"Orden de transferencia por importe de 10.000,00 euros realizada con éxito, si no reconoce dicha operación verifique: ibercaja.app-serviciosclientes.com"."Se ha vinculado un nuevo dispositivo en su banca online si no ha sido usted verifique inmediatamente en inicioibercaja.net-avisos.info". "BBVA: Para la transferencia puntual de 14.810 euros y cuenta destino ES*XXXX utiliza el código XXXXXX, NUNCA lo compartas. Si no reconoces, llame al 93XXXXXXX".
Este último caso es un "vishing" -procede de la V de Voice y significa que es por llamada telefónica- y es una modalidad de estafa cibernética en la que, en lugar de un enlace fraudulento en el SMS, se inserta en él un número de teléfono controlado por los estafadores al que llamar de urgencia. Ahí, con la música y el mensaje habitual de espera del banco, el cliente espera la contestación de un amable agente del departamento de ciberseguridad que utiliza la psicología inversa como engaño para acabar consiguiendo que se realice una transferencia fraudulenta.
Resulta obvio que en cada comunidad se reproducen estos crímenes con el nombre de las entidades con mayor cuota de mercado en el territorio. Cuestión de estadística.
En la búsqueda de un clima de confianza, la víctima reconoce su identidad y el estafador consigue los códigos de doble autenticación para completar operaciones si previamente el afectado pincha en el enlace fraudulento en SMS o que transfiera su dinero a cuentas "seguras" que, en verdad, está controlada por los delincuentes.
Los dos primeros exponentes corresponden al fenómeno "smishing" (de SMS al ser el conducto usado), con esos contenidos que guían hasta una falsa página web en la que la artimaña está servida. Firmar la doble autenticación es la puerta de acceso -igual que en el vishing-, luego se entrega el código y se completa la operación.
Estas dos vías para las estafas cibernéticas tienen un punto en común, y es que al final es el propio usuario el que facilita los datos. "Si los das, caes en la estafa", afirma el economista Carlos Solano, de ardiCiber -agencia de recuperación de caudales estafados-, consultado por nuestro diario.
LLAMADAS DE COMPAÑÍAS
El engaño es secuencial y comienza con las características llamadas que recibimos de comercializadoras o distribuidoras en boca de comerciales que hablan falsariamente en nombre de compañías de luz o de teléfono, preguntando, entre otras cuestiones, si está satisfecho con la factura o con el servicio, y ofreciendo mejoras en los contratos. En el momento en el que se ha abatido la barrera de la desconfianza, obtienen además de la identificación la dirección, el número del DNI y el IBAN de la cuenta bancaria.
A partir de ahí, cuando se pincha en el enlace del SMS cuyo aspecto visual da a entender que se trata de la entidad bancaria correcta o se llama al número del SMS (smishing), el peligro está ya ahí. Cuando se hace caso de la llamada del suplantador del banco tras recibir más SMS fraudulentos en los que intimidan con más ataques a tu cuenta (vishing).
Como explica Carlos Solano, "toda estafa comienza con un robo de datos, que es lo que hace que el primer engaño y los subsecuentes sean más convincentes" por la vía de la confianza establecida por el comercial que, a partir de ahí, tiene una autopista hacia la ciberestafa.
El caso cierto es que estas amenazas están invadiendo nuestra vida y hay que intentar evitarlas, aunque, en todo caso, si alguien ha caído por la propia verosimilitud de elementos corporativos ciertos de las entidades financieras, y aunque hayan caído en la trampa de realizar la doble autenticación, lo mejor es dirigirse a compañías expertas como ardiCiber, que ha utilizado jurisprudencia y doctrina favorable del Supremo y de distintas audiencias provinciales.
CONSEJOS CONTRA LAS CIBERESTAFAS
Para evitar el vishing y otras modalidades de ciberestafas, sigan las siguientes recomendaciones:
- No compartir información personal ni contratar productos a través de llamadas telefónicas comerciales por muy convincentes y atractivas que parezcan sus ofertas.
- Desconfiar de SMS y llamadas desde tu banco en las que te avisen de peligros en tu banca digital.
- No actuar con precipitación ni acceder a enlaces de banca electrónica en SMS aunque se alojen en un hilo confiable de ellos.
- No llamar a teléfonos insertos en SMS de tu banco.
- No compartir con tu supuesto gestor bancario ningún código, contraseña o usuario de banca digital.
- Desconfiar sistemáticamente de cualquier llamada de comerciales de empresas o departamentos de ciberseguridad de tu entidad aunque sean convincentes.
- Colgar la llamada y llamar al teléfono oficial de tu banco para comprobar lo sucedido y notificarle la incidencia si se compartieron datos sensibles para bloquear y retroceder cargos fraudulentos.
- No descargarse programas de control remoto (como por ejemplo Anydesk) para que el "gestor" bancario te “ayude” en la solución del “incidente”.
- Y un último consejo, …. denunciar la estafa en dependencias policiales si finalmente caes en el engaño