ESPECIAL DÍA DE INTERNET: Scambaiting, anonimato en plataformas y anuncios desinformadores en páginas web en el 101º consultorio de Maldita Tecnología

1 month ago 35

¡Hola, malditas y malditos! Hoy se celebra el Día de Internet, una jornada que reivindica el papel y la evolución de este espacio en el que convivimos. Por eso, las preguntas que hemos elegido hoy están relacionadas con cómo nos relacionamos en la red o cómo se ha visto afectada esta en los últimos años. Hablamos del anonimato en la red a raíz del posible cambio de manos de Twitter a Elon Musk, de cómo en las páginas web nos la intentan colar a partir de la publicidad y también de qué es el scambaiting, una técnica para escarmentar de alguna manera a los timadores.

Aprovechamos para recordaros que nos enviéis todas las dudas que tengáis sobre internet y el mundo digital. Sí, sabemos que es muy amplio, pero, ¡mejor os lo ponemos! Mandadnos esas preguntas a través de este formulario, mandando un correo a tecnologia@maldita.es, a nuestro Facebook, a Twitter o a nuestro chatbot de WhatsApp (+34 644 229 319). ¡Vamos allá!

¿Qué es el scambaiting? ¿Es útil para prevenir los fraudes online?

El timo del enfermo terminal que quiere donar su herencia, el falso soldado estadounidense que te contacta por Tinder o el familiar lejano que te escribe por WhatsApp con una urgencia. En Maldita.es no paramos de alertar sobre todo tipo de fraudes online. Los timadores utilizan técnicas de ingeniería social para intentar engañarnos, pero hay quienes usan esas mismas herramientas para entorpecer a los estafadores. Hablamos del scambaiting, un concepto que se forma a partir de las palabras inglesas scam (estafa) y bait (cebo).

El scambaiting consiste en “hacer que los estafadores pierdan el tiempo y/o extraer información de ellos para intentar descubrir quién o quiénes están detrás de la estafa”, nos explica nuestro maldito Miguel Calvo, investigador y profesor en Ciberseguridad y Privacidad de la Universidad Rey Juan Carlos. De este modo, se exponen los timos para que otros no caigan y, al mismo tiempo, el autor se “jacta de haberse burlado del estafador”.

En España, según los expertos consultados por Maldita.es, no se conocen grupos organizados de scambaiting. No es un fenómeno notorio más allá de usuarios que comparten sus experiencias en redes sociales o foros de forma puntual. Pero en espacios angloparlantes encontramos youtubers con millones de seguidores, como Jim Browning, Scambaiter, Scammer Payback o ScammerRevolts, y comunidades en foros como Reddit.

José María de Fuentes, maldito y profesor titular de Ciberseguridad de la Universidad Carlos III de Madrid, señala que el scambaiting suele emplearse para que el autor muestre sus habilidades técnicas al desvelar quiénes son los ciberdelincuentes que están detrás, más que para desalentarlos. Los ciberdelincuentes “se nutren de que hay usuarios que pican y, por tanto, les da exactamente igual que les descubran”, afirma. En este sentido, Calvo apunta que los timadores suelen formar parte de organizaciones que tienen las pautas muy marcadas y “saben exactamente qué pueden decir y hasta dónde pueden perder el tiempo antes de pasar a la siguiente víctima y olvidarse de quién les está vacilando y tratando de destapar su identidad”.

En ocasiones, los métodos utilizados en el scambaiting han sido cuestionados por académicos, como el caso del foro 419eater, que nació en 2003. Jack Mark Whittaker, investigador de criminología en la Universidad de Surrey, y Mark Button, profesor de Seguridad y Fraude en la Universidad de Portsmouth (Inglaterra), explican en este artículo de The Conversation que en este foro se recompensa a los scambaiters que humillan o causan daño a los estafadores. Uno de los premios se otorga si hacemos que el ciberdelincuente se desplace 200 millas en un viaje de ida y vuelta para, por ejemplo, conseguir el dinero del estafado, “lo que puede resultar en que el delincuente quede varado y, por lo tanto, lo obligue a tomar medidas desesperadas para regresar a casa”. Incluso se ha criticado a este foro por permitir prácticas racistas dado que, por ejemplo, muchos ciberestafadores se encuentran en África.

“Para mí la analogía sería ‘el cobrador del frac’. Si tú haces algo mal (en este caso, intentas timarme), yo me tomo la justicia por mi mano (en este caso, te ridiculizo en público). Yo creo que ese no es el camino”, afirma De Fuentes. Los expertos coinciden en que los fraudes online se combaten denunciando ante las autoridades y con educación. Por ejemplo, si exponemos la identidad de estafadores podría perjudicarnos o conducirnos a incumplir la ley. Lo recomendable, según apunta Calvo, es contactar con la Policía o Guardia Civil, que sabrán cómo utilizar la información que les proporcionamos “en beneficio de los estafados y dentro de la legalidad”.

