Por Paul Bass
“Tenemos que atrapar in fraganti a los estafadores”, insistió “John”.
¿Sería el propio John el estafador?
En retrospectiva, John era obviamente el estafador. Yo debería haberlo sabido.
Pero me tenía tan asustado que me tomó una hora para darme cuenta.
Para entonces, ya se había infiltrado en mi computadora y estaba a punto de arruinar mi economía.
Comenzaba la batalla para impedir el ciberrobo.
Todo esto ocurrió hace unos días. Dos semanas antes había escrito un artículo sobre cómo, brevemente, estuve a punto de ser engañado por un estafador en línea y cuáles eran los pasos para asegurarme de que no volviera a ocurrir.
Y sin embargo, aquí estaba de nuevo: engañado todavía peor esta vez.
Quiero compartir lo que pasó -y lo que aprendí en el proceso- para que no le ocurra a más gente. Aunque no sean tan lerdos como yo a la hora de hacer clic en programas maliciosos.
La estafa comenzó, por supuesto, con un correo electrónico: una solicitud para enviar a alguien 1.499 dólares a través de PayPal.
El correo electrónico era igual a todos los que recibo de PayPal, hasta los gráficos y el tamaño de los puntos.
La solicitud era obviamente una estafa: No reconocí el nombre de la persona que lo solicitaba y no envío a nadie esa cantidad, que al parecer estaba por debajo de los límites de detección de fraudes.
Busqué en Google el nombre del solicitante: es de un juez federal.
“¿No reconoce esta solicitud?”, preguntaba el correo electrónico, como hace siempre.
Incluía un número de teléfono al que se podía llamar para obtener ayuda.
Marqué el número. Respondió un hombre con marcado acento hindú.
Se identifico como un empleado de PayPal.
Dijo que examinaría la situación.
Me dijo que unos “estafadores” habían pirateado mi cuenta.
Según dijo, ya estaban llegando nuevas solicitudes.
De hecho, siguieron llegando solicitudes por valor de 1.499 dólares de nombres que no reconocía, como Gary Golkiewicz (otro jurista federal, según parece) y Tori Towns.
Le pregunte al empleado por su nombre.
Dijo llamarse “John Thomas.” Dijo que podía ayudar.
Me puso en espera varias veces para consultar con un “supervisor” y después volvió con nuevas instrucciones.
Me pidió que mantuviera la calma
Me estaba resultando difícil entenderle; eso no ayudaba.
“John” me envió por correo electrónico un enlace que debía utilizar.
Pensándolo bien, no puedo creer que le hiciera clic. Confié en él.
Miré el correo electrónico de “payPal”: la dirección del remitente era efectivamente “service@paypal.com<service@paypal.com>”.
Supongo que pensé que era perspicaz por comprobar, ya que a menudo los estafadores se delatan a sí mismos haciendo aparecer una dirección diferente entre los corchetes.
Terminé descargando y abriendo el programa que me envió John.
Entonces me dijo que abriera PayPal. Lo abrí. La pantalla se quedó oscura.
De nuevo me entró pánico. Me garantizó que estaban “ resolviendo” el “problema” y atrapando a los “ estafadores”.
Luego me preguntó por la cuenta bancaria asociada a la cuenta PayPal.
Segui las instrucciones (Lo sé; de forma imbécil) y abrí esa cuenta. La pantalla volvio a quedarse a oscuras
Volvió a aparecer. John dijo que estaba transfiriendo algún dinero a mi cuenta de PayPal como parte de la solución del problema.
Pues sí, comencé a preguntarme si no sería él el estafador.
“Usted tiene mi nombre”, dijo John. “Tiene mi número. Mire el email. Es de PayPal.” La llamada estaba a punto de durar una hora; se aproximaba el atardecer.
Una voz femenina grabada intervino en la llamada en el minuto 59. Dijo “61”. Segundos más tarde dijo, “31”. Luego “1y la llamada se cayó.
Frenéticamente volví a llamar a John. Respondio. Parecía sorprendido cuando describí la voz femenina.
Entonces me pidió que mirara mi pantalla.
Mostraba los lugares más cercanos a mi casa donde se podía comprar criptomoneda.
