Hace diez años, mi amiga Alejandra se mudó a París.
Logramos mantenernos en contacto de formas diversas, aunque todas remotas: por teléfono, redes sociales, aplicaciones de mensajería. No era extraño que me contactara de vez en cuanto, reviviendo anécdotas y viajes, lo bien que la habíamos pasado juntas alguna vez.
Como tampoco lo fue, ahora, el recibir un mensaje de su parte empezando con aquel apodo que tan afectuosamente me había asignado en una de nuestras aventuras, preguntándome cómo iba la vida en la pandemia. Platicamos un poco de todo: el trabajo; la crisis; el miedo y las medidas sanitarias adoptadas en Europa por el COVID-19. Entre saludos y despedidas separados por apenas unos días de distancia, me contactó para decirme que debido a la misma pandemia había tenido que cancelar su habitual viaje a México, pero que necesitaba enviar por estos rumbos algunos “encargos” que le había hecho su madre.
En esta última conversación, preguntó si tendría inconveniente en que me enviara un paquete a mi casa, pues el remitente no estaba en la ciudad. Con todo gusto, contesté que no tenía problema alguno- me agradeció y quedó en compartirme los detalles del envío. Dos días después recibí nuevamente un mensaje de su parte, solicitando mi dirección completa y una copia de mi identificación oficial, pues el paquete lo enviaría por mensajería. Yo le proporcioné toda mi información y una foto de la cara anterior de mi pasaporte. Platicamos de otras cosas ya familiares entre nosotras, compartiendo ella detalles tan particulares que en ningún momento supuse algo anduviera mal. Quedó en enviarme los datos del envío al día siguiente y cumplió: y una vez más, se despidió de mí con su habitual saludo.
Fue solamente al leer su último mensaje que algo no me cuadró. La foto del paquete que había adjuntado era extraña- no coincidía con los datos que me había proporcionado. Fue ahí que caí en la cuenta: Alejandra no era Alejandra. Todo era mentira.
Con creciente ansiedad verifiqué el perfil del que estuve recibiendo aquellos mensajes durante las últimas dos semanas- y efectivamente, resultó falso. La identidad de mi amiga había sido utilizada como pantalla, para crear, con su imagen y publicaciones, una nueva persona tan detallada- en la superficie- como ella. Teniendo ambas, amigos en común, contacté a uno de ellos por teléfono para pedirle el celular de Alejandra y hablar con ella lo sucedido. Reportamos el perfil falso, y posteó en su muro lo ocurrido conmigo. La cantidad de amigas que contestaron a su publicación describiendo que algún tercero con disfraz las había contactado, y en algunos casos ya extorsionado, me dejó fría.
Sabía qué hacer en un caso como este porque una de mis áreas de práctica es la de Datos Personales y Ciberseguridad, así que el tema no me era ajeno. Lo propio era hablar a la Policía Cibernética de la Secretaría de Seguridad Ciudadana, levantar un reporte y denunciar ante un Ministerio Público el delito de Robo de Identidad. Cambiar mis contraseñas y desactivar mi cuenta de Facebook temporalmente como previsión adicional. Desde entonces no utilizo la mensajería de Facebook, y mantengo activos todos los factores de privacidad y autenticación disponibles. Fue gracias a que soy abogada, y que tengo la fortuna de contar con colegas penalistas, que pude asesorarme y actuar rápidamente en plena pandemia, evitando, al menos en mi caso, un resultado de mayor gravedad.
Para la generalidad, sin embargo, el panorama no resulta tan fácil ni alentador. Nuestro orden legal aun no contempla una ley de ciberseguridad que regule este tipo de conductas ilícitas, o sus consecuencias, de manera directa o ad hoc, así que lo único que queda es el código penal local y demás legislación secundaria que, en muchas ocasiones, no tiene tipificadas las conductas delictivas o demás actos necesarios para ejecutar esta clase de extorsión, como lo fue el phishing y el tratamiento indebido de los datos personales en mi pasaporte.
Si bien habré dado inicio a una averiguación o ratificado una denuncia de manera preventiva, lo más probable es que en mi caso, como en el de incontables otras víctimas del engaño o acoso que plagan el mundo virtual, en realidad no pase nada. No hay, a la fecha, forma fácil, segura, o práctica de identificar a quienes participan en lo que (según me informaron en la Policía Cibernética) es una entre un sinfín de esquemas y modalidades de estafa nigeriana (mejor conocida como Fraude 419) de la que existen múltiples reportes en México, siempre empleando como anzuelo los perfiles de personas en el extranjero con amigos residentes en México, solicitando ayuda con el envío de un paquete para después extorsionarlos con temas de narcotráfico o con el pago de impuestos aduanales.
A pesar de tener cierto conocimiento de delitos cibernéticos y ciberseguridad, fui victima de un delito cibernético, que si bien y afortunadamente- en este caso- no tuvo una consecuencia patrimonial, sí tuvo secuelas emotivas y me dejó muchos cuestionamientos jurídicos. ¿Cómo supo de mi apodo? ¿De dónde aprendió las expresiones de mi amiga? En el fondo, sospecho que quiénes cometen este tipo de conductas delictivas tuvieron acceso a nuestras conversaciones anteriores hechas por la mensajería de Facebook y de manera casi perfecta emularon la forma en que Alejandra se comunica y no solo lograron reproducir datos. ¿Habrían utilizado algún tipo de tecnología como Machine Learning que aprendiera y reprodujera las frases de mi amiga? ¿Cómo verificar la identidad de alguien cuando tienes una conversación tan familiar?
En mi opinión, al igual que la pandemia del COVID-19, estamos frente a otra pandemia invisible, silenciosa, viral, que igualmente enferma y daña. ¿Qué estamos haciendo al respecto? ¿Cómo nos estamos protegiendo? ¿Qué tanta cultura tenemos? Son preguntas que rondan continuamente en mi mente y que ahora han cobrado una importancia relevante en el estudio de mi práctica y en los consejos de mis clientes cuando tienen asuntos relacionados con el tratamiento de datos personales y ciberseguridad. Más allá de tener miedo, me parece que debemos estar preparados y educados para los retos que no son de un futuro lejano, sino de un presente inevitable.
Sobre la autora:
Gloria Martínez es Counsel, en Von Wobeser y Sierra, S.C. Cuenta con más de veinte años de experiencia y es parte de las áreas de práctica Corporativo y Fusiones y Adquisiciones. Es experta en privacidad de datos y ciberseguridad. Asesora de manera regular a clientes que utilizan la red de medios de pago, sobre todo a adquirentes. Encabezó el registro ante las autoridades del primer adquirente no bancario en México. Por su trabajo, Gloria ha sido reconocida por The Legal 500 y Latin Lawyer 250.
