Desde diciembre de 2019, el fiscal Franco Pilnik está al frente de la única Fiscalía especializada en Cibercrimen de la provincia de Córdoba, en la que recaen los casos de fraudes con tarjetas de crédito o las estafas telefónicas mediante distintos mecanismos.

Pilnik, abogado especialista en esta materia, subrayó que este tipo de delitos se va perfeccionando y cada vez intervienen más intermediarios (llamados “mulas”) con cuentas en bancos de diferentes provincias, por lo que identificarlas lleva su tiempo. Además, una vez que se retira el dinero la investigación se vuelve más complicada. 

Si las estafas se hacen por cuentas bancarias, ¿por qué es tan difícil recuperar el dinero e identificar a quienes lo retiran?

No es que no se puedan identificar, pero muchas veces cuando llegamos a las “mulas”, nos encontramos con que transfirieron el dinero, lo mandaron por Rapipago o se lo dieron a alguien y se quedaron con una pequeña comisión. Y el dinero no está. Pero el atacante, que tiene mucho mayor conocimiento de la operación y utiliza toda esta ingeniería social, no se expone. Entonces resulta menos dificultoso encontrar a la mula que al responsable. Las mulas son el eslabón más débil, como pasa con las drogas. En general, si hay un ataque a una persona en Córdoba el dinero va a tres o cuatro cuentas mulas de provincias diferentes, incluso a bancos virtuales, lo que nos obliga a procedimientos y allanamientos en diferentes jurisdicciones, que es más engorroso.

¿Qué responsabilidad legal les cabe entonces a esas personas que son “mulas”?

Considero que son partícipes necesarios de la estafa, pero muchas veces las personas que terminan imputadas por esto explican que vieron avisos que decían “Gane dinero desde su casa con su cuenta bancaria”, y entonces lo único que hacían es recibir sumas de dinero, la sacaban del cajero y se la daban a alguien que iba a buscarla, que no saben quién es. A cambio se quedaban con una comisión. Muchos explican que no sabían de qué se trataba y que recibieron solo un par de veces. Incluso hemos tenido casos de gente que se han denunciado ellos mismos, porque pensaban que era algo lícito y se asustan al ver que reciben mucho dinero. Cuando la Justicia requiere información, vemos que el dinero estuvo 10 minutos y rebotó a otra cuenta, y entonces hay que volver a pedir otro informe. Y a veces a la persona que es atacada le utilizan la cuenta de home banking como cuenta mula, entonces cuando llegamos vemos que también fueron víctimas de fraude.

¿Es decir que no solamente le vaciaron la cuenta sino que la usaron como mula?

Claro, cada vez se va sofisticando más. Es un fenómeno muy particular. Si alguien roba en un kiosco, por ejemplo, ese dinero desaparece. Esto es un delito masivo pero en blanco, porque siempre va por cuentas bancarias. Entonces los atacantes usan las mulas para no exponerse, esa es la manera. Y algunas son personas de muy escasos recursos y sin formación, como ha pasado en los casos en que las usan para facturar en causas muy grandes con cerealeras. Esto es algo parecido, sin que sepan demasiado les hacen firmar un papel para usar la cuenta y se la manejan a discreción.

Esto implicaría un trabajo importante para ir reclutando a estas personas, porque sus cuentas tampoco las pueden usar por mucho tiempo.

Sí, hay todo un trabajo para conseguir las cuentas mulas. También se utilizan como mulas las cuentas atacadas, hay veces que no se la vacían sino que la usan y mientras la persona tiene saldo no se da cuenta de que le están haciendo movimientos. Hay personas que denuncian movimientos en sus cuentas y no saben de qué es el dinero, y después revisando los datos se dan cuenta de que recibieron un email que simulaba ser de home banking donde le decían que tenían que actualizar sus datos. Lo más fácil es llegar hasta la puerta de la casa de la mula, pero después es más complejo. Cada vez rebota en más cuentas y sale más rápido el dinero.

Y cuando la Justicia logra unir todos esos puntos, muchas veces ya es tarde y el dinero se retiró.

Lo que se ha vuelto más engorroso es cuando empiezan a rebotar las transferencias bancarias en varias cuentas. Por ejemplo, el dinero va al Banco Galicia. Pido el informe al banco y me dicen que llegó, pero a los 10 minutos se transfirió al Macro. Pido el informe al otro banco y responden que se transfirió al Patagonia o a cualquier otro. Entonces hasta que se llega con todos esos informes la extracción del dinero ya se hizo porque va mucho más rápido que el informe del banco. 

La Fiscalía Especializada en Cibercrimen es la única en toda la provincia. ¿Cree que el aumento de estos delitos necesita que se destinen más recursos para este tipo de fiscalías?

