En las últimas semanas han “estallado” las alertas por estafas virtuales de páginas “truchas” donde los mendocinos pagan sus impuestos: Ecogas, Aysam, Edemsa y otras empresas han sido parte de los hackeos que, no son nuevos pero que avanzan sin piedad para los usuarios más distraídos.
Uno de los comunicados que se viralizó recientemente través de Whatsapp y otras redes advierte: “Por favor, no pagar los impuestos y servicios a través de las páginas oficiales de Edemsa, Ecogas, Aguas Mendocinas, ctnet, Ecowifi, etcétera. Las mismas han sido hackeadas y al cargar los datos de las Tarjetas de débito, se roban absolutamente todo el dinero de las cuentas”.
Y el mensaje de alarma continúa: “Hay muchísimos casos en la ciudad donde la estafa es millonaria, y la única manera de frenarla es dejar de pagar en esas páginas hasta que tengan la seguridad cibernética que se necesita”.
Según la Dirección Provincial de Defensa del Consumidor, son cientos de consultas y reclamos por este tema que llegan a las oficinas distribuidas en toda la provincia. De hecho, en lo que va de este año y sólo en la sede Central ya son más de 200 denuncias penales por parte de gente que pagó impuestos a un sitio web inexistente, o que ingresó a promociones online de telefonía, bancos y plataformas de streaming a través de links publicitados en redes sociales.
Esa repartición, sin embargo, no puede intervenir en la denuncia penal, sino solo asesorar y derivar la denuncia de los consumidores frente a las estafas a organismos provinciales, nacionales e, incluso, internacionales. “Una vez ingresa la denuncia, sólo puede intervenir un juez con un fiscal. Nosotros poco podemos hacer con las páginas web porque no tenemos competencia para rastrearlas”, indicó Mónica Nofal, directora de la entidad provincial.
La funcionaria aseguró a Los Andes que el 25 % del total de las denuncias que presenta el consumidor en la actualidad están directamente vinculadas a las estafas virtuales. “Vienen creciendo año a año”, agregó la funcionaria y señaló que “la única forma de evitarlas” es a través de campañas de educación y asesoramiento en el manejo de Internet, cuando se trata de proteger los datos personales y, por otra parte, que las empresas cumplan con las leyes internacionales sobre Protección de Datos.
La ley de ciberseguridad que no se cumple
En esa misma línea, Juan Roccuzzo, abogado especialista en Ciberseguridad y Protección de Datos, señaló a este diario que, si bien el gran flagelo son los links que aparecen en cuentas de empresas “truchas” que se viralizan en redes sociales con promociones o descuentos, existe un problema mayúsculo: el desconocimiento generalizado y el incumplimiento de la Ley nacional de Protección de Datos por parte de organismos públicos y de empresas que prestan un servicio público o privado y cuyas páginas disponen de mecanismos de pago.
“Acá hay un tema y es que los usuarios deben tener pleno conocimiento de lo que sucede y que si hay hackeo en las páginas oficiales de esas empresas todas son solidariamente responsables de ese delito penal por no haber adecuado sus páginas a las normas de ciberseguridad desde donde cobran dinero”, asegura el abogado.
Roccuzzo planteó que la mayoría de las (si no todas) empresas que brindan servicios como luz, agua y gas, no cumplen con la Ley Nacional 25.326, de Protección de Datos Personales. Esa ley, de hecho, ha ido aggiornándose con decretos y resoluciones administrativas complementarias, como es el caso de la norma Nª 641/2021, de la Dirección Nacional de Ciberseguridad, que establece requisitos mínimos de seguridad que son obligatorios.
Si éstas no cumplen con la normativa nacional vigente, el usuario que ha ingresado a una página web oficial hackeada y ha pagado virtualmente perdiendo su dinero puede iniciar acciones legales porque tales empresas son “solidariamente responsable con los hackeos”.
