatizó.

Para evitar la usurpación existe el formulario del Registro de Documentos de Identidad Cuestionados, que reúne información sobre los DNI que fueron denunciados por robo. “Los bancos y entidades financieras, antes de otorgar sus productos, están obligadas a revisar el registro. De este modo, podés prevenir que saquen préstamos, tarjetas de crédito o hagan compras en tu nombre”, señala el sitio web.

Tanto los bancos, como las Fintech incorporan tecnología con altos estándares de seguridad para prevenir fraudes, incluso los mecanismos biométricos, que rechazan fotos de imágenes, capturas de pantalla o vídeos. Pero señalan que hay que trabajar de manera conjunta, para que los usuarios de todas las entidades sepan como accionar ante un posible fraude. Por eso siempre es bueno prevenir y ante las solicitudes tomar recaudos.

Compartí esta noticia !

El Líder de Generación Zoe y otras tres personas serán imputados en Rosario por 11 estafas

Compartí esta noticia !

El Líder de la organización Generación Zoe, Leonardo Cositorto, y otras tres personas serán imputados por la Justicia de Rosario sospechados de estafar al menos a 11 personas, informaron hoy fuentes judiciales.

El fiscal de la Unidad de Delitos Económicos del Ministerio Público de la Acusación (MPA) de Rosario, Mariano Ríos Artacho, confirmó hoy que el líder de la organización Generación Zoe, Leonardo Cositorto, será “imputado en una audiencia el martes próximo junto con otras tres personas con las que operaba en Rosario por el delito de estafas”.

El funcionario precisó que en Rosario “hay 11 víctimas y el monto de la estafa alcanza, en principio, los 100.000 dólares”.

En declaraciones a Cadena3-Rosario, el fiscal consignó que hay otras nuevas víctimas por lo que el monto de la estafa podría elevarse a “los 250.000 dólares”.

Según Ríos Artacho, el CEO del grupo operaba en Rosario con un grupo de tres personas; dos de las cuales que fueron detenidas son mujeres y un hombre que cumplía el rol de representante de la organización en esta ciudad sobre quien pesa un pedido de detención.

Sobre la técnica empleada en las presuntas estafas indicó “que era un organización que captaba personas para hacer inversiones en negocios con apariencia legítima con la promesa de una renta mensual que iba desde los 7,5 hasta el 20% mensual en dólares”.

Por su parte el abogado de los 11 damnificados, Jorge Resegue, señaló que entre los denunciantes hay personas que “sacaron créditos o invirtieron los ahorros de toda su vida y resulta que fueron estafados y ahora están endeudados”.

Para el abogado denunciante, “la confianza generada por Cositorto y su gente en Rosario es increíble, hasta último momento ya después de su detención, algunos seguían confiando en que iba a aparecer y que les iba a pagar. No visualizaban que había habido un esquema defraudatorio”, dijo en declaraciones a Cadena3-Rosario.

Otras fuentes de la investigación consultadas por Télam adelantaron que Leonardo Cositorto será trasladado desde la provincia de Córdoba donde se encuentra detenido el lunes próximo, y que será imputado el martes por los delitos de asociación ilícita y estafas.

Compartí esta noticia !

Categorías

Solverwp- WordPress Theme and Plugin