Por: GASA (Global Anti-Scam Alliance)
Las estafas en línea se han convertido en una epidemia global. Los consumidores de todo el mundo perdieron aproximadamente $55 mil millones como resultado de las estafas en línea. El trauma social y emocional ni siquiera puede ser medido. En muchos países, las estafas en línea son el tipo de delito más denunciado, como en el Reino Unido, donde el 41% de todos los delitos denunciados están relacionados con el fraude en línea, y el 50% en Singapur.
Además, la pérdida probablemente sea una subestimación grave, ya que solo se informa el 7% de todas las estafas en línea. Debido a que solo el 0,05% de todos los ciberdelincuentes son capturados, y nuevas tecnologías como Deep Fakes y ChatGPT están haciendo cada vez más difícil que los consumidores y las autoridades identifiquen el engaño, las estafas en línea seguirán creciendo y prosperando.
Los gobiernos y las empresas de seguridad se centran principalmente en combatir el "gran cibercrimen" que apunta a (grandes) corporaciones e infraestructuras nacionales. Sin embargo, esto ignora el hecho de que las estafas en línea también están perjudicando a los consumidores y disminuyendo su confianza en la economía digital global que ahora representa el 15,5% del PIB mundial. Esto es inaceptable, y se debe hacer más para proteger a los consumidores de todo el mundo.
En el 3º Global Anti-Scam Summit, en noviembre pasado, 1,300 participantes (virtuales y físicos) formularon colectivamente 10 recomendaciones para mejorar la protección del consumidor contra las estafas globales. Este documento resume estas recomendaciones y pretende inspirar a las instituciones internacionales y a los gobiernos nacionales a tomar medidas para hacer que él Internet sea más seguro para todos.
En el 4º Global Anti-Scam Summit definiremos aún más cada una de las Diez Recomendaciones para Contrarrestar las Estafas.
1. Aumentar la conciencia del consumidor a nivel nacional, de manera unificada y continua
Por qué: en la mayoría de los países no existe una estrategia nacional única para concienciar a los consumidores sobre qué son las estafas, cómo protegerse de ellas y cómo denunciar los fraudes en línea. Las campañas para educar y aumentar los conocimientos sobre las tramas fraudulentas suelen estar fragmentadas entre organismos gubernamentales e industrias. Estas iniciativas suelen adoptar la forma de llamamientos singulares y puntuales, carecen de uniformidad en el enfoque y a menudo aconsejan acciones que están desfasadas (como comprobar el certificado SSL o las reseñas de los consumidores). Su impacto no suele evaluarse científicamente, por lo que sigue siendo desconocido.
Cómo: Se han realizado varios estudios para medir la eficacia de la formación en ingeniería antisocial. Destacan la importancia de la interactividad (gamificación), el contacto con el usuario, el enfoque en un tipo específico de estafa y la formación continua. Se necesita un programa unificado, nacional y continuo de concienciación basado en las Mejores Prácticas internacionales, que incluya la educación desde la escuela primaria hasta las residencias de ancianos, cuyos resultados estén científicamente probados, y financiado centralmente en colaboración con la industria.
Quién: El establecimiento de una asociación público-privada (APP) nacional con la participación del gobierno, las fuerzas del orden, la protección de los consumidores, las industrias financiera, de telecomunicaciones, de internet y otras relacionadas representa una línea de acción racional. Este enfoque ofrece ventajas a todas las partes interesadas al promover un entorno de uso de internet más seguro para los consumidores y aprovechar el "poder de marketing" colectivo para aumentar la concienciación. En particular, la iniciativa Friends Against Scams (Amigos contra las estafas) del Reino Unido representa un ejemplo de buenas prácticas en este ámbito. Este programa ha formado a más de un millón de ciudadanos utilizando un enfoque de "formación de formadores" de gran éxito.
2. Facilitar una plataforma de denuncia en línea nacional y sencilla
Por qué: Se calcula que en todo el mundo sólo se denuncian el 7% de las estafas. Las causas varían. Desde un sentimiento de vergüenza por parte de la víctima, hasta no saber dónde denunciar una estafa (al igual que la sensibilización, la denuncia del fraude suele estar repartida entre múltiples partes interesadas). Del mismo modo, muchas víctimas creen que denunciar no sirve de nada o es demasiado complicado. En muchos países, ciertos tipos de estafas deben denunciarse a organismos específicos (policía, autoridades financieras o autoridades de consumo) y no existe la posibilidad de denunciar el fraude en línea. La triste realidad es que muchas víctimas no pueden denunciar una estafa porque las autoridades se niegan a registrar la denuncia alegando que la víctima "debería haberlo sabido".