Creo que como cada fenómeno delictivo nuevo va generando mayor especialización en la investigación. Hasta hace 10 años no existía esto de las cuentas mulas o contactarse con un banco a través de Instagram. Todos los procesos han generado especializaciones en diferentes fueros, como el de Narcotráfico o Violencia Familiar. Esto como fenómeno nuevo va a hacer que con el tiempo haya mayor especialización y capacitación. Tratamos de prestar colaboración con el resto de las fiscalías. En esto hay que trabajar muy rápido y tener mucha comunicación con los bancos. Antes al banco se mandaba un oficio en papel a través de la Policía, eso llegaba al área legal del banco, que lo analizaba y respondía. Pero con que tome dos o tres días el dinero ya se esfumó. Entonces se han generado canales más rápidos, con muchos bancos la provincia de Córdoba tiene oficios electrónicos o por lo menos una casilla de email para estos requerimientos. 

Si bien las víctimas dan sus datos al ser engañadas, ¿cree que son vulnerables los sistemas de los bancos?

Los bancos han creado sistemas de validación que en principio son seguros, a través de un tercer factor de autentificación que tienen que ver con SMS, token o tarjeta de coordenadas. En la fiscalía no hemos tenido una sola denuncia por un problema de seguridad en los sistemas de los bancos, siempre son ataques de ingeniería social, donde las personas son engañadas. El Banco Galicia dio de baja su cuenta de Instagram por ese problema. No digo que los bancos sean perfectos ni mucho menos, pero lo que más aprovechan el atacante es la coyuntura. Ahora para ir al banco hay que sacar turno, antes no pasaba. Han refinado las formas de ataque y crean perfiles falsos o con llamados telefónicos. Lo que más vemos son perfiles falsos que después pueden derivar en un llamado.

O sea el problema no es tanto la falta de seguridad en los bancos sino el engaño en las víctimas.

También hay una cuestión cultural, por ejemplo con la tarjeta de crédito. Muchos cuando van a un restorán o una estación de servicio, entregan la tarjeta para pagar y la pierden de vista. Antes en ese momento se clonaban, pero ahora con un celular se pueden sacar fotos de la tarjeta y se utilizan para cualquier fraude. De hecho, tenemos personas detenidas por eso, de empleados que sacaban fotos a tarjetas. No digo que los mozos en un restorán lo vayan a hacer, sino que la situación puede generar inseguridad. Antes se clonaban, ahora con un celular se saca la foto y se quedan con los datos de la tarjeta. Ahora también están los puntos pickit up, que a Córdoba ya han llegado, y son una suerte de casilla para retirar las compras que se hacen online y con un código. Entonces se compra con una tarjeta de una persona en Córdoba pero se retira en un punto pickit up en Buenos Aires o en Mendoza, por lo que es más difícil el rastreo. Cada herramienta tecnológica que hace la vida más fácil muchas veces también hace que otros se aprovechen de eso.

¿En qué casos los estafadores utilizan los mensajes de SMS que envía el banco?

Principalmente para las transferencias o cuando piden una operación como créditos o giros sobre descubierto. Tenemos una casuística muy fuerte de este tipo. Las personas quieren comprar 200 dólares o pedir un turno en el banco, y al hablar con perfiles falsos de estafadores les piden el usuario y contraseña, y les dicen que para validar la operación les va a llegar un código por SMS y que se lo tienen que pasar. Y en realidad, lo que están haciendo es confirmar con eso la transferencia que están haciendo. O bien, le piden los números de la tarjeta de coordenadas como para validar le gestión y confirmar la identidad, pero en realidad les están haciendo transferencias. 

Esto una vez que ya habían entrado el home banking con los datos que el propio usuario le dio.

Sí, es muy característico eso del pedido de código. La gente lo cree porque de hecho llegan desde el propio banco, pero se lo pasan por teléfono o por la red social por la cual lo están estafando. A veces les dicen que falló y que le van a mandar otro, y lo que hacen es hacer una segunda transferencia.

Otra característica de este delito es que las víctimas muchas veces evitan hacerlo público porque se sienten avergonzadas de haber caído en una estafa tan evidente.

Eso pasa mucho, sí. Es un fenómeno muy particular. Mucha gente comenta en la fiscalía que se siente muy avergonzada porque después, recapitulando, se dan cuenta que el perfil con el que estaban chateando tenía pocos seguidores, había sido creado hace poco y tenía una sola foto sacada de cualquier lado. Todo el contexto era inverosímil, pero en el momento cayeron. Hay personas atacadas que tienen mucha formación: abogados, contadores, médicos e incluso empleados judiciales que han caído en ese tipo de trampas. Comentan que sienten una profunda vergüenza cuando se dan cuenta que todo el contexto era raro, que incluso aunque se ponían muy insistentes en que les enviaran los códigos. Lo ideal es también tener activadas las alertas de transferencias y de consumo en las tarjetas de los bancos.

Cuando la estafa implica que la víctima tenga que ir hasta un cajero y seguir instrucciones, ¿se suelen elegir días y horas menos concurridas?

Sí, por eso los empleados de banco y adicionales de policía tienen la orden de intervenir cuando alguien está operando y parece guiado por teléfono. Pero no hay un policía por cajero en toda la provincia, y menos los fines de semana y en ciudades más chicas. Es más difícil que sean advertidos.