¡Maldito Timo ya ha cumplido un mes de vida! Y para celebrarlo os traemos nuestro segundo consultorio. Hoy resolvemos algunas de las dudas más frecuentes que nos trasladáis: si he picado en un ataque de phishing y he introducido mi tarjeta bancaria, ¿cómo puedo saber si me han suscrito a un servicio de pago online? Y si es el caso, ¿cómo me puedo dar de baja? También os advertimos sobre el timo de la “llamada perdida” y os explicamos cómo se calcula el coste si decidimos devolver la llamada a los timadores. Por último, repasamos los posibles riesgos de las URL acortadas que se utilizan en los intentos de phishing y qué precauciones debemos tener en cuenta.
Podéis contactarnos a través del correo electrónico [email protected], en nuestro perfil de Twitter, Facebook y también en nuestro chatbot de WhatsApp (+34 644 229 319). También puedes escribirnos en el ‘buzón de timos’ que se encuentra al final de este artículo. Allí nos podéis mandar todas las preguntas que tengáis relacionadas con los timos online y las resolveremos el último martes de cada mes. ¡Vamos al lío!
He caído en un ataque de ‘phishing’ y he introducido mis datos personales y bancarios. ¿Cómo puedo saber si me han suscrito a un servicio de pago sin mi conocimiento? ¿Cómo me doy de baja?
En Maldita.es os advertimos habitualmente de esos intentos de phishing en los que se suplanta a una empresa o entidad que conocemos con el objetivo de suscribirnos a un servicio sin que nos demos cuenta. Es el caso, por ejemplo, del falso sorteo de Amazon para ganar un iPhone 13 Pro que esconde una suscripción por un coste de 44 euros cada 14 días. La página web que nos pide rellenar un formulario con nuestros datos personales - para supuestamente recibir nuestro iPhone - también indica, en letra pequeña, que nos van a dar de alta en un servicio de pago.
Pero, ¿y si no hemos leído esa letra pequeña e introducimos nuestros datos personales y bancarios? A través de nuestro ‘buzón de timos’ ([email protected]), nos preguntáis de forma recurrente cómo podemos averiguar si nos han suscrito o no a un servicio de pago tras haber caído en un ataque de phishing. Según indica Paula González, jefa de Ciberseguridad de GMV y maldita, las empresas “que dependen de técnicas al borde de la estafa para suscribirte a sus servicios, suelen hacerlo de manera que no te des cuenta mientras cumplen la ley”. Por lo tanto, no es tan sencillo descubrir cómo nos han suscrito.
Desde la Oficina de Seguridad del Internauta (OSI) indican a Maldita.es que si nos llega un correo con un aviso de suscripción que no esperamos, debemos fijarnos en la parte de abajo del email. Allí en letra pequeña se debería especificar la forma de cancelar la suscripción, con el texto “anular suscripción”, “darse de baja”, “unsuscribe” (en inglés) o similares.
En este sentido, Miguel Calvo, uno de nuestros malditos e investigador y profesor en Ciberseguridad y Privacidad de la Universidad Rey Juan Carlos, afirma que no es habitual que lleguen este tipo de avisos de suscripción a nuestro email: “Si los ciberdelincuentes han hechos las cosas ‘bien’, no debería. Al ser un timo, van a tratar de evitar que te enteres de que se ha producido un cobro, por lo que es muy probable que no te avisen”. Sin embargo, muchos bancos nos permiten activar alertas por movimientos bancarios, “lo cual es muy recomendable y útil para estos casos: si nos llega una notificación del banco (bien por correo electrónico o bien por la app), podremos comprobar si el pago es lícito o, por el contrario, se trata de un cobro que no esperábamos”.
“Cuando te suscriben sin que lo sepas, suele ser tras el primer recibo cuando te das cuenta y buscas la información para darte de baja”, señala por su parte José Luis Asensio, auditor de ciberseguridad en S21Sec y maldito que nos ha prestado sus superpoderes. Si bien, estos servicios “son responsabilidad de una empresa y siempre tienen que tener un medio para darte de baja”.
La OSI afirma que, si se han contratado servicios de suscripción de pago no deseados de forma involuntaria, podemos “buscar el concepto del cargo del banco, localizar la empresa y contactar con ella por canales oficiales para que nos indiquen las formas de darse de baja”. Esto es lo que hizo Nuria, una lectora de Maldita.es, tras caer en la falsa oferta de una batería de cocina de Tefal por tan sólo 2 euros. La víctima introdujo sus datos personales y los datos de su tarjeta en la web fraudulenta y le hicieron un cargo de dos euros. Como podemos observar en la captura que facilitó Maldita.es, el cargo estaba a nombre de una web denominada easyfood247.com:
Esta página ofrecía un plan de suscripción por 48 euros, pero Nuria mandó un correo al email de contacto de la web y consiguió que cancelaran su suscripción a tiempo.
Además, si conservamos en enlace de la web fraudulenta en la que hemos introducido nuestros datos personales y bancarios, podemos consultar en el apartado de “Términos y condiciones” la dirección de correo electrónico para poder darnos de baja.
Miguel Calvo apunta que la forma más eficaz y rápida de saber si estamos suscritos a algún servicio de pago es revisar nuestra cuenta bancaria frecuentemente. Si existen cobros de algo inesperado, debemos contactar inmediatamente con nuestro banco para contarles lo sucedido, bloquear o anular la tarjeta bancaria que hemos introducido en la web fraudulenta y “tratar de revocar el cobro”. En todo caso, antes de proporcionar ningún dato debemos verificar que la página web es segura y las condiciones que nos ofrecen para no llevarnos ningún susto.
Si caigo en el timo de la ‘llamada perdida’, ¿cuánto me pueden cobrar por devolver esa llamada?
Las autoridades llevan años alertando del timo de la “llamada perdida”. Un número extranjero y desconocido nos hace una llamada de un solo tono y luego cuelga. Nos pica la curiosidad, decidimos llamar de vuelta y es entonces cuando se produce el timo. Al devolver la llamada se nos cobrará “una tarificación especial, de la que el timador se lleva una parte”, según explica la Guardia Civil. El cuerpo advierte de cuatro prefijos internacionales en concreto: +355 (perteneciente a Albania), +225 (Costa de Marfil), +233 (Ghana) y +234 (Nigeria).
Pero, ¿cuánto nos puede costar esta llamada? Si devolvemos la llamada a los timadores se nos cobrarán dos cosas. En primer lugar, nuestro operador nos cobrará una determinada cantidad por estar realizando una llamada internacional. Desde la Comisión Nacional de los Mercados y la Competencia (CNMC) indican a Maldita.es que cada compañía telefónica fija ese precio y puede ser distinto si se realiza desde un fijo o un móvil. “Igualmente, el precio no será el mismo si la llamada es desde España a un país dentro de la zona EU-27 o fuera de él”, señalan. En algunos casos, podemos consultar las tarifas para las llamadas internacionales en las respectivas páginas web de las operadoras telefónicas, como Vodafone, Orange, Movistar o Pepe Phone.
En segundo lugar, el coste dependerá de los precios establecidos en el país de destino para los números de tarificación especial, según nos explica Eloy Somoza, maldito que nos ha prestado sus superpoderes y experto en el mercado de las telecomunicaciones. Es la compañía que recibe la llamada en ese país extranjero la que “le pasa la factura a tu operador”.
“Depende del país, de la tarifa, así como de la compañía contratada”, afirma Facua - Consumidores en Acción a Maldita.es. En esta nota de prensa, Facua señala que el timador obtiene como beneficio un alto porcentaje del coste de la llamada dado que los números extranjeros desde los que nos llaman equivalen a lo que en España se conoce como números de tarificación adicional, que ofrecen distintos servicios.
De este modo, si devolvemos la llamada perdida a ese número extranjero, nos cobrarán una determinada cuantía económica añadida por cada minuto de conversación. Como explica aquí Movistar, el objetivo de los timadores es retenernos al teléfono e incluso utilizar locuciones automáticas para evitar que colguemos pronto y así inflar nuestra factura.
De hecho, en nuestro país también se utilizan este tipo de números de tarificación especial para cometer timos. En Maldita.es ya os contamos que la Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF) no estaba enviando SMS para informarnos de un supuesto fichero de morosidad.
Ese mensaje de texto nos incitaba a llamar urgentemente a un número de tarificación adicional con prefijo 803, que son los que corresponden a servicios exclusivos para adultos. Mientras, los números con prefijo 806 corresponden a servicios de ocio y entretenimiento y los que tienen prefijos 807 a servicios profesionales. En estos casos, sí podemos estimar cuánto nos costaría la llamada dado que los precios de estos números de tarificación adicional están regulados por la legislación española, en la Orden IET/2733/2015, de 11 de diciembre.
