Todo parecía normal y pintaba para ponerse mejor. Carlos “N” perfilaba un viaje de trabajo a Estados Unidos y, en sus planes para disfrutar de sus ratos libres, decidió recurrir a una aplicación de citas. El match, aparentemente, tenía las cualidades que él estaba buscando, pues las imágenes que observaba desde su celular retrataban a una persona vinculada al mundo empresarial y a la buena vida: viajes, eventos de negocios, yates, restaurantes de moda… Así, sin perturbaciones, se dejó llevar sin oponer resistencia.

El universo online lo llevó a perder de vista los detalles. La conversación virtual viajó de un tema a otro: política, viajes, música, cine, hasta que llegó a un capítulo que estimuló a Carlos “N” y lo llevó a pensar que estaba protagonizando el encuentro perfecto. Las criptomonedas y sus exorbitantes beneficios en plataformas por internet capturaron toda su atención y, lo que vino después, fue la historia de un fraude por dos millones de pesos.

Hoy, en los próximos minutos, ocurrirá un hecho que nadie puede evitar. Los ciberdelitos registran picos históricos al alza y, a raíz de su sofisticación, nadie se salva de recibir todos los días, en cualquier momento, una invitación para caer en alguna de sus modalidades. De acuerdo con reportes policiacos, la ciberdelincuencia se vale de fotos, sitios de internet falsos, redes sociales, mensajes de texto, para cazar víctimas a las que puedan acosar, amenazar, chantajear, arrancarles pequeñas cantidades de dinero y, si la trampa es extraordinariamente engañosa, vaciarles sus cuentas.

“Todos los días, el cuerpo humano está sujeto a virus y bacterias que nos enferman y, a veces, ni nos damos cuenta. Así como a cualquiera nos puede dar una gripa, de la misma manera podemos estar expuestos a un potencial intento de ciberdelito”, advierte Clara Luz Álvarez, secretaria ejecutiva del Consejo Ciudadano de Seguridad Pública (CCSP) de la Ciudad de México. “Es inevitable”.

De enero a octubre de 2024, el ciberdelito más reportado ha sido bajo la modalidad de ‘montadeuda’, seguido por los robos de identidad, fraudes por internet, sextorsión y robo de cuentas de WhatsApp.

Nadie se salva. Las mujeres están muy expuestas al acoso cibernético. Los menores de edad, al ingresar a un juego en línea, corren más riesgos de hablar con un pederasta. Los vendedores de drogas están a la caza de adolescentes. Los adultos pueden caer ante una aparente venta de electrodomésticos, autos, ofertas de trabajo, trámites de gobierno…

Cada día, se comete un ciberdelito. Hoy, por ejemplo, está en boga una modalidad que se perpetra por WhatsApp y consiste en lanzar ofertas de trabajo en las que se pide darle like a determinadas publicaciones y, a cambio, hay un pago de 50 pesos por cada reacción. Muchos usuarios han caído en la trampa pues, luego de recibir 500 pesos en una hora, ni por asomo se percatan de que han dejado que un malware (un tipo de software que se diseña para dañar o infectar los dispositivos) se aloje en su dispositivo.

El fraude ahí apenas empieza: al ver que las transferencias por likes caen rápidamente, en automático, los ciberdelicuentes provocan en sus víctimas la sensación de querer más, por lo que les solicitan una cantidad de dinero para formar parte de un selecto club en el que solo están los que pueden ganar más plata sin tanto esfuerzo. Hasta el momento, hay personas que no saben a dónde se fue la transferencia que realizaron por más de 30 000 pesos.

Para el desarrollo de esta historia se buscó, infructuosamente, a la Policía Cibernética adscrita a la Guardia Nacional. Por su parte, la Policía Cibernética, dependiente de la Secretaría de Seguridad Ciudadana (SSC) de la Ciudad de México, hoy se mantiene bajo alerta ante la inminente temporada en la que se espera un pico de ciberdelitos. Noviembre y diciembre de 2024 son meses “calientes”.

El origen del mal

La ciberdelincuencia no surgió por generación espontánea. El mundo digital es una emulación del mundo físico. Todo lo bueno y todo lo malo que ocurre en la vida analógica está viajando hacia el mundo del internet. Hoy, la tecnología está evolucionando a una velocidad extraordinaria, de tal forma que estamos ya en la quinta generación de las redes de telecomunicaciones que habilitan una conectividad fascinante y que genera oportunidades, igualdad, habilita los derechos humanos en la red, pero también cuenta con “puertas oscuras” a través de las cuales se maquinan los delitos más sofisticados y los fraudes más inimaginables.

