Marzo llega a su fin, pero vuelve nuestro consultorio mensual de Maldito Timo. Hoy os explicamos en qué consiste el skimming, una técnica con la que los timadores pueden clonar la información de nuestra tarjeta de crédito. También os advertimos de los fraudes que se realizan a través del 118, un número de teléfono de tarificación especial con el que una llamada nos puede salir muy cara. Y finalmente hablamos sobre cómo se emplea la inteligencia artificial para cometer estafas suplantando la voz de nuestros familiares, amigos y conocidos.
Recuerda que puedes mandarnos cualquier duda sobre ciberestafas a nuestro ‘buzón de timos’ ([email protected]), a nuestros perfiles de Twitter y Facebook o a nuestro chatbot de WhatsApp (+34 644 229 319). ¡Empezamos!
¿Pueden los timadores clonar nuestra tarjeta en segundos? En qué consiste el timo del ‘skimming’
La Guardia Civil de España ha advertido a los ciudadanos de que los timadores son capaces de clonar nuestra tarjeta bancaria “en segundos”. “Cuando pagues con tarjeta, no la pierdas de vista”, incide una publicación realizada en redes sociales que alerta del timo del skimming.
Cuando pagues con tarjeta, no la pierdas de vista
— Guardia Civil 🇪🇸 (@guardiacivil) February 7, 2023
Solo son necesarios unos segundos para clonarla y después cometer una #estafa
Solicita un lector móvil para pagar #Denuncia el #Skimming pic.twitter.com/aalYr9TXx9
No es la primera vez que las autoridades informan sobre este tipo de estafa y desde Maldita.es ya os hemos explicado en otras ocasiones el peligro de esta técnica, por ejemplo en pasaportes. ¿Pero cómo funciona? ¿Es posible clonar una tarjeta bancaria en solo unos instantes?
Susana Regalado Cristóbal, programadora y maldita que nos ha prestado sus superpoderes, explica cómo los estafadores se hacen con nuestra información: “El skimming (anglicismo que viene del verbo to skim, y que se puede traducir como hojear) consiste en extraer los datos de la tarjeta de crédito para duplicarla usando un dispositivo electrónico” con la intención de hacer compras o realizar cargos en nuestra cuenta.
Según la experta, hay diferentes escenarios en los que los timadores se pueden hacer con nuestra información. “Los ladrones podrían ser empleados del establecimiento [en el que estemos comprando] y utilizar diferentes dispositivos electrónicos”. Por ejemplo, leer la tarjeta con una máquina especializada en clonarlas o “simplemente apuntar nuestros datos con un bolígrafo y papel”, incide Regalado.
No es el único método. La programadora también advierte de otros casos en el que ladrones externos han manipulado los dispositivos de pago de un establecimiento para hacerse con nuestra información, ya sea a través de un virus que recoja estos datos o modificando las máquinas. Un modelo de fraude registrado en cajeros automáticos del que han advertido la Guardia Civil y las entidades bancarias.
El #skimming es la clonación de tarjetas para ser usadas en cajeros automáticos, robando el dinero de sus legítimo dueños.
— Guardia Civil 🇪🇸 (@guardiacivil) March 22, 2021
Cuando vayas a sacar dinero realiza un examen superficial del cajero.pic.twitter.com/6KLTFTcacK
Cuando esta táctica pasa al ámbito digital recibe el nombre de e-skimming. Los timadores consiguen vulnerar la seguridad de una tienda online para obtener los datos de sus clientes sin que el comprador y la empresa se den cuenta, como detalla el Instituto Nacional de Ciberseguridad (INCIBE). Estos cobros normalmente se realizan en pequeñas cantidades para pasar desapercibidos, ya que la víctima no es consciente de cuándo se ha producido este robo de datos. “Los ataques evolucionan y cada vez son más sofisticados”, insiste la programadora.
Regalado destaca que hoy en día la forma más común de este tipo de estafa es el e-skimming en combinación con otras técnicas como el phishing (robo de datos a través de la suplantación de empresas o personas) o el duplicado de páginas web legítimas, de los que os hemos avisado en diferentes ocasiones desde Maldita.es. “La ingeniería social intenta convencer a los usuarios para que proporcionen sus datos de forma voluntaria”, incide la experta.
Tanto Regalado como las entidades bancarias ofrecen diferentes consejos para evitar caer en esta estafa:
- No pierdas de vista la tarjeta cuando realices un pago: siempre ten a la vista el dispositivo en el que introduces tu tarjeta de crédito. Si el establecimiento no cuenta con un datáfono móvil, acércate personalmente a la caja a pagar. No dejes que otras personas manipulen tu tarjeta.
