Hacking de información digital: un peligro subestimado y desapercibido en México

14/05/2017 - 10:20 pm

“Me decían que en una tarjeta debía 11 mil pesos, en otra 5 mil, que no he hecho tres pagos. ¡¿Cómo es eso posible?! Si yo nunca he sacado tarjetas de crédito, manejo puro débito”. Este es un caso de robo de identidad; uno de los delitos informáticos que ocurren con más frecuencia en México.

Ciudad de México, 14 de mayo (SinEmbargo).- En la actualidad, la delincuencia sigue demostrando que no tiene límites en tiempo y lugar, y que es capaz de adaptarse al medio para lograr su objetivo. Como muestra está el hacking de información digital, que encuentra refugio en la legislación vigente en México, pues no es competente en la punición de estos crímenes. De tal manera que muchos de estos fraudes cibernéticos no son considerados ilegales, lo cual ha propiciado que los delincuentes informáticos encuentren en este negocio una gallina de huevos de oro.

La rentabilidad del hacking se debe también a la facilidad para obtener la información digital de cualquier persona. Esto en gran medida es por la falta de conocimiento de los usuarios sobre cómo proteger adecuadamente la información personal que colocan en las TIC —tecnologías de la información y la comunicación—; lo que los hace altamente vulnerables. El robo de identidad es una de las transgresiones a las que se está expuesto y, al mismo tiempo, representa un peligro extremadamente subestimado, menospreciado y, hasta cierto punto, desapercibido tanto por las autoridades como por los usuarios, que podría traer grandes consecuencias sociales y económicas.

LEGISLACIÓN OBSOLETA 

En marzo de 2012, los diputados Juan José Guerra Abud, Rodrigo Pérez-Alonso González y Canek Vázquez Góngora promovieron iniciativas que pretendían identificar y establecer sanciones contra el hacking, la revelación de secretos en la web, el ciberbullying, contactar víctimas por internet, entre otros. A su vez, modificarían apartados en varios artículos del Código Penal Federal, específicamente, los artículos 205, 211, 282, 389 y 390. Fueron aprobadas por la cámara de diputados; sin embargo, al ser revisada por la cámara de senadores, las rechazaron.

De tal manera que el único artículo del código penal federal vigente que se enfoca a ciberdelitos es el Artículo 211 Bis 1 que entró en vigor el 17 mayo de 1999:

“Al que sin autorización modifique, destruya o provoque pérdida de información contenida en sistemas o equipos de informática protegidos por algún mecanismo de seguridad, se le impondrán de seis meses a dos años de prisión y de cien a trescientos días multa.

Al que sin autorización conozca o copie información contenida en sistemas o equipos de informática protegidos por algún mecanismo de seguridad, se le impondrán de tres meses a un año de prisión y de cincuenta a ciento cincuenta días multa”.

Un tercer factor importante que propicia este tipo de faltas son los castigos insignificantes estipulados en el código penal federal. A diferencia de si el delito se comete a una institución del Estado o del sistema financiero en donde aumentan los castigos hasta los 10 años. Del mismo modo, “no es adecuado el proceso para llevar a cabo una investigación de estos delitos que termine en el arresto o para iniciar un procedimiento penal en contra de un ciberatacante”, comenta Alex Rivera, consultor de ciberseguridad en Dait, y que será llamado “Alex” de ahora en adelante.

La delincuencia sigue demostrando que no tiene límites en tiempo y lugar. Foto: Especial.

¿INFORMACIÓN SEGURA?

La información digital es vulnerable de ser robada, modificada o eliminada. Dependerá del grado de educación informática que tenga la persona para que resulte fácil o difícil acceder a ella. Un ejemplo de esto es la poca privacidad que se le aplica a la información publicada en las redes sociales.

La cultura de la prevención en el ser humano parece inexistente. En cuanto a la información que se encuentra en la red no se analiza qué puede hacerse público y qué cosas no; tampoco se dimensiona hasta qué punto podría llegar un delincuente al momento de usar la información personal de alguien.

Tal como menciona Alex: “No es lo mismo pedirle a una persona su edad a pedirle su acta de nacimiento. Por desgracia, las personas entregan la información solas; la publicamos en internet sin siquiera saber para qué puede servirle a otra persona. Pecamos de ignorantes”.

