Estamos en el último martes del mes y eso significa que es hora del consultorio de Maldito Timo. En esta nueva edición, te contamos qué puedes hacer si desde tu cuenta de Facebook Messenger se envía automáticamente el mensaje “¿Eres tú en este vídeo?” a tus contactos, un intento de phishing con el que podrían robar la cuenta de tus amigos. Seguimos hablando del fraude BEC (Business Email Compromise), ese que se produce cuando un ciberdelincuente cambia el número de cuenta en una factura. Te explicamos si el banco podría tener la responsabilidad (o no) de devolvernos el dinero. Por último, aclaramos qué es un keylogger, un tipo de malware que puede grabar y registrar las pulsaciones del teclado de nuestro dispositivo y, de esta forma, hacerse con nuestras contraseñas y otra información sensible.
Si tienes cualquier duda sobre ciberseguridad, puedes mandarla a nuestro ‘buzón de timos’ ([email protected]), a nuestros perfiles de Twitter y Facebook o a nuestro chatbot de WhatsApp (+34 644 229 319). ¡Vamos al lío!
A mis contactos de Facebook Messenger no para de llegarles el mensaje “¿Eres tú en este vídeo?” desde mi cuenta. ¿Por qué sucede y cómo podemos desactivarlo?
A través de nuestro ‘buzón de timos’ ([email protected]), un lector de Maldita.es nos ha preguntado cómo puede evitar que se mande desde su cuenta de Facebook Messenger, la aplicación de mensajería de la red social, el mensaje “¿Eres tú en este vídeo?” a sus contactos. Como ya os advertimos en Maldita.es, este mensaje intentará robar la cuenta del usuario que lo recibe, por lo que si alguien te avisa de que ha recibido un mensaje así de tu parte, es posible que tu cuenta se haya configurado para enviar spam de forma automática tras haber pinchado en un enlace no seguro o después de haber instalado software malicioso, según señala el servicio de ayuda de Facebook.
El mensaje intenta generar curiosidad en el usuario para que pinche en el enlace, pensando que se trata de un vídeo suyo. Sin embargo, la URL redirige a una web que se hace pasar por Facebook y que pide que introduzcas tu correo electrónico y tu contraseña. Es decir, se trata de un caso de phishing.
El Laboratorio de Investigación de ESET ya advirtió sobre esta campaña de phishing en 2021 y recomienda a los usuarios ignorar estos mensajes “incluso si provienen de contactos conocidos”, dado que sus dispositivos podrían haber sido comprometidos para propagar amenazas de forma automática. Si alguien te avisa de que ha recibido un mensaje de este tipo supuestamente de tu parte, es posible que tu cuenta se haya configurado para enviar este tipo de spam. El servicio de ayuda de Facebook explica que el spam se puede propagar si el usuario pincha en enlaces no seguros o instala software malicioso. “En algunos casos, los estafadores pueden obtener acceso a cuentas de Facebook concretas, que utilizan para enviar spam”, apunta el servicio.
José Luis Asensio, auditor de ciberseguridad en S21Sec y maldito que nos ha prestado sus superpoderes, indica que lo primero que se debe hacer es “un cambio de contraseña para evitar que vuelvan a utilizar tu cuenta”. Esa contraseña, según el experto, debe ser robusta y contener mayúsculas, minúsculas, números y algún carácter especial y no debe incluir datos personales conocidos.También podemos implementar medidas de seguridad adicionales, como recibir alertas sobre inicios de sesión no reconocidos o activar la autenticación en dos pasos. Para hacer frente a un posible software malicioso, podemos analizar nuestro dispositivo con un antimalware (o antivirus) y limpiar y actualizar el navegador web.
Si tu perfil ha sufrido algún tipo de ataque y desde él se están mandando mensajes no deseados, Facebook también recomienda que revises la actividad de tu cuenta. Puedes comprobar si hay inicios de sesión sospechosos en tu historial para cerrar las sesiones que no correspondan; revisar tus publicaciones y ‘Me gusta’ recientes; consultar el registro de tu actividad y borrar cualquier foto, post, página, grupo o evento que hayas creado sin desearlo. También puedes comprobar las aplicaciones y los juegos instalados y eliminar aquellos en los que no confíes.
Asimismo, si alguien te ha notificado que ha recibido un mensaje tuyo con el texto “¿Eres tú en este vídeo?”, es importante que se lo hagas saber al resto de contactos de Facebook para que queden advertidos y no pinchen en el enlace ni proporcionen sus datos.
