Venían creciendo año a año, pero la pandemia y la irrupción del trabajo remoto dejaron el campo fértil para que explotaran los ciberdelitos. Si en la oficina se trabaja en equipos protegidos, en la casa se pasó a usar computadoras domésticas, compartidas con los hijos. Esto amplió las vulnerabilidades para ser atacados.

Además, los ciberdelincuentes se aprovecharon del incremento de las comunicaciones virtuales. Así, comenzó a pulular la clonación de sitios de empresas reconocidas con el fin de ganarse nuestra confianza y mediante un click compartir contraseñas que permitan concretar la estafa conocida como phishing, que hoy es furor. A veces, es el primer paso para la extorsión que surge cuando se encriptan datos y se pide un dinero para liberarlos: el ransomware. Para combatir este auge, Cabildo Abierto propuso un proyecto de ley que crea nueve ciberdelitos. Anteriormente, otros cinco proyectos no vieron la luz.

Las extorsiones por contenidos sexuales, las estafas y la pornografía infantil están detrás de la mayoría de las investigaciones que realiza el Departamento de Delitos Informáticos del Ministerio del Interior. En 2020 recepcionó 1.700 denuncias y en 2021 ya superan las 800. Estas cifras excluyen a las denuncias por difamación e injurias en redes sociales, así como a la mayoría de las estafas electrónicas que son investigadas sobre todo por el área de Delitos Financieros; por eso se estima que el número total de denuncias por cibercrímenes es “muchísimo más alto”, indican desde el ministerio.

El pronóstico para el futuro no es bueno. Si los delitos virtuales ya venían creciendo, la pandemia y la irrupción del trabajo remoto habilitaron un campo fértil para que se multipliquen y diversifiquen con la misma celeridad que el COVID-19.

Sucedió que, con el home office, las empresas que tenían a sus estaciones de trabajo protegidas pasaron a tener un perímetro indefinido. La experta en ciberseguridad Ethel Kornecki lo explica así: “Si antes en la oficina trabajábamos en equipos protegidos por especialistas en seguridad e informática, ahora usamos equipos domésticos, que compartimos con nuestros hijos para las clases y para que jueguen. En consecuencia, esos equipos empiezan a tener más vulnerabilidades”.

Lo de las vulnerabilidades es un eufemismo para advertir lo fácil que es que cualquiera de nosotros sea blanco de un ataque virtual sin siquiera sospecharlo. Por un lado está la desprotección que menciona Kornecki y por otro lado nuestra receptividad. En ocasiones, frente a una estafa se puede pecar de exceso de confianza. “Nadie debería pensar que va a ganar un millón de dólares porque se lo dicen en un mail, ni que va a obtener un iphone de regalo porque sí, ni realizar una transferencia bancaria en una red de wifi pública que puede ser interceptada y redirigida hacia otra cuenta”, advierte Kornecki. Pero pasa.

El fiscal de flagrancia Leonardo Morales cuenta que últimamente recibió casos de personas mayores contactadas por delincuentes que, tras estudiarlos en redes sociales, fingieron ser un pariente que llega del exterior con un regalo. “Luego los llamó un supuesto aduanero para decirles que en la valija hay 400.000 dólares pero que, para recibirla, deben pagar un impuesto que alterna entre 100.000 y 200.000 pesos mediante una compañía de logística internacional. Y lo hacen”.

Hay otras ingenierías más difíciles de identificar. Como la pandemia nos obligó a estar más tiempo en casa, las empresas buscaron conectarnos por vías virtuales. Los ciberdelincuentes se aprovecharon y diseñaron decenas de estrategias de estafas que utilizan la clonación de sitios web de organizaciones conocidas.

Suplantando la identidad de empresas como Netflix o Amazon; inventando promociones de compañías de teléfonos o beneficios en farmacias; prometiendo regalos o replicando sorteos en cuentas falsas; simulando ser instituciones financieras que solicitan un cambio de clave mediante un mail o mensaje de texto; o robando las fotos y nombres de personas y generando enlaces a cuentas inexistentes de contenido erótico o pornográfico han logrado concretar el delito que más creció en la época del COVID: el phishing.

“El phishing en 2021 es furor”, dice Winston Rodríguez, director de Delitos Informáticos, y cita el resonado caso de tres adolescentes de Treinta y Tres que estafaron más de tres millones de pesos clonando la página del Banco República y engañando a las víctimas al pedirles que actualizaran su información ingresando a determinado link. “Estudiaron a quién estafar: eligieron a las víctimas analizando cuánto ganaban”, dice.

