Joan recibió hace un tiempo una llamada desde el número de teléfono de su sucursal bancaria. Al otro lado del teléfono hablaba un hombre, que se identificó como trabajador del banco. Le llamó para avisarle de que alguien estaba intentando sacar 400 euros de su cuenta bancaria y, para confirmarlo, le indicó los 20 dígitos correctos del número de su cuenta.
No sospechó: le llamaban desde el número que tenía agendado, sabían todos sus datos y, además, conocían a la perfección su cuenta bancaria. Tras darle esa información, desde lo que Joan pensaba que era su banco le invitaron a hacer una prueba para evitar que el presunto intento de robo le sucediera de nuevo.
Durante la misma llamada le indicaron que debía ahora comprobar que su servicio de ‘instant money’ funcionaba, pues resulta que el robo había sido perpetrado desde este servicio.
‘Instant money’: así funciona la estafa
Esta innovadora función –‘instant money’- permite a cualquier cliente del banco autorizar a otra persona a retirar dinero al instante desde un cajero automático. La persona propietaria de la cuenta debe ordenar la retirada desde su aplicación del banco y anotar el número de teléfono de la persona que lo retirará, poniendo su firma digital para confirmar la identidad. Una vez hecho, la persona autorizada recibirá un código con el que poder retirar el dinero.
Fue entonces cuando Joan empezó a sospechar: nunca antes había oído hablar del ‘instant money’ y no lo tenía activado, pero siguió las indicaciones. El supuesto señor del banco le dijo que, para probar, intentarían hacer una operación sencilla a través de este servicio.
Para «mayor seguridad», debía enviarse el dinero a sí mismo: él ordenaba una retirada de dinero a su mismo número de teléfono. La prueba no tenía más recorrido: sin ese código -que solo Joan iba a recibir- nadie podría sacar el dinero. Pero, desde la llamada, le instaron a que dijera el código recibido en el SMS para «comprobar» que era el correcto con «los datos enviados por el banco».
Una estafa muy recurrente y peligrosa
En ese momento, las sospechas de Joan evitaron que este revelara el código que había recibido por SMS, y colgó. Así evitó que los timadores, que seguramente estaban al lado de un cajero esperando que Joan les diera el número recibido por SMS, le robaran. Al día siguiente, Joan fue a su oficina bancaria, donde le confirmaron que se trata de una estafa muy recurrente y peligrosa.
Los Mossos d’Esquadra, de hecho, acaban de emitir una alerta en el que avisan de este método: «Con el ‘vishing’, el estafador intenta conseguir tus datos personales con una llamada de teléfono suplantando a tu banco», advierten a través de su cuenta de X. «Estate alerta, el año pasado recibimos el doble de denuncias de cibercrímenes que el 2022», concluye el tuit.
‘Spoofing’ o ‘vishing’: suplantar la identidad del banco
Suplantar la identidad, en este caso de la entidad bancaria, para engañar y robar a las víctimas es una forma de estafa que se conoce como ‘spoofing‘ bancario. También se conoce como ‘vishing’, que el Instituto Nacional de Ciberseguridad (Incibe) define como una técnica en la que, «a través de una llamada, se suplanta la identidad de una empresa, organización o persona de confianza, con el fin de obtener información personal y sensible de la víctima».
De hecho, el Incibe alerta en su web de que «detectar una suplantación de identidad telefónica puede ser difícil, ya que los ciberdelincuentes utilizan técnicas cada vez más sofisticadas».
Ejemplo de ello es que consiguen llamar desde el número de teléfono de tu banco. Se puede hacer de dos maneras:
La primera consiste en usar un servicio de VoIP (Voz sobre protocolo de Internet, por sus siglas en inglés) que permite contactar con el destinatario como si fuera una llamada por red telefónica cuando en realidad se trata de una comunicación por internet.
El segundo método es llamar desde otro número, pero cambiando el número que le aparece en pantalla al destinatario, algo que los mismos proveedores de VoIP pueden hacer, pues no suelen comprobar si el cliente es el dueño del número que solicitan.
Cómo saben tus datos
La técnica que usan estos ciberdelincuentes para que confíes en ellos es darte datos que aparentemente nadie puede conocer sin tú saberlo. Saben tu nombre, apellidos, DNI, número de teléfono (te llaman directamente) y, como en el caso de Joan, también tu cuenta bancaria.
Estas informaciones las suelen obtener de filtraciones de datos masivas que roban a grandes empresas, pero también las pueden comprar en el mercado negro. Por ejemplo, en 2018, la empresa de Facebook (ahora Meta) reconoció que se habían filtrado 30 millones de datos de usuarios por un ataque pirata. Este fue un caso muy conocido, por la dimensión de la empresa, pero ocurre en muchas otras compañías.
También puede ser que los datos los hayas dado tú mismo como víctima de un engaño de ‘phishing’, otro tipo de estafa que generalmente te lleva a un enlace donde te piden tus datos. Si no te roban dinero puedes no darte cuenta del delito, pero seguramente te hayan robado datos para usarlos en otra estafa mayor.
Algunos consejos y recomendaciones
El Incibe, en su portal web, recoge algunos consejos y recomendaciones que debemos tener en cuenta para evitar estos timos:
- Si la persona pide datos personales o información confidencial por teléfono debes sospechar: los bancos u otras empresas nunca te pedirán datos bancarios o contraseñas por teléfono. De hecho, en la página web de algunas entidades, como el Banco Santander, ya advierten de que nunca solicitarán a sus clientes que proporcionen credenciales de la banca electrónica ni ninguna otra información sensible a través de ningún medio como SMS, llamada telefónica o correo electrónico.
- El tono de urgencia: siempre reclamarán de manera urgente, con sensación de autoridad y exigiendo a actuar de manera rápida para así no tener tiempo en pensar lo que estamos haciendo. Si lo notas en la llamada, sospecha.
- No puedes devolver la llamada si marcas el número: si se cuelga la llamada y al intentar llamar de vuelta al número no contactas con la misma persona, es un timo. Seguramente contactes con tu banco de verdad y te informen de que no existe esa identidad.