Desde la CNMC indican que la clave para conocer el coste es la cuarta cifra del número (803X). “Esa cifra determina el rango de tarifas bajo el que se encuentra la llamada, y está regulado por normativa, por lo que todos los operadores deben cobrar lo mismo”, explica la comisión. Y añade: “Por ejemplo, si esa cuarta cifra es superior a 6, hay que autorizar expresamente a la compañía telefónica para que te permita acceder a este tipo de servicios, ya que el precio es superior a un euro por minuto desde fijo, y superior a 1,30€ desde móvil”. Para conocer en detalle los precios también podemos consultar El Plan Nacional de Numeración - Guía práctica de usuario que publica el Ministerio de Asuntos Económicos y Transformación Digital. Como señala Facua, el precio también puede variar en función de si la llamada se realiza desde una línea fija o línea móvil.
Ahora bien, como consumidores, ¿podemos hacer algo para evitar estos timos? “La respuesta es sí. Puedes contactar con tu compañía de teléfono para que te bloquee la posibilidad de realizar las llamadas internacionales y a números de tarificación adicional”, apunta la CNMC. Lo mismo indica Somoza, experto en el mercado de telecomunicaciones y destaca que “si tenemos que realizar alguna llamada internacional justificada, tan sólo debemos recordarlo para pedir que nos la habiliten”.
En esta misma línea, Facua explica que cada compañía tiene un sistema para desactivar las llamadas a los números de tarificación especial (tanto las entrantes como las salientes). “Esta posibilidad se puede realizar tanto en el momento de la contratación de la línea como en un momento posterior. Asimismo, el consumidor puede realizarlo contactando con atención al cliente de la compañía”, asegura la organización.
¿Qué precauciones puedo tener en cuenta ante los enlaces acortados?
Uno de los riesgos a los que nos exponemos al navegar por internet son las URL acortadas. Esto sucede principalmente porque estas direcciones acortadas no nos permiten conocer de entrada dónde nos llevan o a qué página nos están redirigiendo. Como ya os hemos advertido en varias ocasiones, tenemos que ser especialmente cuidadosos ya que los ciberdelincuentes usan técnicas cada vez más sofisticadas. La Oficina de Seguridad del Internauta (OSI) nos explica que hoy nuestra seguridad puede verse comprometida tan sólo por hacer click en un enlace de estas características.
Una URL acortada es simplemente una dirección web con menos caracteres que la original, yque en cualquier caso nos dirige al mismo sitio. Las dudas surgen porque el enlace acortado suele sustituir el dominio principal (por ejemplo, Maldita.es), por el nombre del servicio que se encarga de acortarlo (por ejemplo, Bitly.es).
La OSI explica que este tipo de enlaces nacen en 2001, con una vinculación muy estrecha con las redes sociales (ya que, entonces, la mayoría de ellas sólo nos permitían enviar mensajes con un número muy limitado de caracteres). Desde 2001, el uso de las URL acortadas se ha extendido principalmente para hacer más breves los enlaces que añadimos en los mensajes (SMS). Plataformas como Twitter, que mantienen el límite de publicar mensajes de sólo hasta 280 caracteres, siguen haciendo gran uso de las URL acortadas. En lo que respecta a las redes sociales, tanto Facebook, como Twitter, LinkedIn y Youtube tienen sus propios recortadores de URL integrados, para facilitar la tarea a los usuarios. Por ejemplo, imagina que quieres compartir el link de una de nuestras Malditas Twitcherías en una publicación de LinkedIn. Aunque en el borrador de tu publicación incluyas el enlace original, LinkedIn “transformará” (aunque realmente no cambie) el enlace automáticamente una vez lo publiques, mostrando una versión acortada del mismo.
Al margen de estos “servicios automáticos” que integran algunas redes sociales, podemos encontrar otras plataformas en internet que nos permiten acortar las URL de forma manual y gratuita. La OSI cita, entre otros ejemplos, a Ow.ly, Buffer o TinyURL.
Para convertir una URL a su versión acortada, por ejemplo, con TinyURL, bastaría con copiar el enlace original que queremos convertir y pegarlo en la caja de texto de esta nueva web. Al hacer click en “convertir” ya tendríamos nuestra URL acortada. Esto sería, no obstante, en el caso de quisiéramos conformarnos con un enlace acortado “automático”, pero también podemos personalizarlo.