Cómo: El Internet Crime Complaint Center (IC3) del FBI y Action Fraud del Reino Unido son organizaciones que demuestran las mejores prácticas para la denuncia nacional de fraudes y ciberdelitos. Aunque Action Fraud del Reino Unido ha sido citada negativamente en las noticias recientemente por su mala ejecución y por tomar pocas "medidas", Action Fraud, junto con CIFAS y UK Finance, ha hecho más accesible la denuncia de la ciberdelincuencia y ha aumentado la conciencia política de que el fraude en línea se ha convertido en el delito número uno en el Reino Unido. La Comisión Federal de Comercio y el FBI han conseguido el mismo resultado en Estados Unidos. En general, los consumidores de estos países pueden denunciar las estafas en línea de forma centralizada y sencilla, aunque siempre es posible mejorar el proceso de denuncia.
La facilidad de denuncia tiene varios efectos positivos. Además de empoderar a las víctimas de estafas, también proporciona una plataforma para que las víctimas adviertan rápidamente a otros sobre vendedores dudosos. Las denuncias de estafas pueden convertirse rápidamente en alertas de estafa, lo que permite a los proveedores de servicios retirar sitios y servidores. La Policía holandesa, por ejemplo, ofrece una lista de sitios web dudosos. Antes de ser procesado formalmente, un sitio web se añade a esta lista tras haber recibido 3 denuncias formales.
Quién: Centro Nacional de Ciberseguridad del Consumidor de la Policía Comentario contra las estafas (ver recomendación 6).
3. Establecer un apoyo interinstitucional a las víctimas del fraude
Por qué: las estafas son el único delito en el que se cae. La asociación con el fraude en línea sigue siendo que la víctima es la culpable. Sin embargo, a medida que los estafadores avanzan en la captación de objetivos, la tecnología y la metodología delictiva, ha quedado dolorosamente claro que cualquiera puede ser estafado. La estafa adecuada sólo tiene que encontrar a la persona adecuada en el momento adecuado. Es esencial que no se culpe a la víctima, sino al delincuente. Ayudar a las víctimas de estafas no sólo es humano. Es esencial ayudar a las víctimas a convertirse de nuevo en ciudadanos contribuyentes y evitar que vuelvan a ser objetivo de los estafadores al acabar en las "listas del burro" de los ciberdelincuentes.
Cómo: Las víctimas de estafas deben recibir el mismo apoyo que las víctimas de cualquier otro delito a todos los niveles (desde el municipal hasta el nacional) y desde todas las perspectivas (recuperación del dinero, social/psicológica y técnica, por ejemplo, ofreciendo herramientas gratuitas de protección contra estafas y limitando las opciones de transferencia bancaria). Un servicio de asistencia en caso de fraude puede ayudar a las víctimas a encontrar las organizaciones adecuadas en relación con todos los aspectos del fraude e, idealmente, uno que no sólo dirija a la víctima a los distintos proveedores, sino que también asuma un papel activo en el "proceso de recuperación".
Quién: La asociación público-privada nacional sugerida en nuestra primera recomendación, puede tomar la iniciativa si no existe ninguna organización de apoyo a las víctimas. En los países en los que existe una organización de apoyo a las víctimas, se recomienda ampliar sus estatutos y su apoyo financiero. También se recomienda recurrir a voluntarios. A muchas víctimas de estafas que se han recuperado, les gustaría ayudar a otras víctimas a resurgir también. Las mejores prácticas son la iniciativa The Cyber Helpline en el Reino Unido, Fraudehelpdesk en los Países Bajos e IDcare en Australia.
