Dicen los expertos en ciberseguridad que el eslabón más débil de una cadena es el que determina su máxima fortaleza -afirmación que seguro suscribirían los ingenieros de poliorcética de todas las épocas-, y que dicho escalón más débil acostumbra a recaer en las personas. De hecho, la ingeniería social nació precisamente para explotar esta debilidad, con exponentes de dicha práctica como el famoso Kevin Mitnick.
Una nueva modalidad para explotarla es el llamado pig butchering (literalmente, matanza del cerdo), el cual explica en un excelente y completo reportaje (con ejemplo incluido) el sitio web ProPublica, dedicado al periodismo de investigación.
El pig butchering se vale de la debilidad humana por la belleza estética, y emplea las redes sociales y las aplicaciones de flirteo para captar víctimas.
El primer paso es crear un perfil en estas redes y servicios, que tenga una foto de perfil atractiva y una serie de contenidos que apunten a una vida de lujo y despreocupada, a dar la imagen que aquella persona es rica y vive de rentas. Los contenidos que conforman la cuenta son, muchas veces, robados a otros perfiles.
Una vez creado el perfil, la forma de ‘atacar’ a las víctimas consiste en contactarlas a través de un mensaje en la red social que corresponda, muchas veces con una pregunta inocente sobre los contenidos que publica, o bien simulando equivocarse de persona.
Esta última treta es la que emplean los scammers en WhatsApp, que no es propiamente una red social, aunque el uso que se le da tiene características de tal.
Una vez iniciada la conversación, quien está detrás del fraude va tirando del hilo para ir ganándose la confianza de la víctima y, de paso, conseguir informació personal de esta que le sea de utilidad más adelante. En el artículo de ProPublica, los investigadores explican que en muchos casos, los operadores humanos que perpetran estos crímenes son víctimas del tráfico de personas obligadas por sus captores a llevar a cabo estas tareas.
Una vez ganada la confianza de la víctima con una conversación aparentemente intrascendente sobre el trabajo, la familia, los amigos o las aficiones, en algún momento el scammer virará la conversación hacia temas de inversiones mostrando lo bien que le va invirtiendo online con un fondo propio, o bien de alguien conocido que es un experto. Ofrecerse para guiar al nuevo amigo que ha hecho online para que él (la víctima) también pueda sacar tajada, será su siguiente paso.
El anzuelo está echado, y si el objetivo pica, empezará a ingresar dinero no en un fondo de inversión, sino directamente en una cuenta propiedad del estafador. Los ingresos se realizan a través de una app u otro sistema que despierte confianza en el usuario y, a veces, la información ofrecida sobre los fondos corresponde a un fondo real, cuyo rendimiento se puede seguir a través de la app MetaTrader, tal y como explican en ProPublica.
Incluso es posible que, al principio, los scammers permitan a la víctima retirar algo de dinero de su inversión con un cierto beneficio, para generar confianza y que siga invirtiendo más. Si el asunto ha llegado a este punto sin despertar sospechas, la víctima está en vías de perder una cantidad muy grande de dinero.
Para conseguirla, los cibercriminales presionan de varias formas a sus víctimas, incitándolas a que utilicen sus ahorros, fondos de pensiones, o incluso hipotequen sus hogares y pidan prestado a sus familiares y amigos. Llega un punto en el que ya es imposible retirar cualquier cantidad de dinero, por pequeña que esta sea.
Las cantidades que se llevan los cibercriminales con estas estrategias pueden ser muy altas y, de hecho, en el artículo de ProPublica citan cifras que van desde los 30.000 hasta el millón y medio de dólares.