En un inicio, las vulnerabilidades en internet estuvieron motivadas por cuestiones de inteligencia militar, después por negocio y competencia (con la industria de los virus). Pero, cuando su uso se popularizó con las computadoras y todos los dispositivos móviles, el demonio empezó a deambular y se materializó en suplantación de identidades de personas, fraudes bancarios, hackeos, acosos sexuales, entre otras malas mañas.

La ciberdelincuencia se originó cuando tuvo la posibilidad de meterse a las casas, sin tocar ninguna puerta, y ahora opera libremente y sabiendo, en algunos casos, las actividades de todos los miembros de la familia, las preferencias y gustos de cada uno, su comida preferida, sus horas de sueño, sus secretos mejor guardados…

Los ciberdelincuentes pueden recurrir a sofisticados sistemas para obtener información de sus víctimas y fraguar sus fechorías. Sin embargo, una de las herramientas más usadas es lo que los cuerpos de policía han llamado “ingeniería social”, que consiste en manipular a sus potenciales víctimas mediante diferentes estrategias para obtener más información de ellas y así cometer el ciberdelito: envían una “atenta” invitación por celular para obtener una atractiva promoción, activan un enlace por una supuesta entrega de un paquete a domicilio, advierten de una presunta infracción de tránsito y hasta solicitan el pago de impuestos.

“La ingeniería social es el modus operandi más común del que se tiene registro y, probablemente, el método de engaño más antiguo, y se ejecuta cuando te llega un mensaje de texto avisándote de un cargo no reconocido, en una oferta de empleo, al darle like a algún video o foto, pero también cuando recibes una llamada de un aparente familiar que supuestamente está en problemas”, explica Alejandro Espinosa, miembro de la Policía Cibernética de la SSC de la Ciudad de México.

En otras palabras, la trampa comienza a funcionar cuando la potencial víctima confía en que a ella nunca le pasará nada malo. Ciertamente, la confianza, en todas las facetas de la vida, es una gran herramienta para superar todas las dificultades. Sin embargo, en este caso, provoca descuidos y una tendencia a pensar que todo está bien.

Carlos “N” no tenía la menor duda de que había encontrado una amistad con la que también podía hacer negocios. El mundo de las criptomonedas lo llevó a hablar de más y fue así como depositó su confianza y 50 000 pesos en una plataforma de criptomonedas de origen chino. Si bien todos los encuentros habían tenido lugar de manera virtual, nada parecía artificial, el sitio corporativo integraba hasta un tablero de transacciones y, lo mejor, los rendimientos de su primera inversión. Era el negocio ideal. ¿Qué instrumento financiero podía ofrecer rendimientos mensuales superiores al 20% en cada inversión?

La acumulación de confianza derivó en mala fortuna. En cada operación invertía más dinero y sus ganancias se multiplicaban. No todo era negocio. La plática sabrosa en torno de los viajes, la comida, la vida diaria, contribuía a consolidar la relación. Era el momento de invertir más. ¡Por qué no 200 000 pesos! Ahí la mesa estaba puesta para pensar en grande.

Ese día recibió la noticia de que un grupo de inversionistas tenía planeado inyectar más dinero en un gran movimiento de criptoactivos, que, supuestamente, les traería jugosos dividendos. La sensación de certeza que lo hacía pensar que, en cosa de días, aumentaría su prosperidad, lo llevó a dejarse seducir por la ambición.

Carlos “N”, dada la magnitud de la operación, debía compartir toda su información personal y financiera, pero la tragedia ocurrió cuando convenció a su papá y a su hermano de usar sus ahorros para aumentar su apuesta y transferir dos millones de pesos al sitio de internet, su mina de oro virtual. Grave error.

Hoy vivimos en el peor de los mundos: hay una tendencia a pensar que solo unos cuantos caen en las garras de la ciberdelincuencia y, en consecuencia, la cultura de prevención frente a esta es bastante incipiente, pero el problema radica en que todos los delitos cibernéticos registran altos grados de especialización.

No es todo. Los ciberdelicuentes no necesitan de la colaboración de alguna autoridad para operar libremente y, simplemente, maquinan y ejecutan sin la complicidad de un agente externo. Al mismo tiempo, pueden estar en cualquier lugar o en ninguno, operar en la misma zona geográfica en la que cometen el ciberdelito o a miles de kilómetros, con un sistema de computadoras interconectadas y con la participación de muy pocas manos.

Alejandro Espinosa, de la Policía Cibernética de la CDMX, advierte que viene una temporada alta para los ciberdelitos, a raíz de las compras de cierre de año.

