“Compran bases de datos, buscan un nombre, ven que busca ropa en Shein, que hay información del hospital, que tiene párkinson y otra enfermedad y con eso van haciendo un perfilado”, explica un Guardia Civil encargado de una operación reciente en la que, junto a la Policía Nacional, desarticularon una organización que estafó al menos 19 millones de euros. Los delincuentes saben que no todos los ciudadanos tienen las mismas opciones de caer en estafas de inversión en criptomonedas. Buscan maneras de afinar y, así, dar con víctimas más propicias para caer en sus campañas de publicidad falsa.“No tenemos víctimas atípicas, sino típicas: hay factores psicológicos que nos hacen más vulnerables y, luego, juegan con tus problemas personales”, dicen fuentes de la Guardia Civil. “Empezamos a ver mucha gente de 80 años, 70, 65, muchísimos jubilados. Obviamente con dinero y, también, gente con enfermedades, depresión, muchos con circunstancias como haber perdido familiares. Así igual entran más fácilmente en ofertas de inversión sin valorar qué hay detrás”, añade.Más información¿Cómo logran estos grupos vincular estos detalles privados de víctimas propicias con sus anuncios, hechos con IA para simular que personajes públicos como Pedro Sánchez, Pablo Motos o Antonio Resines recomiendan ciertas inversiones? Todo está relacionado con el oscuro mercadeo online de nuestros datos. En el caso de la organización de ciberestafas recientemente desarticulada, la Guardia Civil apunta en primer lugar a la compra de bases de datos que cuestan decenas de miles de euros y que reúnen todo tipo de información de millones de usuarios. En ellas pueden encontrarse patrones que indican si alguien es de derechas o izquierdas, si tiene algún trastorno del estado de ánimo, si le interesan las criptomonedas o si es más probable de lo normal que tenga dinero ahorrado: “Cuanta más vida digital tengamos y más información cedamos sin control, más fácil es” para los delincuentes, avisan fuentes de la Guardia Civil, que advierten de que “nada es gratis en internet”.“Cualquier página o app con tus datos puede venderlos a terceros. Hemos visto bases de datos en las que hay el listado de teléfonos de nuestra unidad. ¿Cómo los tienen? Porque cuando queremos instalar la misma app que nuestro compañero, novia o amiga, decimos a todo que sí, es un sí sucesivo. Si entonces dices ‘yo es que soy muy precavido’, no es cierto, todos hemos cedido datos, ¿y dónde van esos datos?”, explican las mismas fuentes.El pacto tácito es que todos esos datos regalados se usan solo para aprovechar nuestras debilidades comerciales. Pero el laberinto de internet es mucho más profundo. “Si compro una base de datos de emails o teléfonos de 20.000 personas potencialmente interesadas en criptomonedas, puedo crear audiencias personalizadas y apuntarles con mis anuncios en la mayoría de redes sociales”, dice Ángel Cuevas, profesor de la Universidad Carlos III y autor de investigaciones donde ha demostrado que podía llegar a mostrar un anuncio una única persona concreta en redes como Facebook o LinkedIn, partiendo de un puñado de sus intereses.¿Cómo pueden llegar hasta víctimas concretas?Una vez que los criminales identifican perfiles de víctimas, solo deben ponerles delante anuncios falsos mediante Facebook (“es lo más común”, dice la Guardia Civil) o en páginas web con Google. Aunque muchos no acaban clicando, algunos lo harán. Para los estafadores es solo una cuestión de probabilidad. La Guardia Civil y la Policía han ligado 208 víctimas a esta organización criminal, pero es posible que haya más.En este caso concreto de estafas, Cuevas ve dos vías posibles, ambas habituales en el mundo del marketing y que llevan años de uso. El primero es utilizar campañas de microsegmentación de publicidad dirigida, usando gustos e intereses “que les llegará a otras mil personas, pero la probabilidad de que le llegue a la víctima escogida es alta”, dice este experto.Esta vía parece sencilla, pero hay otra que aún lo es más, según Cuevas: “Es más plausible que lo hayan hecho con las audiencias personalizadas”, dice. La diferencia aquí es que se necesitan datos personales de las víctimas: email, teléfono, el mobile advertiser ID (otro identificador único, usado en publicidad) o incluso nombre y apellido. Solo hay que decir que tienes permiso de un grupo de gente para hacerle publicidad [un mínimo de 100 usuarios, no se puede dirigir solo a una persona] y subir un listado con sus datos personales. “Una vez que lo haces, Meta cruza esos emails y teléfonos con sus bases de datos de usuarios y si encuentra un match, pues a ese usuario le llegan los anuncios”, añade este investigador.Disparar a un palmo de la dianaYa no se trata, como en la publicidad tradicional, de disparar miles de flechas a dianas diminutas, sino que ese segundo método permite acercar la diana a un palmo del arquero. Así funcionan las campañas de publicidad habituales que nos llegan después de haber dado nuestro email, por ejemplo, para una tarjeta de fidelidad. Pero pueden usarse con motivos más perversos.Estos grupos tienen más maneras de alcanzar a víctimas deseadas. “Hay agencias de marketing que cobran por datos de víctimas potenciales y el precio depende de su país”, dice Mauro Jordán, abogado que representa a docenas de estafados en casos similares. Esas agencias ponen anuncios falsos de inversiones, que animan a los usuarios a enviar sus datos. “Si buscas en Google ‘invertir’ o ‘criptomonedas’, es más probable que te salgan. Yo los veo mucho en esas páginas de noticias cutres que salen ahora en Google Discover con titulares llamativos”, añade Jordán.Una investigación publicada en marzo por el grupo de periodistas OCCRP —con sede en Holanda y especializados en crimen organizado y corrupción—, explicó ese mismo método: “Cientos de empresas de marketing suministran nombres de potenciales víctimas a las que llaman directamente para intentar venderles sus productos. Los vendedores reciben un pago por cada contacto que logran convertir en cliente. Según hojas de cálculo filtradas con pagos de marketing, el precio habitual por una víctima sueca ronda los 1.250 euros, que es la segunda tarifa más alta del mundo”. La investigación de OCCRP se hizo a partir de una filtración masiva de datos, que había recibido la televisión sueca, procedentes de dos grupos de cibercriminales.Según la Guardia Civil, también hay víctimas en España que recibieron llamadas sin haber nunca rellenado ningún formulario. Puede ser que no lo recuerden o que los malhechores sacaran su móvil de alguna base de datos truculenta. La variedad de métodos usados por estos grupos calca el rico marketing online. En estos últimos años, la evolución de los fraudes en internet ha sido rapidísima, según fuentes de la Guardia Civil: “En 2018 era raro que hubiera una estafa o un delito en internet superior a 2.000 euros. Ahora en la última semana ha entrado uno de 300.000 y otro de 200.000, son palos gordísimos”.
“Juegan con tus problemas personales”. Cómo los criminales usan datos privados para encontrar mejores víctimas y estafar millones | Tecnología
Shares: