CIBERDELITOS: INFORME ESPECIAL. El "caso Netflix": ¿Una serie de estafas o una estafa de película?

Por Rodrigo E. Bionda (*)

Especial para El Tiempo

Atizando la hoguera vital con una suave brisa que viajo del futuro a bordo de un -aún- flamante vehículo modelo 1984, la oriental Yoko Ogawa ideo en fina prosa, una pequeña isla donde se produce un misterioso fenómeno. Un día desaparecen los pájaros, pero al siguiente podría desaparecer cualquier cosa: los peces, los árboles. Peor aún, también se va desvaneciendo la memoria de sus habitantes, al igual que las emociones y sensaciones que llevaban asociadas. En algún momento, nadie sabrá ni recordará, entonces, qué ni quiénes eran. Ese etéreo terruño, es celosamente custodiado por una fuerza dedicada a perseguir a los que conservan la capacidad de recordar lo que ya no existe: La Policía de la Memoria, tal como se titula la disruptiva obra de esta autora japonesa.

Imperceptiblemente y desde hace tiempo, habitamos esa isla que no se encuentra situada en ningunas coordenadas y que -sin embargo- es habitada por legiones de náufragos azotados por un curioso frenesí de comunicación e información que -al igual que en la Isla- ha contribuido a que las cosas, personas y lugares desaparezcan. La información y -como contrapartida- la esencia de las no cosas, se coloca delante de las cosas, personas y lugares haciéndolas languidecer.

Transitando ese rumbo de humanidad ampliada por el que navegamos, escorados hacia la arremolinada corriente de bites que marca la deriva y que diariamente no arrastra a ecosistemas digitales, el orden terreno está siendo sustituido -a veces- o complementado -en tantas otras- por el orden digital. Este desnaturaliza las cosas y lugares del mundo, informatizándolas y haciéndolas desaparecer, mientras recorremos extasiados la transición desde la era de las cosas a la edad de las no cosas.

Ello ha ocurrido con particular intensidad en algunos sectores del arte y el espectáculo. Se desmaterializó el séptimo arte y con él la boletería, convirtiéndose en un intrincado ovillo de bits y datos criptográficos que permiten reproducir lo que se desee en streaming a cambio de la transferencia o débito de tiempo vital monetizado, almacenado on line en wallets o billeteras virtuales y -por consiguiente- se están desvaneciendo los edificios señoriales que geolocalizaban a los cines en los pueblos y que prometían inoxidables tardes de domingos en las matinées, ya que ahora están contenidos en aplicaciones tales como Netflix, Star Plus, HBO Max, PrimeVideo, FilMin o en las más diversas plataformas de streaming y con ello, se gestó la creación de nuevas maniobras delictivas.

El libreto de esta zaga, está escrito bajo el paradigma del método o matriz P.I.C.O. que oficia de linterna para alumbrar cada nuevo intento de perpetración de un ciberdelito. La "P" -de pretexto- indica que la víctima recibe un mensaje con un pretexto que llamará su atención: una oferta, un subsidio, una promoción, un aviso de corte intempestivo. La "I" -proviene de Impostor -el ciberdelincuente se presenta como si fuera una persona, empresa u organismo fiable. Con la "C" se significa el contexto; habida cuenta que el ciberdelincuente se aprovecha de una situación específica: salud, económica o social de la víctima. Finalmente, la "O" -extraída de oportunidad-, ya que el mensaje ofrece una oportunidad única e imperdible por poco tiempo.

La precuela que hoy presentamos, que ha sido posible gracias a plataformas que contienen cines desmaterializados, bien podría titularse una serie de estafas o una estafa de película.

El caso Netflix: Chapter I

Recientemente compartimos por este mismo medio, todos los detalles en relación a esa particular estrategia utilizada por los ciberdelincuentes que se condensa detrás del Spoofing y que consiste -básicamente- en una técnica delictiva que pretende suplantar la identidad de otra persona, una empresa o entidad pública con fines delictivos.