De acuerdo con el CCSP de la Ciudad de México, los ciberdelitos están al alza. En tasas porcentuales, durante los primeros 10 meses de 2024 se reportó un incremento de casos de 42%, respecto al mismo periodo de 2023. Entre enero y octubre del presente año, se reportaron 17 733 ciberdelitos; de esta cifra, 56.6% ocurrió bajo el delito conocido como “montadeuda”, seguido por los robos de identidad (15.4%), fraudes por internet (12%), sextorsión (8.3%) y robo de cuentas de WhatsApp (5.4%), entre otras modalidades.

El menú de ciberdelitos es vasto y se espera que otros se sumen conforme avance el desarrollo tecnológico. Entre los más recurrentes, destacan los siguientes:

Montadeudas: es un fraude que se comete bajo la promesa de préstamos exprés, mediante aplicaciones móviles que son descargadas por usuarios que están en la búsqueda de algún respiro económico; en menos de 15 segundos, los usuarios entregan información personal, bancaria y laboral, así como contactos de clientes, fotos familiares o videos guardados en el teléfono.

Grooming: es aquel en el que adultos se hacen pasar por menores de edad para contactar a niñas, niños y adolescentes por medio de internet, con el propósito de ganar su confianza, acosarlos y chantajearlos con fines sexuales.

Sexting: es una práctica que consiste en el envío de imágenes o videos con contenido sexual mediante un dispositivo y se produce cuando el material se comparte sin la autorización de la persona que lo generó.

Spoofing: suplanta la identidad de una persona, empresa o entidad para obtener información confidencial, con el objetivo de que las víctimas crean que están interactuando con una fuente confiable, cuando en realidad hay un ciberdelincuente robando su información personal o financiera.

Smishing: ocurre mediante mensajes SMS a un teléfono móvil, con la finalidad de que el usuario visite una página web fraudulenta y así sea posible capturar su información bancaria para realizar transacciones en su nombre.

Pharming: consiste en redirigir a una página de internet falsa mediante ventanas emergentes para robar información; suelen mostrar leyendas como “¡Felicidades, eres el visitante un millón, haz clic aquí para reclamar tu premio!”.

Viva la impunidad

Las historias de policías y ladrones suelen estar cargadas de emociones de alto impacto. En el mundo digital hay también eso, pero además hay dos elementos que fortalecen la percepción de que los ciberdelincuentes operan en un contexto inmejorable para sus perversos fines: impunidad y muy poca data en torno del quebranto económico que provocan.

El CCSP informa que la mayor parte de los ciberdelitos reportados tiene que ver con fraudes que oscilan entre los 1 000 y los 2 500 pesos, mientras que una porción muy pequeña (1.2% de los delitos reportados) involucra un monto superior a los 100 000 pesos. Sin embargo, Clara Luz Álvarez no tiene la menor duda: hay una cifra negra de ciberdelitos; es decir, hay muchos más que no se reportan y, por si esto no fuera suficiente, no se tienen datos del número de casos resueltos y que hayan llevado a los ciberdelicuentes a prisión. La impunidad en su máxima expresión.

Si bien las autoridades policiacas han desplegado estrategias para promover la cultura de la denuncia y la “alfabetización digital”, no existen cifras que permitan dimensionar el número de casos resueltos exitosamente; no se cuenta con información en torno de la desarticulación de las ciberbandas, mucho menos de los episodios en los que se haya registrado la reparación del daño. Es el paraíso criminal.

La incidencia de ciberdelitos aumentó a partir de la pandemia por covid-19, a raíz de la hiperconectividad provocada por el confinamiento, lo que a su vez intensificó la costumbre en las personas por abrir una aplicación, comprar en línea, vivir capturadas por las redes sociales y, entonces, estar expuestas a un ciberdelito.

En este momento, algo que llama la atención de la Policía Cibernética es la socialización de “retos”, cuyo modus operandi se explica así: lanzar en redes sociales un desafío que implica darle clic a una foto para que mediante una dinámica lúdica se comparta información personal y todo esté listo para fraguar el ciberdelito.

Las imágenes, a simple vista, pueden provocar una grata sensación que a su vez anime a compartirlas. Un mensaje de texto podría ser tan seductor que, sin ningún remordimiento, sería posible dejarse llevar por su narrativa. Pero no. Detrás de estos se esconde un malware, con la suficiente capacidad para encender la cámara de la computadora o el celular, grabar lo que la persona está haciendo, registrar todo lo que escribe y consulta. Es la versión moderna de un “caballo de Troya”.