Uno de los delitos informáticos más comunes en nuestro país es el robo de identidad. Se relaciona directamente con la clonación de tarjetas o contratación de créditos personales. México ocupa el octavo lugar a nivel mundial en este delito, de acuerdo con la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef).

Las maneras de obtener la información de una tarjeta es muy variada que van desde técnicas informáticas como el phishing que consiste en obtener datos personales o sensibles generalmente mediante una interfaz web similar a la de una entidad conocida para realizar una estafa; robo de información almacenada en una computadora o en algún sitio web; hasta el robo físico de la tarjeta o de la correspondencia.

El phishing es uno de los delitos informáticos más comunes. Foto: Especial.

“Con tener el correo electrónico de alguien, puedes ir a una red social como Facebook, ver si ese correo está vinculado con un perfil y así tienes la posibilidad de ver el nombre de la persona, fecha de cumpleaños, dónde vive, en dónde ha estudiado, gustos, intereses, etcétera”, señala enfáticamente Alex.

Sumado a estos métodos, la ingeniería social es un arma letal de la que se valen muchos hackers maliciosos y de la que es muy difícil no ser víctima. Algunos le llaman el arte de hackear personas; quienes la utilizan argumentan que es más fácil hackear a una persona que a una computadora. Esta consiste en la manipulación psicológica de las personas para obtener información de ellas sin que se den cuenta. Basta con que se obtengan unos cuantos datos iniciales y lo demás viene solo.

“Si tienes muchos huevos y sabes mentir muy bien por teléfono, ya con su número, nombre y saber la compañía a la que pertenece, puedes hablar y decirle que hablas de parte de dicha compañía y sacarle información… eso es lo que hace mucha gente para sacarle los datos de la tarjeta de crédito”, comenta un hacker al que se le llamará “Nil” para no revelar su identidad.

VÍCTIMAS DEL HACKING 

Emilio Uc hace poco fue víctima de robo de identidad. Él se encontraba revisando unos pendientes cuando de pronto le llegó una notificación de la aplicación del banco en donde se le informaba que había realizado una compra desde Vietnam, en la empresa Sako Inc, el 1 de abril a las 7 a. m. cuando aún era 31 de marzo; todo esto en su cuenta personal. Pero todavía hay más… minutos más tarde le habló su contador —el que maneja su cuenta principal— y le preguntó:

—Oye, ¿tú moviste una cantidad de dinero de tu cuenta principal?

—No. Sólo tú me puedes dar acceso a ella.

—Pues alguien hizo una transacción de tu cuenta.

— ¡Imposible!

Al revisar los últimos movimientos, se percataron que se hizo una transacción de su cuenta a una empresa alemana. “Ahí, sí era transacción, no era pago en tarjeta. Como si yo hubiese transferido dinero de mi cuenta a la cuenta de esta persona en Alemania”.

Después de unos días, le llamaron de distintos bancos para notificarle que debe dinero en sus tarjetas de crédito cuando él no abrió ninguna cuenta en ellos.

“Dieron con la persona que lo hizo. Se le metió una penalización”. Foto: Especial.

Al indagar su caso en cada uno de los bancos, notaron que Emilio nunca había hecho los trámites de esas cuentas que estaban a su nombre. “Dieron con la persona que lo hizo. Se le metió una penalización”. De primera instancia, él tuvo que pagar las investigaciones y se le informó que en el primer caso fue una clonación de tarjeta hecha por una por una persona en Vietnam y la segunda fue un hacking de su cuenta realizada por un hombre de Saltillo, el cual está siendo investigado. No fue difícil dar con el delincuente pues, “al momento de hacer la compra, el beneficiario era esta persona; facturaba a su nombre en vez de facturar a nombre mío que soy el beneficiario de la tarjeta… fue tonta esta persona”. Se realizó la denuncia a través del banco, se acudió a Conducef y ellos se están encargando del caso.

— ¿Tienes algún nexo con la persona que te hizo esto?, ¿en algún trabajo o cómo es que dio contigo?