¿Quién asume la responsabilidad si una empresa ha sido víctima del “fraude BEC”?
El conocido como fraude BEC (por su nombre en inglés, Business Email Compromise) se produce cuando los ciberdelincuentes acceden a la cuenta de correo de un empresario, buscan una factura y cambian el número de cuenta bancaria del destinatario de la transferencia. Como ya os contamos en Maldita.es, es un método de timo habitual que afecta a las empresas y para el que se emplean diferentes técnicas.
Ahora bien, ¿podemos recuperar el dinero estafado? Isaac F. Pérez, abogado especializado en derecho de las nuevas tecnologías y ciberseguridad del despacho Sirvent & Granados, explica a Maldita.es que, cuando nos enfrentamos a este tipo de fraudes, lo lógico es que se inicie un proceso penal. Sin embargo, según el experto, esta vía puede ser un callejón sin salida: “Lo que nos encontramos es que la cuenta bancaria en la que acaban los fondos está a nombre de un testaferro en el extranjero, que es insolvente y es imposible recuperar el dinero de ahí. Al timador que está detrás no conseguimos llegar”.
Por ello, el abogado propone una opción alternativa: demandar al banco por vía civil por “ejecución incorrecta de una orden de pago”. En este sentido, Juan Ortolá, abogado de Derecho Civil en Ortolá Abogados y maldito que nos ha prestado sus superpoderes, afirma que cabría plantearse la responsabilidad de los bancos por efectuar una transferencia en la que el titular de la cuenta bancaria no coincide con el nombre del beneficiario de la misma.
Sin embargo, Ortolá apunta que este camino podría estar “abocado al fracaso”. El artículo 59 de la Ley de Servicios de Pago establece que “cuando una orden de pago se ejecute de acuerdo con el identificador único, se considerará correctamente ejecutada en relación con el beneficiario especificado en dicho identificador”. Es decir, si el código IBAN de esa orden de pago es correcto —y lo es, aunque es el que ha puesto el ciberdelincuente cuando ha cambiado la factura— el banco no tendría responsabilidad. “La única obligación del banco en este caso es que ‘se esforzará razonablemente por recuperar los fondos de la operación de pago’”, indica el abogado.
Pérez, quien lleva casos de este tipo, afirma que es habitual que los bancos usen este artículo en su defensa y que “es el argumento con el que los jueces le suelen dar la razón a los bancos”. Frente a esto, Pérez plantea lo siguiente: “A nuestro parecer, este argumento sólo resulta de aplicación cuando la única información que le doy al banco es ese código único, que sería el IBAN. Pero cuando yo le doy al banco mucha más información, espero que la use toda para la ejecución de la orden de pago”.
Para entenderlo mejor, el abogado pone el ejemplo de Bizum, la aplicación que permite recibir o mandar dinero a otros usuarios en cuestión de segundos. “Cuando yo hago un Bizum, toda la información que le doy a la aplicación es el número de móvil. Si no era a quien yo quería mandar el dinero, Bizum no tiene responsabilidad, porque no tiene más información que un número de móvil. En este caso, yo le doy al banco mucha más información que un número de IBAN”, resume. El abogado apunta que esta argumentación va en la línea de lo expuesto en el artículo 56 de la Ley de Servicios de Pago, que es el que utilizan habitualmente para argumentar que el banco debe devolver el dinero.
“Así hemos conseguido resoluciones favorables”, señala Pérez. En concreto, según el abogado, han fallado a favor de los usuarios en distintos casos las audiencias provinciales de Córdoba, Madrid y Valencia. Otras, como la de Zaragoza, han fallado a favor del banco al entender que no tienen responsabilidad en el fraude. “Es decir, que si tú demandas por esto no sabes qué respuesta te van a dar”, explica. Y asegura que desde su despacho se han presentado recursos al Tribunal Supremo para que determine un criterio, que están en espera de si admiten a trámite o no.
Por su parte, desde la Asociación de Usuarios Financieros (Asufin) apuntan a que el fraude BEC “se trataría de un pago no autorizado y, por tanto, contaría con la garantía de cobertura de la Ley de Servicios de pago y el banco debería devolver el dinero”. No obstante, la asociación señala que la ley excluye de responsabilidad al banco si hay una negligencia grave del usuario, según lo establecido en el artículo 46 de la citada ley. “Es necesario que la empresa a la que le haya sucedido esto haya respetado las medidas de seguridad básicas (por ejemplo, no usar la misma contraseña para todo o no cambiarla periódicamente) así como aquellas otras adicionales que a las que se haya obligado en el contrato con su proveedor de servicios de pago”, señala la organización.