- Sé prudente con tus claves y cubre siempre el teclado: no compartas tus credenciales con nadie, no anotes el PIN en papel, y cubre el teclado cuando introduzcas la contraseña en un cajero automático o en el datáfono, ya que puede haber cámaras instaladas en las inmediaciones.
- Verifica el estado de los dispositivos: dedica unos momentos a inspeccionar que los elementos del cajero automático no hayan sido manipulados, como teclados o ranuras sobreexpuestas, o que haya restos de pegamento. Intenta hacer las operaciones en una terminal que esté situada en el interior de la oficina bancaria y vigila tu entorno al operar.
- Revisa periódicamente tus operaciones bancarias: así podrás detectar si alguien está haciendo un uso fraudulento de tu tarjeta. También puedes configurar alarmas que te avisen de cuando se ha realizado un pago con tu cuenta para detectar actividades sospechosas.
- En caso de estafa, acude a tu entidad bancaria y denuncia los hechos a las autoridades.
¿Pueden quedarse con mi dinero por simplemente hablar por teléfono? Cómo funciona el timo del 118
Hoy en día Google nos permite encontrar información de casi todo lo que necesitamos a solo unos clics de distancia. Por ejemplo, es habitual que usemos este u otros buscadores para encontrar números de teléfono, ya sea del servicio de atención al cliente de una compañía, de un establecimiento o de un organismo público. Esto es algo que los timadores saben y que están aprovechando para hacerse con nuestro dinero.
Una investigación de El País muestra cómo los estafadores emplean estos buscadores para captar a sus víctimas. El método es el siguiente: los timadores compran anuncios para aparecer los primeros en los resultados de búsqueda ofreciendo supuestos servicios y gestiones y van acompañados de un número telefónico con el que contactar.
Al hacer esta llamada los usuarios son atendidos por una persona, supuestamente de la compañía, que deriva a otro número externo que empieza por 118: un prefijo de tarificación especial con el que una conexión telefónica puede llegar a costar decenas de euros, que van al receptor de la llamada. Unos números destinados únicamente a servicios de consulta, cuyo gasto hay que avisar previamente por ley, y que los timadores emplean para hacerse con el dinero de sus víctimas.
Nos lo explica Miguel Ángel Serrano, vicepresidente de Facua, que durante la Maldita Twichería detalló que el precio de una de estas llamadas puede ser “totalmente desproporcionado”, aunque “la normativa ha ido cambiando y ahora los usuarios están más protegidos”, argumenta el experto. Pero aún se dan usos fraudulentos.
Según recoge el Plan Nacional de Numeración de España, el prefijo 118 corresponde a los servicios de directorio, que sirven para consultar el teléfono de otra persona o un establecimiento. El documento especifica que estos números pueden tener un precio máximo de 2,5 euros por minuto más IVA, y la llamada no puede durar más de 10 minutos. Por lo que una de estas conversaciones actualmente puede llegar a costar cerca de 30 euros, aunque en el pasado podían significar una factura de “cientos de euros”.
La legislación señala que antes de iniciar estas llamadas tiene que haber una locución inicial de 15 segundos que advierta de la tarificación especial y el sobrecoste, y otros 5 segundos de espera en los que el usuario puede decir si continúa con la llamada o no. Un requisito que los timadores no cumplen.
Los estafadores suplantan la identidad de organismos oficiales y simulan la gestión de trámites como la renovación del DNI a través del teléfono sin incluir esta locución en la llamada. Una táctica que emplean para ocupar ese máximo de 10 minutos y hacerse con el dinero de sus víctimas, que no son conscientes de que están empleando un número de tarificación especial al no recibir el aviso que estipula la ley.
“Ahora es obligatorio que cuando llamemos a estos prefijos nos informen sobre a qué tipo de teléfono estamos llamando, que se nos avise desde el principio el coste que va a tener esta conexión y que, en el caso de que nos vinculen con un tercero, nos pidan un permiso adicional”, indica Serrano.
Además, estos números que comienzan por 118 están reservados únicamente a consultas de información y no a la realización de gestiones, pero FACUA ha denunciado su uso fraudulento para simular trámites que en realidad son gratuitos, como la renovación de la Tarjeta Sanitaria Europea.
“Cuando alguien buscaba en Google cómo renovar la Tarjeta Sanitaria Europea en las primeras posiciones de la búsqueda salían páginas fraudulentas, por delante de la web oficial de la Seguridad Social”, asegura Serrano, que explica que los timadores suplantaban esta web y exigían a las víctimas hacer el trámite a través de un 118. “Procedimos a denunciarlo, la página se cerró, se iniciaron acciones por alguna asociación de consumo… pero el problema es que no son casos aislados”, asegura Serrano.