Si bien con la mera denuncia, hoy por hoy, el usuario no podrá ser recompensado monetariamente, la empresa que no adecuó tecnológicamente su sitio web a las normas de protección de datos y éste es hackeado, debería pagar una multa por negligencia.
Claramente –advierte Roccuzzo– no es tan fácil probar el delito, ya que las empresas involucradas en el pago de impuestos en páginas hackeadas advierten que no ha sido en su sitio oficial donde existe el problema, sino a través de links que llevan a páginas “clonadas” de esas empresas.
En ese caso, no tendrían responsabilidad penal. Pero la misión, sin duda, es notificar inmediatamente a los usuarios sobre el problema y advertir los riesgos que pueden padecer. Así intentaron hacer en Mendoza algunas empresas, a través de comunicados a través de redes sociales y con alertas intermitentes en las propias páginas web.
Desde Edemsa, Aysam y Ecogas, por ejemplo, vienen difundiendo en sus redes y páginas oficiales una alerta sobre el hackeo y sobre alternativas al pago, debido a la “ola” de consultas de usuarios y repercusiones mediáticas sobre la estafa a jubilados con promociones o facturas “truchas”.
Desde Edemsa, la empresa que provee luz en Mendoza, señalaron a este diario que la mayoría de las denuncias que llegaron tienen que ver con usuarios que ingresaron a “otro” sitio de Edemsa (trucho), mediante links que ofrecían en Facebook y otras redes sociales pagos de impuestos con descuento. “Dentro de la página oficial no hemos tenido problema”, aseguran.
Edemsa se ajusta sólo al Hábeas Data (un recurso que otorga a usuarios el derecho para que se actualice o suprima algún error sobre un dato personal que los afecte), y que rige en la Constitución Nacional. Pero nada tiene que ver con la normativa de Protección de Datos Personales, que impone derechos y obligaciones a las distintas empresas, incluyendo las diferentes resoluciones posteriores a la ley sancionada.
Agrega Roccuzzo que también ocurrió algo similar en Aguas Mendocinas hace unas semanas. Pues se encuentra sin cumplir con los requisitos de ciberseguridad obligatorios y tal incumplimiento salió a la luz ante la intimación legal por parte de un grupo de jubilados estafados virtualmente, en una página “clon”.
“Actualmente, el poder de policía es reactivo. Pedís información a la empresa ante una estafa virtual y cuando detectás que no cumple con la ley de Protección de Datos Personales recién ahí puede ser multada”, asegura el abogado, quien por estos días trabaja con diversas organizaciones, expertos en ciberseguridad y legisladores para que se sancione una nueva normativa, similar al Protocolo de Europa, que establecería inspecciones más activas a las empresas y sanciones más duras.
Cómo hacer para reconocer qué páginas son seguras para pagar
- Por estos días (y hasta que las empresas se adecuen a la seguridad informática que se necesita), se aconseja abonar los impuestos y servicios a través de QR, billeteras virtuales seguras o bien Rapipago ó Pago fácil.
- Bajo ningún concepto ingresar a las páginas web de empresas donde se abona dinero y se brindan datos personales a través de links que proporcionan en redes sociales como Facebook, Instagram, TikTok y Whatsapp, además de correos electrónicos. Si no se verifica antes la cuenta, puede tratarse de cuentas o páginas “truchas”.
- No pagar impuestos ni comprar las promociones de páginas de estreaming sin verificar antes que la página sea legal (se puede chequear haciendo click en el ícono del candadito de la parte superior izquierda del sitio web y ahí corroborar que la conexión sea “segura” y el certificado “válido”).
- Verifica la URL del sitio web y observar si dice “HTTPS” al comienzo de la dirección (en lugar de “HTTP”). Esto significa que el sitio web es seguro con una certificación SSL. Es ella quien protege todos los datos que transitan del navegador al servidor del sitio web.
- No facilitar información confidencial como nombres de usuarios, claves, números de tarjeta por teléfono, correo o SMS. Son personales e intransferibles a ningún sitio web a través de mails, redes sociales.