Estos “anzuelos” pululan en todos los dispositivos tecnológicos. Si caemos y damos nuestros datos en la web camuflada, del otro lado habrá un delincuente “pescando” credenciales y contraseñas para así estafarnos. O puede haber más.

ATAQUE FEROZ. A veces el phishing es solo el paso previo para un delito mucho más dañino: el ransomware. En este caso, tras obtener las credenciales se instala un programa malicioso —un malware— que encripta los datos. Para liberar la información secuestrada se exige dinero, lo que constituye una extorsión.

Este tipo de ataque cortó la iluminación de Portugal por un día, en Estados Unidos dejó inoperante a la principal proveedora de gasolina de la Costa Este y recientemente paralizó a la mayor procesadora de alimentos del mundo. “Y esto recién empieza”, advierte Kornecki. Cada vez avanzan hacia operativas más críticas, por ejemplo afectando a sanatorios. “¿Qué pasaría si pudieran alterar una historia clínica y cambiar la indicación de medicación? ¿O manipular a un robo? ¿O controlar un sistema de calderas de una fábrica generando una explosión?”, plantea la experta y quita el aliento.

Estas historias de ciencia ficción ya están pasando en Uruguay, aunque con mayor discreción. “Las universidades y el gobierno están trabajando en esto —por ejemplo a través de la Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento (Agesic)—; tenemos un centro de respuesta de incidentes que monitorea los ataques y ha logrado mitigar muchos que podrían afectar al gobierno”, dice la experta.

Pero la contracara es que no todas las empresas son conscientes del problema y, así como hay algunas muy protegidas, otras tiene su guardia muy débil. “Estoy asesorando a una empresa importante que tiene un lío grande de este tipo”, cuenta el abogado Andrés Ojeda. “Les llegó un mail en inglés: es la extorsión tradicional hecha por medios electrónicos. El problema es que ante la denuncia la respuesta es nula porque más allá de lo legislativo, no tenemos la operativa para perseguir este tipo de delincuente”.

Si bien la norma indica que ante una supresión de datos personales la empresa afectada debe avisar a Agesic, la especialista Kornecki dice que no sucede en todos los casos ya que asumir un ciberataque podría “afectar la imagen” de una firma. No quieren parecer frágiles. No lo reconocen y terminan pagando a los delincuentes. “Lo peor es que nada asegura que esos datos que estaban secuestrados no se usen para nuevos delitos”, señala.

Mientras tanto Uruguay sigue sin adherirse al Convenio de Budapest, el primer tratado internacional que en 2001 le plantó batalla a la delincuencia virtual y que permite una cooperación fundamental entre los países miembros, entre los que se sumaron —en los últimos años— Paraguay, Argentina y Brasil.

“El paradigma de la investigación cambió con los ciberdelitos porque la evidencia la tenés que buscar en el extranjero; es volátil, se duplica y se borra”, expone el investigador Rodríguez. Para afrontar esta batalla, la Policía necesita más personal y mejor capacitado —hoy son 13 funcionarios en Delitos Informáticos— y una inversión continua en equipos costosos. “Ningún software te baja de 10.000 dólares, y a veces comprás uno carísimo y a los tres meses ya no sirve”, plantea. El abogado Ignacio Durán tuvo un caso “muy grande” en el que el ciberdelincuente operaba conectándose desde la plaza de comidas de un shopping y, cuando fue la Policía, no pudo dar con él porque no tenía la tecnología adecuada para localizar la IP del sospechoso.

Además de lo anterior, una herramienta esencial en estas investigaciones es la cooperación internacional. Sumarse al convenio de Budapest permitiría “agilizar” las investigaciones, ya que habría un mejor intercambio de información entre los países miembros (en vez de recurrir a los exhortos, que son más lentos) y “aumentaría el margen” para que las empresas de redes sociales respondan las solicitudes de información más seguido y a más delitos de los que suelen responder, que son el terrorismo, la pornografía infantil y las amenazas de muerte.

Empresas sufren ataques, pero para cuidar su imagen suelen pagar las extorsiones a los ciberdelincuentes.

UNA LEY EN CAMINO. Enrique Rodríguez, fiscal especializado en delitos económicos y complejos, fue designado como punto de contacto entre la Fiscalía y la Ciberred, una red de fiscales de Iberoamérica creada para actuar de forma coordinada en la lucha contra el cibercrimen y