Como muestra la investigación de El País este tipo de casos se sigue produciendo a día de hoy. Por ello es importante estar alerta de estos fraudes y seguir una serie de consejos para evitar ser víctima de una estafa:
- Atento a los números que comienzan por 118. Estos números son de tarificación especial, deben ir acompañados de una locución que avise de su sobrecoste, y sólo se pueden emplear para consultas informativas. Si una página o servicio te redirige a uno de estos teléfonos, desconfía.
- Fíjate en la dirección de la web. Los timadores son capaces de suplantar la apariencia de las páginas oficiales de la administración o compañías privadas. Si la URL de esta página web no es igual a la de la empresa o administración por la que se hace pasar, no introduzcas tus datos. Para ello, fíjate bien en lo que aparece antes del último punto, ese es el dominio real de la página web.
- Contrasta con las fuentes antes de dar tus datos. Recuerda que puedes preguntar a la propia compañía o a la administración que los timadores aseguran ser, a la Policía o a la Guardia Civil, o a nosotros a través de nuestro servicio de WhatsApp (+34 644 229 319).
Cómo los estafadores emplean la inteligencia artificial para suplantar la voz de nuestros conocidos
La inteligencia artificial (IA) es noticia y estamos viendo más aplicaciones que nunca: modelos conversacionales como ChatGTP, que nos permite hablar con una máquina y preguntarle todo tipo de cosas (aunque comete fallos), otros chatbots incorporados a buscadores por los que apuestan las grandes tecnológicas o voces sintéticas para devolverle la posibilidad de hablar a aquellos que la han perdido. Pero los timadores también han comenzado a utilizar esta tecnología para llevar a cabo sus estafas. En concreto, están utilizando la IA para suplantar la voz de conocidos.
Es el caso de Ruth Card y Greg Grace, matrimonio estadounidense que recibió una supuesta llamada telefónica de su nieto pidiendo auxilio. Según relata la pareja, en la llamada una voz que sonaba a la de su familiar explicaba que se encontraba en prisión sin teléfono o cartera, y que necesitaba dinero para pagar la fianza. El matrimonio incide en que pudieron notar “el miedo” en la voz de su ser querido, y que eso fue lo que les llevó a actuar, según recoge The Washington Post.
Tras sacar cerca de 3.000 dólares canadienses en un cajero, el matrimonio se dirigió a una segunda oficina para sacar más dinero. Pero en ese momento uno de los gestores del banco detuvo a la pareja y les explicó que habían vivido otro caso similar recientemente que cumplía el mismo patrón: una supuesta llamada de auxilio de un familiar. Fue en ese momento cuando ambos descubrieron que no era su nieto quién estaba al teléfono, sino que los timadores habían conseguido replicar su voz utilizando la tecnología de la inteligencia artificial para intentar hacerse con su dinero.
No es el único caso en el que se ha empleado una voz clonada a través de inteligencia artificial para suplantar una identidad y cometer estafas. The Wall Street Journal recogió en 2019 el caso de una compañía energética que recibió una llamada falsa de su CEO pidiendo una transferencia de 220.000 euros. También en 2020 varios timadores clonaron la voz del director de otra compañía para intentar hacerse con 35 millones de dólares, asegura Forbes.
Desde Maldita.es os hemos hablado en diferentes ocasiones de cómo la inteligencia artificial, en concreto la tecnología del deepfake, permite crear vídeos manipulados a partir de vídeos reales en los que se sustituye la cara, el cuerpo o la voz de una persona. Estas herramientas se han utilizado, por ejemplo, para replicar la voz de cantantes como Lady Gaga o Ariana Grande y hacer versiones de temas que en realidad nunca han cantado.
Ariana Grande — Prisoner (cover by IA). pic.twitter.com/RAmdr9oWMD
— The Ariana Museum (@TheArianaMuseum) January 19, 2023
Para que la máquina sea capaz de imitar a estas cantantes se utilizan pistas con una buena calidad de audio en las que solo se escuche su voz y se entrena a la inteligencia artificial durante varios días hasta que consigue reproducir el timbre y las características de estas artistas. Pero, ¿cómo es posible que los timadores pudieran recrear la voz del nieto de Ruth Card y Greg Grace? ¿Se pueden dar casos similares en España?
Para responder a esta pregunta nos hemos puesto en contacto con Roberto Carreras, fundador de Voikers, consultora especializada en el desarrollo de proyectos de inteligencia artificial conversacional, que nos explica cómo funciona esta tecnología. “Las voces creadas con inteligencia artificial se desarrollan enseñándole a una máquina cómo hablamos, nuestro lenguaje”, explica el experto.