A este respecto, Pérez afirma que este es otro de los argumentos habituales que utilizan los bancos en su defensa. Sin embargo, según el abogado, “el usuario podría demostrar que es diligente si, en cuanto tuvo conocimiento del fraude, reclamó a su banco, denunció el fraude y se puso en contacto con el banco que recibió los fondos”. El experto recalca la importancia de actuar rápido si hemos sido víctimas de este timo.
Juan Ortolá indica que la empresa estafada debe “dirigirse sin demora” a su banco a contarles lo ocurrido, y este tiene la obligación de hacer las gestiones “razonables” para intentar darle una solución. Por su parte, desde Asufin señalan que la víctima debe reclamar a su entidad, denunciar el suceso en la comisaría y aportar esa denuncia a la reclamación.
¿Qué es un ‘keylogger’?
En Maldita.es os advertimos constantemente de esos intentos de timo que pretenden que nos instalemos un malware en nuestro dispositivo. Por ejemplo, en 2020 se difundieron unos correos electrónicos en los que se suplantaba al Ministerio de Sanidad y que incluían un enlace para descargar una supuesta notificación. Entonces, la Oficina de Seguridad del Internauta (OSI) explicó que el software malicioso que se escondía detrás de este ataque de phishing podía, entre otras cosas, detectar las pulsaciones del teclado del usuario.
A este tipo de programa informático se le conoce como keylogger y es capaz de registrar o grabar todo lo que teclea una persona. Según señala ESET, los keyloggers han ido sumando otras funcionalidades como la capacidad de controlar la cámara del dispositivo, realizar capturas de pantalla, obtener la información del portapapeles o grabar llamadas de voz y controlar el micrófono del equipo.
La información que recogen puede ser guardada en un archivo de texto o en la memoria del equipo para luego ser enviada al atacante. ESET indica que existen programas de este tipo para usos legítimos, pero “cuando son utilizados con fines maliciosos y/o sin el consentimiento del usuario son considerados un tipo de malware”. Cuando se utilizan como software malicioso, pueden robarnos contraseñas, cuentas, datos bancarios o cualquier otra información sensible y personal, y compartirla con terceros.
Los keyloggers pueden estar basados en un software o en un hardware, como un dispositivo USB que conectamos a nuestro equipo. “Los keyloggers basados en hardware son poco comunes, ya que requieren la manipulación del teclado y, por tanto, los ciberdelincuentes deben tener acceso físico al dispositivo”, afirma la empresa de seguridad informática Panda Security. Mientras, los que están basados en software se pueden propagar, según la OSI, en archivos adjuntos de correos electrónicos fraudulentos o desde webs poco fiables “escondiéndose tras descargas de juegos, películas o aplicaciones no legítimas”.
Por ejemplo, ya os contamos que el navegador de TikTok cuenta con una función que se podría considerar propia de un keylogger. Felix Krause, científico de datos, asegura que la aplicación puede recoger cada pulsación de teclas de los usuarios, incluyendo contraseñas y datos sensibles.
Para protegernos frente a un keylogger, ESET recomienda utilizar un antivirus, algún gestor de contraseñas y el doble factor de autenticación (2FA). Además, debemos instalar programas sólo desde fuentes confiables y bloquear nuestro equipo cuando no se esté usando para evitar que alguien intente instalarnos un keylogger.
Y para terminar…
Antes de finalizar, os recordamos que si habéis sido víctima de un fraude el primer paso es acudir a las autoridades. Y, aunque en Maldito Timo no somos técnicos ni expertos en ciberseguridad, sí contamos con la ayuda de muchos profesionales que están dispuestos a echarnos una mano para resolver vuestras dudas y así aprender juntos a defendernos ante los riesgos en internet. Si tienes cualquier duda sobre ciberestafas, puedes hacérnosla llegar a través de nuestro ‘buzón de timos’. ¡Juntos y juntas es mucho más difícil que nos la cuelen!
En este artículo han colaborado con sus superpoderes los malditos José Luis Asensio y Juan Ortolá.
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.