En Maldita.es os advertimos habitualmente de esos intentos de phishing en los que se suplanta a una empresa o entidad que conocemos con el objetivo de suscribirnos a un servicio sin que nos demos cuenta. Es el caso, por ejemplo, del falso sorteo de Amazon para ganar un iPhone 13 Pro que esconde una suscripción por un coste de 44 euros cada 14 días. La página web que nos pide rellenar un formulario con nuestros datos personales - para supuestamente recibir nuestro iPhone - también indica, en letra pequeña, que nos van a dar de alta en un servicio de pago.
Pero, ¿y si no hemos leído esa letra pequeña e introducimos nuestros datos personales y bancarios? A través de nuestro ‘buzón de timos’ ([email protected]), nos preguntáis habitualmente cómo podemos averiguar si nos han suscrito o no a un servicio de pago tras haber caído en un ataque de phishing. Según indica Paula González, jefa de Ciberseguridad de GMV y maldita, las empresas “que dependen de técnicas al borde de la estafa para suscribirte a sus servicios, suelen hacerlo de manera que no te des cuenta mientras cumplen la ley”. Por lo tanto, no es tan sencillo descubrir cómo nos han suscrito.
Si has recibido un email, fíjate en la letra pequeña del final
Desde la Oficina de Seguridad del Internauta (OSI) indican a Maldita.es que si nos llega un correo con un aviso de suscripción que no esperamos, debemos fijarnos en la parte de abajo del email. Allí en letra pequeña se debería especificar la forma de cancelar la suscripción, con el texto “anular suscripción”, “darse de baja”, “unsuscribe” (en inglés) o similares.
En este sentido, Miguel Calvo, uno de nuestros malditos e investigador y profesor en Ciberseguridad y Privacidad de la Universidad Rey Juan Carlos, afirma que no es habitual que lleguen este tipo de avisos de suscripción a nuestro email: “Si los ciberdelincuentes han hechos las cosas ‘bien’, no debería. Al ser un timo, van a tratar de evitar que te enteres de que se ha producido un cobro, por lo que es muy probable que no te avisen”. Sin embargo, muchos bancos nos permiten activar alertas por movimientos bancarios, “lo cual es muy recomendable y útil para estos casos: si nos llega una notificación del banco (bien por correo electrónico o bien por la app), podremos comprobar si el pago es lícito o, por el contrario, se trata de un cobro que no esperábamos”.
Si ya te han cobrado, revisa el cargo del banco
“Cuando te suscriben sin que lo sepas, suele ser tras el primer recibo cuando te das cuenta y buscas la información para darte de baja”, señala por su parte José Luis Asensio, auditor de ciberseguridad en S21Sec y maldito que nos ha prestado sus superpoderes. Si bien, estos servicios “son responsabilidad de una empresa y siempre tienen que tener un medio para darte de baja”.
La OSI afirma que, si se han contratado servicios de suscripción de pago no deseados de forma involuntaria, podemos “buscar el concepto del cargo del banco, localizar la empresa y contactar con ella por canales oficiales para que nos indiquen las formas de darse de baja”. Esto es lo que hizo Nuria, una lectora de Maldita.es, tras caer en la falsa oferta de una batería de cocina de Tefal por tan sólo 2 euros. La víctima introdujo sus datos personales y los datos de su tarjeta en la web fraudulenta y le hicieron un cargo de dos euros. Como podemos observar en la captura que facilitó Maldita.es, el cargo estaba a nombre de una web denominada easyfood247.com:
Esta página ofrecía un plan de suscripción por 48 euros, pero Nuria mandó un correo al email de contacto de la web y consiguió que cancelaran su suscripción a tiempo.
Busca el email para darte de baja en los "Términos y condiciones" de la web fraudulenta
Además, si conservamos el enlace de la web fraudulenta en la que hemos introducido nuestros datos personales y bancarios, podemos consultar en el apartado de “Términos y condiciones” la dirección de correo electrónico para poder darnos de baja.
Miguel Calvo apunta que la forma más eficaz y rápida de saber si estamos suscritos a algún servicio de pago es revisar nuestra cuenta bancaria frecuentemente. Si existen cobros de algo inesperado, debemos contactar inmediatamente con nuestro banco para contarles lo sucedido, bloquear o anular la tarjeta bancaria que hemos introducido en la web fraudulenta y “tratar de revocar el cobro”. En todo caso, antes de proporcionar ningún dato debemos verificar que la página web es segura y las condiciones que nos ofrecen para no llevarnos ningún susto.
En este artículo han colaborado con sus superpoderes los malditos José Luis Asensio, Paula González y Miguel Calvo.
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.
Primera fecha de publicación de este artículo: 27/07/2022