Para ello es necesario transformar el sonido a una representación visual que la inteligencia artificial sea capaz de interpretar. “La máquina transforma el sonido en un espectrograma de MEL (un tipo de visualización de las ondas sonoras adaptada a la forma que tenemos de escuchar los humanos) y después estudia cómo nuestra voz se sitúa dentro de este espectro. Copiando esos rangos es cómo aprende a hablar como hablamos nosotros”, detalla Carreras.
Este procedimiento se puede emplear para varios propósitos, como la generación de voces sintéticas a partir de combinaciones de diferentes grabaciones para dar lugar a una voz nueva o la clonación de una voz en específico. Es el ejemplo de VALL-E, un modelo de lenguaje realizado por Microsoft que permite imitar el habla de una persona a partir de tres segundos de grabación, según asegura la propia desarrolladora, que también advierte de que esta tecnología podría emplearse de forma fraudulenta para suplantar otras identidades.
Pero Carreras hace una llamada a la calma y afirma que esta tecnología aún está lejos del alcance de los estafadores. “Nadie puede utilizar VALL-E con alegría, hay que recibir una aprobación de la compañía”, argumenta el experto, que detalla que este modelo ha necesitado de más de 60.000 horas de audio para poder desarrollarse. Un despliegue que solo está al alcance de grandes empresas tecnológicas, afirma.
Estos modelos aún están lejos de imitar a la perfección la complejidad del lenguaje, asegura el experto. “Al final la voz forma parte de nuestra personalidad, y no sólo por lo que contamos, sino por cómo lo contamos. La prosodia, la forma de entonar… por mucha calidad que este modelo tenga, hay un punto en el que estas voces suenan raro”, incide Carreras.
Una tarea que se complica en el español ya que hay menos proyectos y modelos entrenados en este idioma. “Prácticamente nadie puede copiar tu voz con solo unos segundos. Se hacen cosas, pero de mala calidad. Es difícil que esa voz pueda servir para tener una conversación por teléfono”, declara el fundador de Voikers, que afirma que en sus proyectos han sido necesarias más de 20 horas de grabación para poder tener resultados de calidad. Por eso, el experto considera que de momento hay que estar “tranquilos” y que aún no es un timo viable a gran escala: “Es lógico que vayamos viendo estafas de este tipo y serán más frecuentes. Pero si la comparamos con otro tipo de estafas que vemos día a día, ocupan un número ínfimo”.
En cualquier caso, podemos tener en cuenta estos consejos que da Carreras y el INCIBE para evitar caer en este tipo de timos:
- Sospecha de supuestas llamadas de conocidos a través de números extraños: desde Maldita.es hemos advertido de otros timos en los que se engaña a familiares asegurando que su número de teléfono está roto o inoperativo. En caso de duda, ponte en contacto con tus personas cercanas a través del teléfono habitual para comprobar que todo está bien.
- Analiza si pasa mucho tiempo entre una pregunta y una respuesta: esta tecnología no es capaz de generar respuestas en tiempo real, por lo que hay un espacio de tiempo desde que hacemos una pregunta hasta que obtenemos una respuesta. Si notas que ese tiempo es demasiado largo, sospecha.
- En caso de duda haz preguntas personales que solo tus conocidos sean capaces de responder.
- Limita la exposición de información personal: cuanta más información publiquemos en línea más sencillo será para los delincuentes suplantarnos. Es importante ser consciente de que la exposición en redes sociales conlleva riesgos asociados.
- Revisa configuraciones y ajustes de privacidad en los servicios que utilices para evitar que el proveedor almacene la información registrada a través de la voz y audio, o para configurar borrados automáticos. Por ejemplo, el centro de seguridad de Google permite esta opción.
Y para terminar…
Antes de finalizar, os recordamos que si habéis sido víctima de un fraude el primer paso es acudir a las autoridades. Y, aunque en Maldito Timo no somos técnicos ni expertos en ciberseguridad, sí contamos con la ayuda de muchos profesionales que están dispuestos a echarnos una mano para resolver vuestras dudas y así aprender juntos a defendernos ante los riesgos en internet. Si tienes cualquier duda sobre ciberestafas, puedes hacérnosla llegar a través de nuestro ‘buzón de timos’. ¡Juntos y juntas es mucho más difícil que nos la cuelen.
En este artículo han colaborado con sus superpoderes la maldita Susana Regalado Cristóbal.
Susana Regalado Cristóbal forma parte de Superpoderosas, un proyecto de Maldita.es en colaboración con FECYT que busca aumentar la presencia de científicas y expertas en el discurso público a través de la colaboración en la lucha contra la desinformación.
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.