En la amplia paleta de variantes bajo las cuales opera esta modalidad, describimos al spoofing web -que es una variante de phishing-, mediante la cual un atacante replica una web legítima para hacerse pasar por ella y tratar de obtener beneficios mediante su suplantación. Los ciberdelincuentes pueden llevar a cabo la réplica de una página web legitima mediante el uso de elementos muy similares a los de la fuente original: logos, tipografías, slogans. Para hacer el engaño más creíble aún, suelen utilizar una URL parecida a la que pretenden suplantar -por ejemplo, www.diarioe1tiempo.com.ar en vez de www.diarioeltiempo.com.ar- todo ello con la finalidad de cometer actos delictivos en perjuicio de los usuarios que visitan la pagina web clonada. Las webs falsas pueden replicar portales legítimos de entidades bancarias, tiendas online, hoteles o agencias de viajes. Los usuarios engañados pueden facilitarles sus datos de acceso o datos bancarios, lo que permite al ciberdelincuente consumar su maniobra.

En términos generales, las estafas por suplantación de identidad están basadas en cinco pasos: primero se desarrolla el sitio web clonando el original; luego los ciberdelincuentes envían un mail, mensaje de texto que contiene un enlace a esa web, a usuarios cuyos correos o números de teléfonos los obtuvieron de una base de datos de mails a la que de alguna forma accedieron con anterioridad o -bien- pagan para posicionar el sitio como patrocinado entre los primeros resultados de los buscadores; en tercer lugar, hay un porcentaje pequeño de personas que hacen click en el enlace; en cuarto lugar, un grupo más reducido aún de víctimas ingresa sus datos personales; y, finalmente, otros ciberdelincuentes comercializan los datos obtenidos para distintas maniobras delictivas.

Justamente, esta estrategia es la que está siendo utilizada para suplantar la identidad de unas de las plataformas de streaming más utilizada en el mundo -Netflix- mediante la creación de falsas páginas web ancladas en enlaces patrocinados hallados en Google, que redirigen a páginas falsas donde se solicitan al usuario datos personales como, por ejemplo, de homebanking o tarjetas de crédito.

Esta maniobra funciona de este modo. El ciberdelincuente crea una página web falsa, de idéntica característica a la original, y les paga a los buscadores para aparecer lo más arriba posible de la barra de navegación, de modo tal que cuando el usuario clikclea por ejemplo sobre "Netflix Argentina" en su navegador, el primer sitio que aparece no es el oficial de la plataforma de streaming, sino una página web con idéntica fisonomía, pero identificado como "patrocinado" con una leyenda a la izquierda de la denominación del sitio.

En dicha apócrifa página web se inserta un número de contacto mediante alguna plataforma de mensajería instantánea -por lo general, Whatsapp- para un supuesto contacto de atención al cliente; sin que el desprevenido usuario sepa que Netflix no tiene página virtual argentina y mucho menos un número de teléfono de contacto.

En estos días que corren, cuando en los resúmenes de las tarjetas de crédito figura la cuota mensual en dólares y donde se ha vuelto a difundir que la empresa ya no permitirá compartir bocas fuera del hogar, las consultas se han multiplicado y con ellas los ataques perpetrados por spoofing.

Es que usuarios desprevenidos que quieren evacuar algunas dudas o directamente dar de baja el servicio, no saben cuál es el sitio oficial, por lo que directamente buscan en su navegador Google o en cualquier otro buscador "Netflix" o "Netflix Argentina" y al dar enter, se encuentran con estas páginas suplantadas en primer lugar, ya que se trata de contenido patrocinado y -por consiguiente- posicionado de ese modo intencionalmente. Los usuarios ingresan, creyendo que se trata de un sitio oficial y paso a paso caen en el engaño.