Jorge Louzao, ​​experto en ciberseguridad de empresas y hacker ético que nos ha prestado sus superpoderes, considera que lo mejor es invertir tiempo y recursos en formación para prevenir los timos. También nos recomienda colaborar con servicios como SafeBrowsing de Google, que sirve para bloquear sitios web de phishing y otros fraudes. 

¿Por qué nos encontramos anuncios que pueden contener desinformaciones en páginas web verdaderas (como los medios de comunicación)?

Los anuncios en las páginas web vienen de todas las formas y colores. Al principio del sitio web, adornando los laterales de la página, con vídeos que nos saltan en ventanitas que cuesta cerrar… En mayor o menor medida nos hemos acostumbrado a los formatos en los que nos quieren vender otros contenidos, pero hay veces que vienen camuflados como sitios reales que nos confunden o, incluso, nos engañan. Hablamos de los casos en los que un anuncio puede patrocinar un contenido desinformador. A veces tienen aspecto de publicidad y otras simulan ser noticias.

Anuncios publicados por una plataforma automatizada en la página web de un medio de comunicación. A la derecha, uno sobre bitcoin patrocinado por una plataforma de criptomonedas.

En otros casos, puede pasar que el anuncio que nos muestran en una página web se contradice con la información que estamos viendo o leyendo. Imagina que estás leyendo en un medio de comunicación la noticia de que ha entrado en vigor la Circular de la CNMV sobre la publicidad de criptoactivos y que se vuelve obligatorio advertir que estas inversiones no están reguladas, así como de sus riesgos. De repente, te topas en el mismo artículo con un anuncio sobre las bondades de las criptomonedas, sin advertencia alguna. ¿Cómo es posible? ¿Le ha vendido el medio un espacio de publicidad a una empresa que no cumple las normas de las que te está informando? No siempre tiene por qué ser así. 

Igual que ocurre fuera de Internet, los espacios publicitarios de las páginas web se compran y se venden. En este caso, en lugar de ser una valla publicitaria o un espacio físico en un periódico en papel, es un espacio dentro de la web. De manera habitual, estas webs reservan espacios concretos a empresas que venden publicidad.

En el mundo digital entra en juego la publicidad programática. Nos explica en qué consiste nuestro maldito Manuel Pelayo, que nos ha prestado sus superpoderes en analítica digital y márketing: “Es un sistema automatizado de compra/venta de audiencias”, destaca. “No se compran ni se venden ‘espacios’, en su lugar se compran y venden audiencias a las que se quiere impactar”. Además, funciona por un sistema basado en pujas en tiempo real (real-time bidding, en inglés).

O sea, que la publicidad va personalizada y segmentada, como hemos explicado tantas otras veces en Maldita.es sobre por qué la publicidad online parece saber lo que queremos y necesitamos. De modo que en vez de enseñarle el mismo anuncio a todo el mundo, se lo muestra a audiencias con ciertas características. Por ejemplo, mujeres de entre 25 y 35 años que viven en Andalucía y que trabajan en el sector ferroviario. Todo esto se gestiona a través de plataformas de suministro (SSP, por sus siglas en inglés), que van sirviendo esos anuncios en los espacios dedicados en las páginas web. 

De estos sistemas os hemos hablado también, cuando explicamos cómo se cuelan timos y anuncios falsos en periódicos conocidos. Google y Facebook son grandes plataformas que también gestionan servicios de publicidad personalizada gracias a la cantidad de datos que recogen sobre sus usuarios. 

“La ventaja que ofrece [la publicidad programática] sobre el sistema habitual es que al mostrar un anuncio a una audiencia optimizada que puede tener un mayor vínculo con el producto, ese usuario es más propenso a hacer clic en el anuncio, y eso se traduce en un mejor ROI (retorno de la inversión) para el anunciante y un pago seguro para la web que muestra el anuncio”, aclara Pelayo.

Volviendo a nuestros anuncios desinformadores: como este tipo de publicidad está segmentada, va a tratar de adecuarse al tipo de usuario que somos o, al menos, al tipo de contenido que estamos consumiendo. Eso puede resultar en el siguiente ejemplo: que un medio de verificación que publica artículos informativos sobre las vacunas de repente muestra un anuncio sobre un libro antivacunas. En este caso, el proveedor del anuncio puede ser una tienda real y legítima, como La Casa del Libro, o un marketplace como Amazon. Sin embargo, si el medio tiene contratada publicidad programática, no va a poder controlar del todo que no pase algo así. 