“Debemos entender que el ciberespacio en el que estamos no es distinto al mundo físico. Las mismas precauciones que tienes tú para conducirte en el mundo físico son las mismas que tendríamos que llevar a cabo en el mundo digital. Por lo tanto, la desconfianza es una de nuestras principales armas de prevención”, explica Cynthia Solís, miembro del Consejo Consultivo del Instituto Federal de Telecomunicaciones. “Siempre habría que preguntarse lo raro que tendría una increíble oferta, la supuesta urgencia de un amigo; hoy más que nunca debemos ser muy desconfiados”.

De esta manera, en los expedientes policiacos están los efectos de retos conocidos como Desaparecer de casa, El que se duerma al último gana, Momo, El juego de la ballena azul, entre otros. Y, de un tiempo para acá, su principal gancho es popularizarse mediante alguna red social, con el objeto de viralizarse y capturar a la mayor cantidad de ilusos.

La “racionalidad” de los retos, aunque para muchos usuarios, sobre todo adultos, resulte inconcebible, es extrañamente pegajosa para los más jóvenes: es el caso de Momo, que se hizo famosa por WhatsApp y que no era otra cosa que una muñeca con ojos saltones, piel pálida y una sonrisa siniestra, que invitaba a niñas y niños a escribirle para que ella respondiera con imágenes violentas y agresivas.

Momo se extendió por todo el mundo, pero se siguió el rastro de los números desde los que salían las invitaciones para contactarla y las pesquisas detectaron que uno provenía de México. Su principal “cualidad” consistía en responder a cosas que, supuestamente, solo sabían los niños y nadie más. En su momento, muchas personas la relacionaban con algún fenómeno paranormal, cuando lo que en verdad ocurría es que un malware encendía la cámara frontal de los dispositivos y de ahí extraía información que posteriormente sería usada para fines ilícitos.

En la Ciudad de México, afirma el miembro de la Policía Cibernética de la SSC de la Ciudad de México, no se tiene registro de alguna muerte por los impactos sicológicos que han provocado los retos. “Pero sí existen a nivel nacional registros de personas que se han quitado la vida por ese tipo de consecuencias”.

Actualmente, la Policía Cibernética de la CDMX sospecha que, detrás de una promoción o una oferta de empleo, se aloja un virus que activa el ciberdelito.

El futuro y la “vacuna”

Sí, el futuro no pinta nada bien. La Inteligencia Artificial (IA), al margen de dotar de mayor sofisticación a la actividad humana, también incrementará su vulnerabilidad. “La IA tendrá la capacidad de poder explorar todas tus debilidades, tu vida privada en el mundo digital en tiempo real, por lo que con mucha facilidad podrá construir trampas deliberadas para vulnerar tu privacidad o cometer actividades ilícitas”, pronostica Jorge Fernando Negrete, presidente de Digital Policy & Law Group.

Los ciberdelitos, al paso de los años, serán más sofisticados porque habrá quienes aprovecharán, dolosamente, los beneficios que trae consigo la IA, con la que desde ahora ya es posible, por ejemplo, clonar la voz de una persona en un lapso de 30 segundos.

Así, los ciberdelitos del futuro parecerán cosa de la ciencia ficción, pero desafortunadamente no será así. “Hoy en día, si con cerca de sesenta clics Facebook tiene la capacidad de decirte quién eres tú, la IA podrá perfilarte en tiempo real y generarte zanahorias vestidas de los intereses que tú quisieras”, añade Jorge Fernando Negrete. “Además, con la IA generativa es posible copiar tu cara, tus ojos y retinas, para acceder rápidamente a tu dispositivo móvil. Entonces, no tengo la menor duda, se va a customizar el fraude”.

Frente a eso, al margen de la urgente necesidad de promover una cultura digital en las personas, el mundo de la ciberseguridad debe colocarse en el centro de las políticas públicas. Actualmente, la región más regulada en la materia es Europa, China es la gran caja fuerte del planeta, mientras que en América Latina ya se contemplan agencias nacionales de ciberseguridad en Colombia, Brasil, Chile. México viene de un periodo de oscurantismo digital.

Bajo estas circunstancias, las recomendaciones para no caer en las redes de la ciberdelincuencia toman un sentido de urgencia.

El primer consejo radica en impulsar desde las edades tempranas la concientización sobre los beneficios y riesgos que existen en el mundo digital. En segundo lugar, mantener las actualizaciones y adquirir las herramientas de seguridad tecnológicas. Tres, habilitar contraseñas distintas para cada dispositivo y recurrir a claves difíciles de rastrear.