Al buscar el contacto de alguna de las plataformas de mensajería instantánea -por lo general, WhatsApp-, comienzan a chatear con un falso empleado que tiene como objetivo lograr que el usuario le entregue el número de tarjeta de crédito y el pin de seguridad o alguna clave de homebanking. O, directamente, les hackean el WhatsApp enviándoles un pin que él usuario, creyendo que se trata de otra cosa, le repite al falso empleado.

Aclarado ello, volvemos a recordar que es clave para evitar introducir tu tarjeta de crédito o correo electrónico en una web fraudulenta revisar que se trate de un sitio cuya URL -la dirección que se consigna en el buscador- comience con HTTPS -por ejemplo, https://diarioeltiempo.com.ar- puesto que está indicando que el intercambio del paquete de datos se está efectuando en el marco del Protocolo Seguro de Transferencia de Hipertexto (HTTPS) que es una versión mejorada del antiguo protocolo HTTP. Debería aparecer al principio del link, en la barra de búsquedas y junto a la URL un candado que indica que la información está cifrada. Este es el primer filtro para saber si se está ante una página segura.

En efecto, un usuario sensato debe detenerse un instante a comprobar que se trata de una conexión segura con un certificado SSL -ello ocurre cuando aparece el candado al lado de la dirección web- y siempre con una conexión https. Reparar en las URL para evitar casos de cybersquatting -esta modalidad consiste en registrar un determinado nombre de dominio que simula a uno legítimo con alguna imperceptible variante, para hacer uso con fines fraudulentos- y estar alertas a faltas de ortografía o cambios en el contenido de la web, es esencial para cualquier grumete digital.

El caso Netflix: parte II

Sin embargo, no acaba aquí la cuestión, toda vez que también se está empleando otra estrategia con -lamentablemente- significativos resultados positivos. Esta otra posibilidad, consiste en que las víctimas reciben un mensaje de texto -SMS- o correo electrónico, explicando que se suspendió la suscripción a Netflix y que para recuperarla deben entrar en la página web indicada en el enlace que contiene el propio mensaje con el objetivo de actualizar la información o -como alternativa- que actualice sus datos de facturación, incluidos sus datos personales y bancarios, en un sitio web que simula ser el de la empresa. Los mensajes cortos de texto (SMS) o correos electrónicos, parecen legítimos porque van acompañados de unos enlaces que requieren las credenciales de inicio de sesión, ya que los ciberdelincuentes utilizan acortadores de URL para incluir las palabras claves que estén relacionadas con la plataforma de "streaming" y la normativa de las cuentas compartidas.

En el mensaje al que pudimos acceder -contenido indistintamente en un correo electrónico o mensaje de texto- presuntamente emitido por Netflix, se requería al usuario una actualización de sus datos de pago del servicio en los siguientes términos: "Hemos detectado un inconveniente con su cuenta a la que no puede acceder hasta que realice algunas actualizaciones. Haga clic en el enlace de abajo e inicie sesión a fin de actualizar la información que solicitamos".

El link deriva hacia un sitio falso, que es un plagio del original porque usan los mismos colores y logos en su elaboración, en el que se indicaba que se debía ingresar su número de tarjeta de crédito o débito, además del pin de seguridad. Con estos datos, de inmediato los delincuentes comenzarán a utilizar esa tarjeta para realizar todo tipo de compras virtuales. Por si fuera poco, si el usuario cae en la trampa, los estafadores roban la cuenta de Netflix para venderla a otras personas.

Netflix contraataca: la batalla final

Desde la popular plataforma de streaming, que alberga más usuarios que cualquier país, se ha alertado en torno a que la empresa informa con anticipación el eventual corte de servicio antes de suspender una suscripción o cancelar una cuenta. Ante cualquier duda, es recomendable ingresar en forma manual a la aplicación o a la web oficial para efectuar cualquier verificación.