Si decidimos personalizar nuestra URL acortada, estas webs nos permitirán rebautizar la URL (cambiar el nombre que le hemos dado), editar la dirección original a la que apunta la URL recortada, elegir en qué redes sociales queremos compartir el resultado final, crear un código QR para compartirla o incluso obtener estadísticas detalladas (aunque esta última opción no está disponible en la versión gratuita).
Gracias a la reducción de estas URL, como explica la OSI, se produce un enlace más práctico y que queda mejor a nivel estético (siempre será preferible un enlace que no ocupe dos líneas). No obstante, conllevan riesgos adicionales. Estos enlaces son utilizados a menudo por los ciberdelincuentes, que se aprovechan del hecho de que las URL acortadas no nos permiten ver el lugar al que vamos a acceder antes de hacer click en ellas. Incluso si pasamos el cursor por encima del enlace, no llegaremos a ver el destino final del link. La OSI señala que los ciberdelincuentes pueden hacer uso de esta situación para provocar los siguientes daños en nuestros dispositivos:
- Descarga de malware: el enlace acortado puede redirigirnos a un sitio web desde el que se descargará software, aplicaciones o archivos maliciosos en nuestros dispositivos.
- Ataque de phishing o smishing: la URL acortada puede redirigirnos a un sitio web malicioso que suplante a una entidad o servicio. Este tipo de enlaces, como ya os hemos contado en Maldita.es, nos invitan a introducir nuestros datos personales o bancarios para hacerse con su control, también a través de SMS (donde más circulan las URL acortadas).
- Spam: otro peligro de los enlaces acortados es que nos dirijan a una página de spam o publicidad no deseada. Este tipo de webs a veces contienen anuncios fraudulentos con los que también pueden acabar robando nuestros datos (por ejemplo, intentando que nos suscribamos a servicios premium).
Víctor Jesús Agulló, analista de seguridad y maldito, señalaba a Maldita.es que para comprobar qué había detrás de una URL acortada que nos había llegado por SMS teníamos que llevarla a un ordenador que tenga instalado un antivirus y abrirla desde ahí. Paula González, jefa de Ciberseguridaden GMV y maldita, señalaba que debíamos llevar el enlace al ordenador por dos motivos: que una URL larga nos aporta más información (y así podemos valorar si se trata de un sitio legítimo y seguro o no) y que, si se trata de un enlace que busca “explotar” una vulnerabilidad de nuestro dispositivo móvil, en el ordenador no debería funcionar. Además, González recomienda abrirla desde un navegador distinto al que utilizamos habitualmente para otros trámites. Miguel Calvo, uno de nuestros malditos e investigador y profesor en Ciberseguridad y Privacidad de la Universidad Rey Juan Carlos, aseguraba que “la mejor comprobación para saber si se trata de un enlace en una página web fraudulenta es observar la dirección de web completa”. La observación siempre es importante.
La OSI también señala que no todas las URL acortadas son un peligro. Éstas son las recomendaciones que proporciona para que utilicemos las URL acortadas de forma segura: ser cuidadosos aunque se hayan generado con servicios conocidos; instalar un complemento en nuestro dispositivo como Unshorten.it (que nos permite conocer la dirección original a la que lleva el enlace) y que detecta posible malware (también existe la extensión Link Unshorten para Mozilla Firefox); utilizar un analizador de direcciones web o URL, que nos mostrará información útil, la URL completa y realizará un análisis de malware (existen versiones online gratuitas como VirusTotal y URLVoid) y, por último, no proporcionar nunca ningún dato privado o contraseña a páginas webs con URL acortadas.
Además de todas estas precauciones, la OSI señala que debemos navegar siempre con cautela, acceder a sitios web conocidos (y con garantías como que empiecen por https) y ser cuidadosos con los enlaces en los que hacemos click.
Y para terminar…
Antes de finalizar, os recordamos que si habéis sido víctima de un fraude el primer paso es acudir a las autoridades. Y, aunque en Maldito Timo no somos técnicos ni expertos en ciberseguridad, sí contamos con la ayuda de muchos profesionales que están dispuestos a echarnos una mano para resolver vuestras dudas y así aprender juntos a defendernos ante los riesgos en internet. Si tienes cualquier duda sobre ciberestafas, puedes hacérnosla llegar a través de nuestro ‘buzón de timos’. ¡Juntos y juntas es mucho más difícil que nos la cuelen!
En este artículo han colaborado con sus superpoderes los malditos Eloy Somoza, José Luis Asensio, Víctor Jesús Agulló, Paula González y Miguel Calvo.
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.