Las ciberestafas se reinventan y cada vez son más perfectas para robar los ahorros de nuevas víctimas. Los estafadores utilizan técnicas más profesionales que hacen que la víctima deposite plena confianza en ellos, ofreciendo sus datos personales e incluso sus datos bancarios sin apenas resistencia. La estafa más empleada por los ciberdelincuentes es el denominado spoofing. Ésta consiste en suplantar la identidad por ejemplo del banco, incluso clonando el número de teléfono de atención al cliente del mismo en la terminal móvil de la víctima mediante un programa informático. A partir de aquí tus ahorros corren peligro si sigues sus pasos. Sigue estos consejos para evitar a tiempo quedarte arruinado.
Qué es el Spoofing
El spoofing o suplantación de identidad es un ciberataque en el que un ciberdelincuente se hace pasar por una fuente confiable (entidades bancarias, instituciones públicas, proveedores, clientes, compañías telefónicas, aplicaciones, etc.), para hacerse así con sus datos privados y credenciales y cuando es teléfonica... tus ahorros.
Modus operandi
En esta ocasión estamos ante un aestafa en la que los estafadores llaman por teléfono a la víctima haciendose pasar por alguien de su entidad bancaria y asegurando que alguien está realizando movimientos en su cuenta. A continuación piden a la misma los datos para acceder a su cuenta y detener la situación. Es un camino. Otro es que seas tu mismo el que pones el dinero a salvo enviándolo al número de cuenta que te proporcionan. En ambos casos aprovechan para robar el dinero de su cuenta.
El consejo de los expertos
Román Ramírez, Confundador de RootedCON aclara a La Información algunas de las dudas más comunes ante situaciones así. ¿Qué recomendaciones existen para evitar caer en estas estafas? ¿Cómo podrían contribuir los bancos a detener este tipo de técnicas? ¿Cuáles son los últimos avances en ciberseguridad de este sector? La estafa anterior en la que es el propio cliente el que acaba dando todos los datos personales de la cuenta bancaria y los delincuentes aprovechan para dejarle el saldo a cero euros no es nueva.
"Las tácticas de falsear el origen de una comunicación llevan muchísimo tiempo. El término “spoofing” en inglés podría aproximarse a la traducción española con “falseo” o “parodia”. Tanto en direcciones IP como en telefonía móvil es conocido y puede generar diversos problemas al hacerse pasar por la identidad de otra IP o teléfono que, en última instancia, vamos a asociar con un ordenador, dispositivo o persona", puntualiza Román Ramírez. Lo que cada vez sí es más nuevo es que incluso los propios delincuentes te inviten a que compruebes que la llamada que estás recibiendo pertenece a una sucursal concreta.
Principales víctimas de esta estafa
Una vez ejecutado el robo si el cliente luego llama a ese mismo número de teléfono efectivamente le atenderán en una sucursal de banco, pero nadie sabrá nada de la llamada anterior. Todos podemos ser víctima de una estafa así "porque podemos estar en un momento desprevenido y nos pueden convencer. De hecho, creerse inmune a esto es ser vulnerable por exceso de confianza".
Pistas para reconocer esta estafa
"La forma sencilla de defenderse de estas cosas es cortar siempre cualquier comunicación que no hayamos empezado nosotros y a continuación llamar al número que conste en la información oficial de la entidad". Insiste este experto en que la urgencia y la petición de datos que ya debería tener quien nos llama "siempre deben ser banderas rojas".
¿Qué datos puede solicitarte el banco por teléfono?
El banco nunca origina una llamada para pedirte datos: ya los tiene. Y ese es un indicador que nos debe hacer saltar alarmas.
¿Qué datos nunca se deben dar por teléfono?
Desde RootedCON, principal comunidad de profesionales españoles que trabaja para preservar la ciberseguridad de las personas, empresas o instituciones, son tajantes: "Cualquiera". Insisten en que no hay que proporcionarle a nadie que nos llame ningún dato. Ni siquiera nuestro nombre. Es recomendable colgar inmediatamente, si es una llamada, y establecer nosotros la comunicación con la entidad, asegurando que contactamos al canal oficial y, a ser posible, interactiva verificando que hablamos con un humano.
¿Qué documentos nunca debemos enviar?
No sería la primera vez que nos encontramos en una situación en la que tenemos que enviar una imagen del cané de identidad. ¿Lo hacemos? Román Ramírez recomienda que "una muy buena práctica, perfectamente legal, es incorporar una marca de agua en todo documento que nos soliciten. Esto invalida el documento si un tercero quisiera utilizarlo y no impide su verificación. Yo suelo cruzar la dirección de correo (empresarial) de la persona que me pide esa copia".
De esta forma si el documento se terminara filtrando en alguna parte, siempre sabría dónde se ha producido la filtración. Además, no es necesario entregar el documento completo (ambas caras) en casi ningún caso. "Muchas organizaciones lo piden todo “por si cuela”. Ponerse un poco pesado con la privacidad o amenazar con denunciar a la Agencia de Protección de Datos a veces nos puede ayudar".
Recomendaciones para evitar estas estafas
Lo más sencillo es evitar siempre la urgencia. Nada que venga de Internet o por caminos tecnológicos es realmente urgente. Siempre vamos a poder esperar uno o dos días para tomar acción. El criminal siempre quiere estresarnos para que no pensemos con claridad, por lo que la recomendación crítica siempre es: no hagas nada con urgencia. Párate a pensar y a verificar con quién estás hablando.
Otra buena recomendación es tener una contraseña pactada con nuestros familiares. Esto nos puede ayudar a evitar intentos de suplantación de nuestros hijos (“mamá, se me ha roto el móvil…”) o intentos de engaño a ancianos.
Si hemos caído en una estafa ¿qué hacemos?
Una de las primeras cosas es denunciar. La denuncia en muchos casos es nuestra única defensa si, por ejemplo, alguien ha obtenido nuestros datos de identidad y los usa en un fraude posterior, por lo que siempre, siempre, siempre, debemos denunciar.
Si hemos realizado un pago, es crítico notificar al banco cuanto antes, porque en ocasiones son capaces de detener una transacción (generalmente en un margen de 24 y, a veces, 48 horas). Asegurémonos de tener evidencias de que hemos contactado al banco y le hemos pedido que retroceda ese pago.