Como contraataque, Netflix publicó en su sitio web una serie de consejos para distinguir si un email o mensaje de texto fue enviado efectivamente por la compañía aclarando que: "Nunca te solicitaremos información personal (número de una tarjeta de crédito o débito, detalles de cuenta bancaria o contraseña de Netflix) por email o mensaje de texto"; que "Nunca solicitaremos pagos por mail de otro proveedor o de un sitio web externo"; que -por otra parte "si el texto o el email vinculan a una URL que no reconoces, no la toques ni hagas click en ella. Si ya lo hiciste no ingreses ninguna información en el sitio web que abriste" insistiendo en "chequear el remitente antes de abrir cualquier correo electrónico; comparar el remitente con mensajes anteriores; comprobar si la dirección de internet (URL) es la de la empresa; y comunicarse con los servicios de atención al cliente antes de responder si existe alguna duda".

Finalmente, Netflix solicita a sus usuarios que, en caso de recibir un email o un mensaje de texto sospechoso, lo reenvíen a: phishing@netflix.com y que se pongan en contacto con el banco o emisora de la tarjeta de crédito para advertirle de la situación.

Fin de la trilogía

El crepúsculo de esta zaga se comienza a evidenciar cuando comienza a decaer la actividad en la taquilla y se vacían las boleterías de interés, hecho revelador de que ya comenzó a resonar la música que marca el fin de esta trilogía que sólo pretende dejar el aroma de una reflexión flotando en el ambiente.

Si bien es cierto que existe una tendencia en ciberseguridad a establecer que la "concientización del usuario" de los riesgos y amenazas que existen en Internet es suficiente para evitar ser víctima de un ciberdelito y que dicho principio presupone que el damnificado de este tipo de conductas lo fue porque no ha sido lo suficientemente responsable en el uso de tecnologías de la información y la comunicación, en un claro proceso de re-victimización; no es menos cierto, que el objetivo que perseguimos desde estas líneas es empoderar y fortalecer al eslabón más débil de la cadena de ciberseguridad: el usuario.

Desde luego que, para obtención de dicho objetivo, esta no puede ser la única estrategia, puesto que el principio reseñado no es inocente; habida cuenta de compartirse sobre tablas, deja fuera las oportunidades generadas por los fabricantes de tecnología informática, ingenieros de software y diseñadores o administradores de sitios web en sus responsabilidades de generar entornos digitales seguros; en otras palabras, los ecosistemas digitales son inseguros por defecto.

Con los últimos estertores de este intento vano, "La Policia de la Memoria" golpea insistente la puerta de silicio que ha comenzado a abrirse, vociferando a paso firme que viene a requisar esta advertencia; mientras "El Alquimista" contempla atónito esa escena, repite con los ojos ciegos bien abiertos y por lo bajo un conjuro contra cualquier hechizo de inmortalidad: Dios, que sabe de alquimia, lo convierte en polvo, en nadie, en nada y en olvido.

(*) Juez en lo Civil y Comercial de la Provincia de Buenos Aires. Docente de Grado y Posgrado en Universidades y Organismos Nacionales y Extranjeros. Investigador. Autor de obras individuales y coautor en obras colectivas. Miembro admitido por la Asamblea General de Naciones Unidas del Comité Ad Hoc para la elaboración de una Convención Internacional sobre la Lucha contra el Uso de las Tecnologías de la Información y de las Comunicaciones con Fines Delictivos de la ONU. Profesor invitado en las universidades Santa Marta La Antigua de Panamá, en la Escuela Judicial "Rodrigo Lara Bonilla" de Colombia, en el I.N.S.J.U.P. del Órgano Judicial de Panamá, en el Superior Tribunal de Cali en Colombia, en el Rotary de Guadalajara, México. Especialista convocado por las Comisiones de Derechos y Garantías y de Justicia y de Asuntos Penales del Honorable Senado de la Nación. Gerenciador, tutor y consultor en más de treinta organismos jurisdiccionales. Miembro de Red Internacional de Justicia Abierta.