No tengo ningún nexo con esa persona. Dio conmigo porque se parece a mí en aproximadamente 85 por ciento.
En este caso, no tuvo consecuencias mucho más graves a nivel económico, puesto que su tarjeta personal está limitada por su contador. “Sin embargo, como también me jalaron dinero de la otra cuenta (aproximadamente el 60 por ciento) pues me afectó un poco porque ese dinero lo iba a invertir en mi negocio”.

— ¿Este hecho tuvo alguna consecuencia en el aspecto social?

No, porque muy pocas personas saben sobre esto. Podría ser que hubiese repercutido en contra de mi contador, pues el maneja mi dinero, el maneja todo y pude haber desconfiado de él; sin embargo, esa persona ha estado conmigo durante cinco años y nunca me ha sucedido algo extraño. Cuando el necesita dinero me lo dice; somos muy cercanos.

La investigación sigue abierta para descubrir quién fue la persona que hizo la compra en Vietnam y, de la misma forma, el caso del hacking para determinar cuánto tiempo se le penalizará a esta persona. En el primer caso, aún no recupera el dinero; en el segundo ya tiene el dinero de vuelta.

De cualquier modo, Emilio sabe del tema en cuestión. Tiene idea de cuál pudo ser la causa de que le pasara esto. Se nota bastante informado y ha tomado las medidas precautorias para tratar que no le vuelva a suceder algo similar.

Así como Emilio, José Hernández también fue víctima de robo de identidad. Se encontraba en la Plaza Museo de Veracruz cuando en un stand le ofrecieron una tarjeta Paypal que sirve para obtener puntos al realizar compras con una tarjeta.

“Me pidieron mi credencial y mi tarjeta de crédito; me dijeron que llenara unas formas mientras le sacaban una copia a mi tarjeta de crédito y me aclararonn: ‘mira te enseñamos que no tomamos tus datos del otro lado para que no pienses que es un fraude’. En ese momento me entregaron mi tarjeta Paypal y me regresaron la que les había prestado. Lo raro fue que la tarjeta que me dieron ya se veía como vieja, como usada, pero no, cuando la registré me apareció como nueva, funcionaba muy bien”.

Dos semanas más tarde, al revisar su estado de cuenta, se percató que se habían realizado dos compras en unas tiendas alemanas desde Veracruz. De manera que rápidamente se comunicó con el banco para preguntar sobre dichas compras. También, les explicó lo que había sucedido con los de Paypal. El banco respondió que se trataba de un caso de robo de identidad y que en efecto, solían operar de esa forma. “Te piden tu tarjeta, tu credencial porque así obtienen tus datos, fue muy pendejo de mi parte porque, literalmente, yo les regalé mi información, pero confié porque tenían su stand”. José perdió 8 mil pesos y no pudo recuperarlos, dado que el banco le solicitó el plástico original para proceder con la investigación y él ya lo había roto.

Por otro lado, en las redes sociales, las personas se sienten libres de compartir su información con sus contactos y, por ello, son uno de los objetivos más codiciados por los delincuentes informáticos. Aunque, estos no siempre actúan con un fin económico; algunas veces lo hacen con el fin de desprestigiar o perjudicar socialmente a alguien.

El caso de Itzel Vallejo es un ejemplo de esto: mientras veía películas con su mamá en la sala de su casa, le empezaron a llegar mensajes de sus contactos en Facebook: “oye, ¿qué onda con tus publicaciones y tus fotos?”. Ella desconcertada al no saber a qué se referían, puesto que no se había conectado a dicha red social en todo ese día, entró inmediatamente a su perfil y se dio cuenta que un intruso logró tener acceso a su cuenta y estaba publicando videos del programa “La Academia” de Tv Azteca; estados con faltas de ortografía (ella es de las que no tolera escribir mal, entonces eso manchaba su reputación), enlaces de sex shops y lo más extraño fueron unas fotos de unos glúteos con el mensaje: “me las tomé esta mañana, ¿qué tal se me ven?”.

Tan pronto como pudo, borró todo ese contenido indeseado; no obstante, minutos más tarde, recibió muchos comentarios incómodos por parte de varios de sus contactos hombres (que no conocía personalmente) en donde le solicitaban más fotos como aquellas que se habían publicado. Inmediatamente, cambió su contraseña a una más compleja, configuró su cuenta para que le notificara las ubicaciones en donde se encuentran abiertas las sesiones de su cuenta y publicó una disculpa por el contenido publicado desde su perfil y por posibles mensajes ofensivos hacia sus conocidos.