En el caso de la Ciudad de México, ante un ciberdelito, las autoridades ofrecen un número telefónico de atención (55 5242 5100) y un correo electrónico (policia.cibernetica@ssc.cdmx.gob.mx). El CCSP de la CDMX brinda apoyo jurídico y psicológico gratuito las 24 horas del día en el teléfono 55 5533 5533. A nivel federal, ante una situación de riesgo o un fraude consumado, la Guardia Nacional pone a disposición el teléfono 088. Las entidades federativas, por su parte, también cuentan con sus unidades de Policía Cibernética: https://ciberseguridad.ift.org.mx/reporte_ciudadano.php. Al tiempo que la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros presta ayuda para la reclamación y elaboración de la denuncia correspondiente ante el Ministerio Público en el teléfono 55 5340 0999 y la dirección electrónica asesoria@condusef.gob.mx.

“Pongamos contraseñas seguras y cambiémoslas periódicamente. Si te encuentras un dispositivo USB cuando caminas por el parque, no lo uses porque es posible que alguien lo haya dejado ahí a propósito y tenga un software malicioso”, complementa Clara Luz Álvarez. “Si te llegan enlaces por correo electrónico a tu celular, no los abras y recuerda si compraste algo por internet”.

Por su parte, Cynthia Solís, quien también se desempeña como vicepresidenta jurídica de la Asociación de Internet MX, sugiere 10 puntos de precaución para comprar en línea de forma segura:

1. Usar sitios web confiables, elegir tiendas reconocidas y evitar enlaces sospechosos.
2. Verificar la URL; asegurarse de que esta comience con “https://” y muestre un candado en la barra de direcciones.
3. Buscar reseñas y revisar comentarios de otros usuarios en sitios como Trustpilot.
4. Evitar ofertas “demasiado buenas”: las promociones exageradas pueden ser fraudulentas.
5. No usar Wi-Fi público; conectarse desde una red privada para mayor seguridad.
6. Revisar los datos de contacto: las páginas legítimas incluyen dirección, teléfono y servicio al cliente.
7. Leer las políticas de privacidad y asegurarse de entender cómo gestionan la información del cliente.
8. Usar métodos de pago seguros y evitar transferencias directas u optar por tarjetas de crédito o plataformas de pago conocidas.
9. Desconfiar de sitios mal diseñados: los errores ortográficos y un diseño deficiente pueden indicar fraude.
10. Activar la verificación en dos pasos y agregar una capa extra de seguridad en las cuentas de compra.

Por otro lado, Actinver, ante un hackeo de WhatsApp, recomienda activar la verificación en dos pasos: Ajustes > Cuenta > Verificación en dos pasos > Activar; así como establecer un PIN de seis dígitos y añadir una dirección de correo de respaldo.

Las autoridades policíacas de la CDMX tienen una misión: promover la cultura de la denuncia y la ‘alfabetización digital’.

Finalmente, Cynthia Solís considera que hay cuatro desafíos en materia de ciberseguridad. Uno, combatir la obsolescencia que se tiene en la infraestructura tecnológica, lo que coloca a los usuarios en una alta vulnerabilidad. Dos, la falta de conciencia y educación. Tres, la escasez de profesionales que combatan la ciberdelincuencia. Cuatro, la creciente sofisticación de los ciberataques, lo que quiere decir que las actividades ciberdelictivas son una bomba de tiempo que ya está explotando y que, inevitablemente, seguirá cobrando víctimas. Hoy todos estamos expuestos.

Carlos “N” ya pagó el precio. Sus ahorros familiares están en poder de alguien que artificiosamente conoció en una aplicación de internet. La buena comunicación que sostenía con su match de pronto terminó. El silencio y las nulas señales sobre las ganancias que tanto esperaba, le hicieron pensar que algo andaba mal. Ya era demasiado tarde. Aquella alegría provocada por aquella primera cita virtual, finalmente, derivó en un amargo sabor que hasta la fecha persiste. Ya lo da por un hecho: aunque levantó una denuncia por fraude ante la Fiscalía General de la República, considera que nunca tendrá el dinero de regreso y, además, no descarta que un nuevo ciberdelincuente utilice su información y lo contacte para que esta historia se repita.

JONATHÁN TORRES, periodista y editor mexicano. Sus historias han sido publicadas en El Universal, Reforma, Expansión, Forbes EU y The Washington Post en Español. Fue director editorial de Forbes LATAM, dirigiendo las ediciones de México, El Caribe, CA y Colombia. Ahora es articulista de Expansión y socio fundador de BeGood, Atelier de Reputación y Storydoing.