Anuncios publicados por una plataforma automatizada en la página web de un medio de comunicación. Arriba, un contenido sobre una técnica para eliminar el dolor de rodilla supuestamente recomendada por médicos.

Ojo, eso no significa que los propietarios de las páginas web no tengan ninguna capacidad para controlar esos huequitos de anuncios que aparecen en las páginas web.

“Los SSP otorgan un panel administrativo para los vendedores de espacios donde se puede configurar una especie de lista negra tanto de dominios como de palabras clave y otras formas para excluir cualquier tipo de contenido que la web no desee nunca que aparezca en su sitio”, explica Pelayo. Pero claro, esta lista tendría que alimentarse y actualizarse constantemente para evitar que “nuevas propuestas creativas ‘contrarias’ puedan colarse en la web ganando la puja”, añade. 

El hecho de que haya anuncios o contenidos desinformadores en espacios publicitarios que no indiquen que lo son es además un problema para las personas a la hora de distinguir qué es información (o desinformación) y qué es publicidad. Esto pasa sobre todo entre gente joven, como indica este estudio del grupo de educación en historia de Stanford. Sacó esta conclusión haciendo una especie de examen en el que había que indicar por qué un contenido podía ser o no un anuncio.

Página con anuncios que mostraba el estudio "EVALUATING INFORMATION: THE CORNERSTONEOF CIVIC ONLINE REASONING" de Stanford.

Investigaciones como esta ponen en el foco la preocupación por que la gente sepa distinguir la publicidad de las noticias, ya que es complicado que se estandarice el hacer un fact-check a un anuncio. Imagínate que hubiese que verificar un mítico anuncio de Coca-Cola en el que dice que es “la chispa de la vida”. Pues a ver qué metodología usamos para eso… La cuestión, entonces, es que no nos cuelen una publicidad de esta bebida como si fuera una noticia y que nos creamos de verdad que todo lo que necesitamos para ser feliz es tomar diez de estos refrescos al día (aquí los compañeros de Maldita Ciencia os recuerdan fervientemente que saludable no es). 

¿Qué es el anonimato en Internet y por qué es importante en la red actual?

En la semana del Día de Internet, viene muy a cuento hablar de qué es el anonimato en la red y por qué es importante. No solo por la efeméride, sino porque el acuerdo de venta de Twitter a Elon Musk ha avivado una vez más el debate sobre cómo regularlo (a pesar de que seguimos a la espera de saber si se llegará a completar o no). Entre las medidas que el empresario tecnológico lanzó de forma aleatoria en su cuenta esas semanas, estaba la de “autenticar a todos los humanos reales”. Por el momento, nadie tiene demasiado claro cómo pretende hacerlo, pero parece que la intención es poder identificar a todas las personas detrás de los perfiles.

El concepto en sí del ‘anonimato’ en Internet ya nos hace un buen spoiler de a qué nos referimos, pero el debate detrás de este término es mucho más complejo de lo que parece. Por ejemplo, Twitter permite que los usuarios publiquen en la plataforma sin usar su verdadero nombre, sino un pseudónimo. Obliga a dar un correo electrónico y un número de teléfono, pero en sus Términos y Servicios no especifican que tenga que ser uno personal o que nos pertenezca. Esto permite que haya personas de diferentes países y diferentes ámbitos que publiquen en la red social de forma más o menos “anónima”. 

Si se revirtiera la posibilidad que da una plataforma como Twitter para publicar de forma anónima (o con un pseudónimo, más bien), no estaríamos hablando sólo de las complicaciones para identificar a sus más de 300 millones de usuarios, sino de lo que supondría para muchos que gracias a ello pueden informar y mantenerse conectados sin ponerse en peligro o, incluso, poner en riesgo su vida. 

Esto es algo que puede pasar. Especialmente en países donde la libertad de expresión no es tan respetada como en países europeos y occidentales y podrían perseguir y ejecutar a una persona por disentir con las medidas políticas, la religión o ser homosexual, como es el caso de países como Colombia o los países del Golfo. En países así -que vemos registrados en índices de informes como este de Article 19- Twitter es una especie de ‘espacio seguro’ de discusión en el que no hay que revelar la identidad, pero aun así se puede ser partícipe de las discusiones globales y también denunciar temas que perjudican a la sociedad.

Top 10 de países con más y menos libertad de expresión según el informe "The Global Expression Report 2019/2020" de Article19.