Me dijo que debía ir a la sucursal de mi banco para recoger el dinero que me enviaría, sacar el dinero, luego ir al punto de venta de criptomonedas de Orchard Street, porque “tenemos que atrapar a los estafadores en acción”.
¿Ir al banco? Ahora hasta a mí me pareció sospechoso.
Ahora no sabía qué hacer. Por suerte, estoy casado con Carole, que pasaba por la habitación en la que yo estaba.
Le dije que “John” quería que fuera al banco a sacar dinero que iba a enviar.
Tenía a “John” en el altavoz.
“Queremos una grabación de esta llamada”, le dijo Carole.
“No hacemos eso”, respondió John.
“Es una estafa”, me dijo Carole. “Cuelga”.
En ese momento me di cuenta de hasta qué punto me habían engañado.
Y tenía que actuar con rapidez para evitar que saquearan mis cuentas.
Me comuniqué con un experto en ciberdelincuencia del FBI de Connecticut, que trabaja para contener los 1.200 millones de dólares que se calcula que los ciberdelincuentes roban al año, sólo en el Estado de la Nuez Moscada.
Me recomendó que contactara a PayPal, pero que no lo hiciera a través de ningún número telefónico de los correos electrónicos, ya que corría el riesgo de ser estafado de nuevo. Que buscara el número en el sitio web de PayPal.
(Y si desaparece dinero de sus cuentas, denúncielo inmediatamente a este enlace del centro de denuncias de delitos por Internet del sitio web del FBI para que los agentes puedan actuar rápidamente y localizar a los estafadores antes de que cubran su rastro).
Gracias a Dios por ese consejo.
Llamé al auténtico representante de seguridad de PayPal.
Cuando le conté que había pulsado en el programa remoto, me dijo que sin duda me habían pirateado.
“Nunca trabajamos de forma remota”, dijo.
Le comenté sobre lo realista que parecía el mensaje, hasta la dirección de correo electrónico.
Señaló que ahora la gente tiene que hacer clic en “responder” para ver la verdadera dirección de correo electrónico y revelar las diferentes direcciones que ocultan un alias.
Luego me dio la buena noticia: No consiguieron mi teléfono.
De inmediato actualizamos la contraseña de PayPal, lo que requirió confirmación en mi teléfono.
Luego me dijo que rápidamente hiciera lo mismo con las cuentas bancarias (cosa que hice).
Mencionó “los estafadores” dos veces.
“Los verdaderos estafadores usaban esa palabra”, le comenté.
Ella lo sabía: Dijo que los estafadores envían reclamaciones falsas a PayPal y luego llaman para denunciarlas, de modo que pueden copiar el guion que utilizan los auténticos agentes de seguridad de PayPal con los clientes.
Igual como imitan los verdaderos correos de PayPal.
Y, aconsejó, mantenga su computadora apagada.
A pesar de que había eliminado el programa de malware específico, los estafadores sin duda habían plantado mucho más malware.
Lleve la máquina a un experto para que la limpie por completo, le aconsejó.
Por suerte mis cuentas estaban a salvo.
El correo falso original había desaparecido de mi cuenta de Gmail, donde también había estado.
Al alivio le siguió la sensación de vergüenza. No puedo creer que fuera tan idiota.
El domingo pasé cuatro horas en un mini centro comercial de Meriden para que el experto en tecnología en el que más confío -Shyqyri “Iri” Hysesani, que antes tenía una tienda en la avenida Whitney de New Haven- pudiera limpiar mi computadora.
También le instaló nueva protección. Mucho agradezco conocer a Iri (Nota: Su nueva tienda de Meriden se llama All About Tech).
No lograba sacar la estafa en mi cabeza, las señales que ignoré, la astucia de los estafadores, el papel que querían que desempeñara (convertir dinero robado en bitcoin).
Me avergüenza haber sido tan tonto. Pero ya que se han vuelto tan incesantes estas estafas, me pareció importante compartir los detalles con la gente.
Carole me habló de un caso reciente en Hong Kong en el que unos estafadores utilizaron IA para crear falsos socios potenciales que engañaron a una empresa financiera en videoconferencias para que les enviara 25 millones de dólares.
O sea que no soy el único en esta situación.
Eso me ayuda a sentirme mejor. Un poquito. También es un reflejo de las peligrosas aguas de la red por las que todos navegamos a diario.