Al revisar la actividad reciente, se dio cuenta que el intruso aceptó a gente que le había mandado solicitud a ella, pero que no los quería aceptar.

Itzel no tiene idea de quién pudo haber sido el que se metió a su cuenta sin permiso, pero lo que sí pudo averiguar fue desde dónde se conectó: Zacatecas, aunque también había una conexión desde Cuernavaca. Del mismo modo, descubrió que no era la primera vez que se metían a su cuenta.

En un inicio, su reputación quedó manchada, pero afortunadamente para ella varios de sus contactos se dieron cuenta que no había sido Itzel la que publicó ese contenido. Después de unas semanas, todo volvió a la normalidad.

¿PARANOIA O PREVENCIÓN? 

La incógnita aquí es cómo proteger nuestra información digital de tal manera que sea lo menos vulnerable posible. La contraseña siempre ha sido uno de los puntos débiles de los usuarios, según Nil:

“Lo primero que debes hacer es poner un password chingón. Normalmente muchos creen que poniéndolo signos de peso, de gato, etcétera, es más difícil que te lo hackeen, pero no, porque mientras más complicado el password, generalmente, es más corto, de 8 caracteres aproximadamente, pero ese es un espacio de 〖95〗^8 de posibles combinaciones; computacionalmente ese es un número muy pequeño. Lo mejor es tener un password que no tenga sentido como elperroamarillocruzómarte eso no hay manera de que por fuerza bruta lo vayan a decifrar: es muy largo y fácil de recordar”.

Para verificar esto, en la página howsecureismypassword.net es posible ingresar una contraseña y te indica cuántos años tomaría obtenerla mediante un método de fuerza bruta. Se probó la contraseña propuesta por Nil y se obtuvo lo siguiente:

Sitio para ver qué tan segura es tu contraseña. Foto: Especial.

La contraseña elperroamarillocruzómarte tomaría 6 decillones de años, es decir, un millón de nonillones o diez elevado a la sexagésima potencia. Prácticamente, imposible.

Otra de las consideraciones que hay que tener muy en cuenta a la hora de velar por la seguridad de nuestra información digital es cambiar los parámetros que trae por defecto el router del internet.

“El tipo de seguridad de las redes WiFi deben tener el mejor cifrado y encriptado con el que cuente el router, pues muchos traen por defecto WEP que es un cifrado bastante frágil que en dos minutos o menos podrían obtener tu clave. Pero lo peligroso es que al acceder a tu módem pueden configurar un servidor DNS de tal forma que al intentar entrar a un sitio como Facebook, te podría redireccionar a un una copia del sitio que fue creado por un hacker y que obtendrá tus datos de acceso”.

La tecnología ha demostrado que mientras la legislación mexicana en materia de delitos informáticos da un paso, ella ya dio 10. Con el llamado internet de las cosas cada vez estamos más rodeados del mundo digital y con ello, tenemos más información en línea. Esto se vuelve un arma de doble filo, puesto que nos volvemos más susceptibles a ser hackeados si no tomamos las medidas preventivas pertinentes.

“Considero que sí deberíamos tener cierto grado de paranoia, por ejemplo yo tengo webcam tapada todo el tiempo. En caso de que yo quiero utilizarla, mejor conecto una externa. Tengo mucho cuidado con la cámara y el micrófono, pues al instalar un software ‘gratuito’ puede contener un malware de espionaje”. No resultaría raro que más de uno sea muy precavido en cuanto a la seguridad de su información. Es mejor eso a pensar que no va a pasar nada, porque se podrían llevar una enorme sorpresa de los límites de un delincuente informático.

“Una vez saqué una IFE con otro nombre completamente porque son unos pendejos. Yo no sé para qué toman el pulgar si usan para nada esa huella. No necesitas hacer nada; sólo llevas dos testigos que digan que te llamas como tú dices que te llamas y te lo dan. Luego con esa IFE fui y saqué un acta de nacimiento”.

en Sinembargo al Aire

Opinión

Opinión en video