4. Desarrollar herramientas infraestructurales para proteger a los consumidores
Por qué: Aunque la concienciación sobre las estafas es importante y útil, investigaciones recientes muestran que una mayor concienciación por sí sola no reduce la victimización. Ya no se puede esperar que los consumidores identifiquen todas las estafas por sí mismos. La regla "si es demasiado bueno para ser verdad, probablemente lo sea" ya no se aplica, pues los estafadores profesionalizan sus tácticas. Nuevas tecnologías como Deep Fakes y ChatGPT hacen casi imposible, incluso para los expertos, identificar el engaño, por no hablar de los consumidores. Se necesitan herramientas y medidas preventivas para ofrecer a los consumidores una protección adicional.
Cómo: Se ofrecen varias herramientas comerciales para advertir, filtrar o bloquear las estafas en línea. Algunas empresas antivirus, como F-Secure y Trend Micro, ofrecen un paquete completo de protección contra estafas para móviles y ordenadores de sobremesa. Asimismo, cada vez más escuelas y empresas integran la protección contra estafas en sus filtros de Internet utilizando los servicios de proveedores como NetSweeper y DNSfilter. La protección a nivel de infraestructura es necesaria debido a que los consumidores a menudo no utilizan ni actualizan estos productos, si es que los compran.
Quién: El Centro Nacional de Ciberseguridad del Consumidor (véase la recomendación 6) puede establecer una protección contra las estafas a nivel de infraestructura de Internet para proteger a los consumidores en estrecha colaboración con los proveedores de servicios de telecomunicaciones e Internet. Ejemplos de buenas prácticas son el Escudo Antiphishing de Bélgica, Quad9, un resolver DNS suizo sin ánimo de lucro, y el navegador antifraude de Taiwán. El resolver DNS europeo puede ser una alternativa futura para proteger a los ciudadanos en Europa.
5. Rastreabilidad transfronteriza del fraude
Por qué: Internet está pensada para facilitar la comunicación global, no para anonimizarla. Aunque las personas tienen derecho a la privacidad, las empresas no, ya que suministran productos y servicios a consumidores y empresas. El actual Reglamento General de Protección de Datos (RGPD) se ha llevado demasiado lejos, protegiendo más a los delincuentes que a los consumidores, a pesar de la intención original. Los principios del RGPD y el fomento del derecho a la intimidad de las personas no deben ofrecer a los delincuentes la posibilidad de operar en la sombra. En efecto, las estrictas leyes del RGPD reducen el acceso a información y datos públicos que pueden utilizarse para ayudar a prevenir o desbaratar actividades delictivas. Además, los principales principios del RGPD son proteger a los consumidores de las empresas y los delincuentes que recopilan sus datos personales sin el conocimiento y el permiso de la persona. Con los cambios pertinentes en el GDPR, este principio puede coexistir con un sólido intercambio de información para prevenir la ciberdelincuencia.
Cómo: Se requiere un equilibrio más efectivo entre la aplicación de la ley y la protección de la privacidad. La legislación vigente sobre el GDPR debe modificarse para distinguir entre empresas y personas. Si se vende un servicio o producto, los datos son corporativos, aunque la persona que gestiona la empresa o proporciona el producto o servicio sea una persona física. En el caso de una empresa, tiene que quedar claro quién vende un producto o servicio, incluidas las formas directas de ponerse en contacto con esa entidad. En la práctica, esto significa el restablecimiento de los datos WHOIS (que serán sustituidos por RDAP) para garantizar que se pueda identificar al propietario de un dominio.
Sin embargo, esto no debe detenerse en un dominio. Toda la cadena de valor necesaria para vender productos o servicios, debe hacer cumplir el KYC y hacer transparente quién es la parte oferente. Lo mismo ocurre con las cuentas de los vendedores en los mercados y en las redes sociales. Del mismo modo, es crucial poder identificar la organización que envió un paquete (el origen del remitente es especialmente importante para la identificación de productos falsos) y ver el sitio web y el nombre de la empresa que realizó el cargo en su cuenta en el extracto de su tarjeta de crédito.
Quién: Cada parte de la cadena de valor tiene su asociación industrial mundial que puede facilitar la trazabilidad del fraude, por ejemplo, ICANN para los dominios, la Unión Postal Universal para los paquetes, la Unión Internacional de Telecomunicaciones para los mensajes de texto, etcétera. Si la industria no actúa, la legislación (inter)nacional es el siguiente paso lógico.
Haga clic aquí para leer el artículo original de GASA (Global Anti-Scam Alliance).
Expertos en crear contenido relevante de ciberseguridad externa para hacer de internet un lugar más seguro.