Es, además, una herramienta para periodistas, activistas y defensores de derechos humanos y ha trabajado con la sociedad civil para asegurar el espacio, tal y como explica la organización en defensa de la liberta de información AccessNow. “Este compromiso por las ‘conversaciones sanas’ no ha sido coser y cantar, pero volverle la espalda ahora dañaría seriamente los derechos humanos en una de las plataformas de discurso público más importante”, asegura Carolyn Tackett, su coordinadora de Campañas.

Hacer que todos y cada uno de los usuarios desvelen más datos personales reales sobre su identidad podría llevar a persecuciones y detenciones de personas que están denunciando hechos de su país. Por ejemplo, el de una mujer transexual en Arabia Saudí que manifiesta en un espacio de la red social que quiere dejar el Islam y recibe amenazas de muerte (abandonar la religión está penado por la ley), como recoge este reportaje en Rest of World. O el caso de un usuario residente en Myanmar (Birmania) que usó Twitter tras el levantamiento militar para recaudar fondos para los civiles.

“Internet ha supuesto nuevas posibilidades de informar de otras maneras, para hacer un bypass y puentear límites a la hora de ejercer por ejemplo la libertad de prensa”, nos explicaba la coordinadora de la Plataforma por la Libertad de Información y Expresión (PL), Yolanda Quintana, en nuestro programa de Twitch. Por tanto, tienen que respetarse los mismos derechos que tendríamos en cualquier otra esfera de nuestra vida.

Ser completamente anónimo en Internet -o sea, que nadie pueda saber quién hay tras un perfil- es muy, muy difícil. Crearse cuentas, interactuar con otros usuarios en plataformas digitales o descargar aplicaciones para ello deja una huella digital gigantesca que luego puede seguirse paso a paso para llegar a la identidad real de una persona.

Hemos ido explicando en varias ocasiones cómo se forma esa huella digital y hasta qué nivel de detalle puede perfilarse a una persona en función de los datos personales sobre ella que haya disponibles, más todos los datos que se recogen a nivel técnico de los dispositivos que se usan.  La Agencia Española de Protección de Datos (AEPD) dice precisamente en un informe sobre la huella digital que perfilar a una persona hasta el punto de que se pueda identificar a partir de su actividad en Internet o los datos de sus dispositivos con técnicas de ‘fingerprinting’ puede ser “legítimo” para usar “mecanismos de autenticación de factor múltiple”, por ejemplo. O sea, para identificarnos.

Estos datos técnicos son los que llevan a identificar a una persona que se camufla tras un pseudónimo. Un ejemplo reciente es el polémico caso del activista francés al que la Europol pudo detener gracias a los datos que obligó a entregar al proveedor de correo Protonmail. Este servicio se considera respetuoso con la privacidad de las personas, pero bajo un requerimiento judicial, está obligado a entregar cierta información. En este caso, fue la dirección IP, que ubica aproximadamente a una persona. 

¿Cuál sería la única solución para no tener que entregar datos sobre un usuario? No recogerlos. Justo al contrario de lo que parece proponer Elon Musk con su promesa de “autenticar a todos los humanos reales”. Especialmente, teniendo en cuenta las complicaciones a las que ya se enfrentan otras grandes plataformas como Facebook e Instagram (de Meta) o Google para verificar la identidad y la edad de la gente de una forma estándar.

De ahí que cada cierto tiempo el anonimato en la red vuelva a la agenda política: hay partidos que buscan prohibirlo para poder identificar siempre de forma sencilla a delincuentes que operan online o a personas que difunden discurso de odio en las plataformas, por ejemplo. "Hay que perseguir el crimen pero lo que no se puede hacer para perseguir el crimen es perseguir el anonimato", aseguraba en Twitch el abogado Javier de la Cueva, especializado en tecnologías de la información y anonimato en Internet.

También nos dio al menos tres motivos por los cuales a cualquier persona (sea usuaria de Twitter o no) le debe importar que se respete su anonimato en Internet: existe la posibilidad de que hagamos algo en el presente no se vea con los mismos ojos en el futuro; nuestros actos se pueden interpretar de diferentes maneras en diferentes países; y existe una exposición constante a que se nos perfile en base a nuestros datos personales.

Y antes de irnos...

No somos técnicos o ingenieros pero contamos con mucha ayuda de personas que son expertas en su campo para resolver vuestras dudas. Tampoco podemos deciros qué servicio usar o dejar de usar, solo os informamos para que luego decidáis cuál queréis usar y cómo. Porque definitivamente, juntos y juntas es más difícil que nos la cuelen.

Si tenéis cualquier duda sobre esta información o cualquier otra relacionada con la manera de la que te relacionas con todo lo digital, háznosla llegar:

Cargando…

En este artículo han colaborado con sus superpoderes los malditos Jorge Louzao, Miguel Calvo y José María de Fuentes, especialistas en ciberseguridad.

Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.

Read Entire Article