Hoy en día es habitual que abramos nuestro correo electrónico y nos encontremos con un email que dice ser de nuestro banco y que nos pide, con mensajes alarmantes, acceder a nuestra cuenta a través de un enlace. Ocurre lo mismo con los SMS que nos llegan, muchos de ellos en la misma cadena que los que nos envía nuestro banco. El objetivo de los ciberdelincuentes siempre es el mismo: hacerse con nuestros datos y claves bancarias usando técnicas de ingeniería social.
En la Maldita Twitchería, aprovechando el Día Internacional de Internet Segura, hemos hablado con especialistas que nos cuentan cómo los ciberdelincuentes nos la consiguen colar y qué debemos hacer una vez hemos sido víctimas de uno de estos engaños.
Ante la duda, lo recomendable es desconfiar y llamar al banco
“Los ciberdelincuentes saben que muchas veces el eslabón más débil dentro de la ciberseguridad es el propio ser humano”, afirmaba la maldita, criminóloga y jurista especialista en ciberinteligencia, privacidad y ciberseguridad, Susana Alwasity. Por ello, es muy importante fijarnos en detalles como la URL, el aspecto de la página, si el mensaje o correo electrónico contiene faltas de ortografía, imágenes pixeladas, etc. Y, ante la duda, nos aconseja que llamemos al banco antes de proporcionar cualquier dato.
La experta también nos cuenta en qué circunstancias debe el banco devolvernos el dinero cuando somos víctimas de un caso de phishing. En Maldita.es ya os contamos también qué debemos hacer si hemos perdido o nos han robado la tarjeta.
¡Cuidado también con las contraseñas débiles! Los PIN de las tarjetas bancarias se componen de sólo cuatro dígitos. Esto hace que pueda ser fácil de adivinar por los ciberdelincuentes si, por ejemplo, una red social sufre una fuga de datos. “La ingeniería social consiste en intentar sacar datos sobre nosotros y hacer una quiniela para adivinar nuestra contraseña” señala Alwasity.
Por tanto, lo recomendable es usar gestores de contraseña donde podamos almacenar un PIN robusto y evitar tenerlo apuntado en cualquier papel o libreta. Si optas por esto último, la experta en ciberseguridad nos aconseja no guardarlo en texto plano, es decir, apuntarlo en una libreta con números de teléfono simulando que es un número más. “Que el PIN se corresponda con los últimos dígitos o con los de la mitad, por ejemplo”, añade.
Cómo consiguen los ciberdelincuentes colar un SMS dentro de la cadena de mensajes que nos envía nuestro banco
Una nueva modalidad de timos consiste en el envío de un SMS fraudulento que se cuela en la misma bandeja de entrada en la que recibimos los mensajes oficiales del banco. Esto se llama SMS Spoofing o, lo que es lo mismo, suplantación de SMS, y los ciberdelincuentes pretenden hacernos creer que el mensaje nos lo envía nuestro banco para que accedamos a dar nuestros datos. En Maldita.es ya os hemos contado que los bancos nunca nos van a enviar un SMS con un link ni nos van a pedir datos personales por esta vía, tampoco por correo electrónico o llamadas.
Pero, ¿cómo consiguen los ciberdelincuentes enviarnos esos mensajes a nombre de nuestro banco? El docente e investigador en ciberseguridad y ciencias de la computación de la Universidad Rey Juan Carlos y también maldito Miguel Calvo, señala que se trata de un fallo en la comprobación. “Desde el origen están diciendo que son ese banco. Aunque realmente están enviando el mensaje desde un número distinto al del banco, llega como si el destinatario fuese el propio banco. Al final hay empresas poco éticas que te permiten hacer este tipo de cosas. Si haces una búsqueda en internet, uno de sus servicios es simular que estás enviando un mensaje en nombre de otra persona”, añade.
¿Pueden hacer más los bancos para mejorar la ciberseguridad? En la opinión de Calvo, “lo tienen difícil porque son también víctimas de este tipo de ataques”. No obstante, el experto en ciberseguridad anima a todas las víctimas a que lo denuncien ante las Fuerzas y Cuerpos de Seguridad del Estado (FCSE): “Pueden estafar a cualquiera, somos humanos y cometemos errores”, concluye.
Actuar rápido juega en nuestro favor
También se ha pasado por la Twitchería el vicepresidente de la organización de consumidores FACUA, Miguel Ángel Serrano, para contarnos qué debemos hacer cuando nos damos cuenta de que hemos sido víctimas de un caso de phishing. “Hay que ponerlo en conocimiento de la entidad lo antes posible ya que la normativa, la Ley de Servicios de Pago, habla de plazos, por lo que el tiempo puede jugar en contra del consumidor”, señala.
Es importante, añade, que pongamos una reclamación al banco para que anule el cargo que nos han hecho y, como mencionaba Miguel Calvo, denunciarlo a las autoridades. “La posición correcta es que la entidad financiera te devuelva el dinero de forma inmediata, si se ha informado y reclamado rápidamente y se ha puesto denuncia”, explica. Por tanto, aconseja que “si no nos devuelven el importe” acudamos a asociaciones de consumidores, ya que ha habido casos, como os contamos en Maldita.es, en los que el banco negó la devolución del importe al cliente en un principio y este lo recuperó tras contactar con la organización de consumidores.
Hablamos con una víctima que consiguió que su banco le devolviera el dinero
Seguro que a muchos os suena el timo que circula por la plataforma de BlaBlaCar en el que, bajo alguna excusa, el supuesto conductor envía un enlace a los pasajeros para que ingresen sus datos bancarios en una web que suplanta a la de la plataforma. De este fraude fue víctima la hija de Ana, otra de las invitadas que se ha pasado por nuestro Twitch. Indica que le quitaron más de 800 euros tras dar sus datos en la página fraudulenta.
“Cuando comprobé las cuentas al día siguiente, había tres salidas de dinero cobradas con comisiones. Llamé al banco, bloqueé la cuenta e hice la denuncia en comisaría”, nos explica. Asegura que el banco no le envió ningún mensaje, a pesar de que su hija en la cuenta sólo tenía 100 euros y la habían dejado en saldo negativo. “En un principio el banco se negó a devolverme el dinero pero al dejarme la cuenta en números rojos y no avisarme, puse la reclamación”, consiguiendo que le devolvieran la totalidad del importe.
En esta twitchería han colaborado con sus superpoderes l@s maldit@s Miguel Calvo y Susana Alwasity, especialistas en ciberseguridad.
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.