Un pequeño fraude en Facebook se convirtió en una gran experiencia personal sobre seguridad en línea.
"Me urgen 300 pesos para viajar. Estoy en el DF y necesito ir a Puebla urgentemente", decía su mensaje. Era una amiga de la universidad, quien me contactaba por Facebook Messenger para pedirme dinero. El día anterior yo había estado en una situación similar, así que no dudé en responderle que sí, que le depositaba. Me indicó que podía hacerlo en una tienda de conveniencia y, sin reflexionar más que en su necesidad, lo hice.
Fui engañado por un suplantador de identidad.
Me di cuenta más tarde. Primero, porque me pidió más dinero ("si no, voy a tener que regresar en la última corrida de autobuses", dijo). Hice caso omiso de ese mensaje, pensando que ya había hecho el préstamo y, después de todo, es mejor regresar tarde que no regresar. Al día siguiente, noté que su perfil estaba desactivado. Algo olía mal. Muy mal.
Entonces mi amiga –la de verdad– publicó en su perfil de Facebook que alguien había clonado su perfil y que no cayeran en la trampa. Muy tarde. "El usuario es el eslabón más débil de la cadena", pensé en esa frase hecha que usamos quienes escribimos de seguridad informática. Pues sí: bastó poco (casi nada) de ingeniería social y de habilidades técnicas para ser víctima de fraude. Pero entonces recordé que el estafador me dio su número de cuenta.
"El usuario es el eslabón más débil de la cadena", volví a pensar. Sonreí.
"Te voy a encontrar"
Siempre leemos sobre temas de privacidad, de uso de datos personales, etcétera, y los sentimos lejanos. Por eso somos descuidados. Ese fue el error de mi estafador. Cuando me dio su número de tarjeta para que le depositara, olvidó un detalle sencillo: toda cuenta bancaria va asociada a una persona. Sólo tuve que ir al banco a hacerle un depósito mínimo ($20 pesos) para que el recibo me entregara su identidad legal.
Entonces viene la parte de nuestra identidad en la red. Estuve varias horas navegando para encontrar referencias sobre esta persona; cruzando datos, perfiles de Facebook, cuentas de Twitter, blogs viejos, para reducir el círculo de posibilidades.
No fue sencillo, con todo y que su nombre no se prestaba a homónimos fácilmente. ¿Cómo saber que una identidad en Internet es equivalente a una legal? Ahí hay un debate que, por ejemplo, hoy tiene en entredicho a Facebook.
Cuando finalmente tuve una idea de quién podía ser esta persona, hice dos cosas: ir a las redes sociales e ir con la policía. En las redes sociales, pedí que se compartiera un estado de Facebook hasta que encontrara al individuo.
Segundo, acudí a la Policía Cibernética de mi localidad (revisen si en su país, estado o ciudad tienen una) y pedí asesoría. Me explicaron cómo levantar una denuncia por suplantación y cómo los recibos funcionaban como pruebas para actuar legalmente contra el individuo.
"Si me estás leyendo, te invito a que me contactes y resolvamos esto", puse en el estado original.
El martes por la mañana –al día siguiente de la publicación– me contactó.
El modus operandi
Fue hasta el jueves por la tarde que tuvimos oportunidad de conversar. Me dio su explicación y se comprometió a devolverme el dinero entre el viernes y el lunes de la siguiente semana. "¿Cómo lo hiciste?", le pregunté.
– Nada del otro mundo, solo lógica –me respondió–. Simplemente cree un [perfil de] Facebook y puse su foto y nombre. El sistema de seguridad de Facebook es muy malo y lamentablemente me di cuenta de eso y me tentó mucho.
Nos quedamos conversando otro rato sobre el tema de privacidad en Facebook. Al final, acordó pagarme en dos partes y cumplió. Yo, como parte de nuestro compromiso, decidí retirar los cargos (puesto que había resarcido el daño) y reservar su nombre. Eso sí, con una condición: exponer cómo había operado para evitar que más personas usaran una trampa similar.
Este individuo (joven, de hecho, entre 18 y 24 años de edad) no explotó ninguna vulnerabilidad de Facebook. Explotó la vulnerabilidad humana. Lo que hizo es simple, pero puede ser evitado desde el usuario.
Primero, se valió del perfil de una persona que tiene mucha información pública. Ok, el nombre y la fotografía principal son fáciles de conseguir con cualquier perfil de Facebook, pero no así la lista de amigos o los álbumes de fotos. Todos esos atributos se pueden configurar desde el área de privacidad.
Una persona con tiempo libre (y ánimo de engañar) puede suplantar fácilmente un perfil vulnerable. Sólo tiene que copiar y pegar la información; descargar y volver a cargar algunas imágenes y, ¡listo!, la fachada queda lista. Después, al tener acceso a la lista de amigos, podía mandarles un mensaje a su bandeja (sin necesidad de tenerlos como contactos en el perfil apócrifo) porque Facebook permite por predeterminado esta característica.
"Imagínese si por ejemplo, otra persona supiera hacer lo que hice", me contó. "Sería una problemática."
¿Cómo solucionarlo?
Lo primero que debes hacer es tomarte 15 minutos de tu día paraconfigurar tus opciones de privacidad en Facebook. Sólo haz clic en el candado en la esquina superior derecha y puedes acceder a todas las características. Las que yo recomiendo ajustar son:
- ¿Quién puede ver tus posts? Limitar a sólo tus amigos.
- ¿Quién puede mandarte solicitudes de amistad? Amigos de tus amigos.
- ¿Qué mensajes quiero filtrar en mi bandeja de entrada? Poner el filtro en "estricto".
- ¿Quién puede buscarte por mi correo electrónico? Amigos. Lo mismo con tu número telefónico.
- ¿Quieres que otros motores de búsqueda enlacen a tus publicaciones? No. (Así fue como detecté a mi estafador, de hecho: gracias a Google.)
Por predeterminado, cualquier persona puede ver tu lista de amigos. En la sección de ayuda de Facebook te dicen cómo desactivar eso(TL;DR: sólo haz clic en Administrar > Editar privacidad). De esa forma, también proteges a la gente que tienes como contacto de una posible estafa.
También puedes hacer lo mismo con tus álbumes de fotos y configurar la privacidad de cada uno. Esto es importante no sólo para evitar la suplantación; también si sospechas que eres víctima de acoso.
Por supuesto, está el tema social. Algo que no hice –motivado por la empatía que sentí en ese momento– fue hacer una comprobación. Cuando estés ante una situación sospechosa de este tipo, trata decomprobar la identidad de la persona mediante otro mecanismo: una pregunta, un mensaje de texto o preguntándole a un tercero. Es la noción básica de la verificación de dos pasos, pero en la vida real.
Finalmente, yo tuve suerte de encontrarme con una persona que decidió hacer lo correcto y regresarme mi dinero, pero no todas las situaciones se resuelven así. Ante un caso de suplantación y de fraude, recurrir a las autoridades es la opción indicada –especialmente, si hay un área dedicada al tema de delitos informáticos– y proporcionar toda la evidencia posible.
También recordemos que la prevención es la mejor herramienta de seguridad, así que a editar esas opciones de privacidad. Si tienen más dudas, el Centro de Ayuda de Facebook puede resolver la mayoría y, ante la sospecha de una cuenta suplantada o con fines de estafa, usen los mecanismos de la red social para denunciar y reportar.
No hay comentarios:
Publicar un comentario