¡Hola, malditas y malditos! Ya está aquí la 15º edición del consultorio de Maldito Timo. En esta ocasión, explicamos cómo es posible que los ciberdelincuentes ya tengan datos personales de la víctima antes de realizar una llamada de vishing, en la que suplantan a una empresa o entidad conocida. Según los expertos consultados por Maldita.es y el Instituto Nacional de Ciberseguridad (INCIBE), los timadores pueden obtener información personal nuestra por múltiples vías. También explicamos qué es la estafa de la “Recovery Room” (sala de recuperación, en inglés), un fraude que consiste en que una supuesta empresa se pone en contacto con víctimas que han sido estafadas con inversiones fraudulentas para, supuestamente, ayudarlas a recuperar su dinero. Para ello, piden una comisión por adelantado. Por último, damos algunas claves para identificar falsos productos “milagrosos” que se promocionan con falsas entrevistas a famosos y médicos que, además, pueden suponer un riesgo para la salud.
Recuerda que puedes mandarnos cualquier duda sobre ciberestafas a nuestro ‘buzón de timos’ ([email protected]), a nuestros perfiles de Twitter y Facebook o a nuestro chatbot de WhatsApp (+34 644 229 319). ¡Vamos al lío!
¿Por qué los ciberdelincuentes pueden tener datos personales de la víctima cuando realizan un ataque de vishing?
El vishing es una estafa que se realiza a través de una llamada telefónica. Los timadores suplantan la identidad de una empresa o entidad que conoces para que les facilites tus datos personales y bancarios. Ojo, porque es posible que los ciberdelincuentes ya tengan algunos datos tuyos antes de llamarte. Es lo que le pasó a Paula, una lectora de Maldita.es que perdió 850 euros tras una llamada de vishing en la que suplantaron a su banco: “Yo sospeché y pedí que me dijeran mis datos para ver si no era un fraude y me facilitaron mi nombre, dirección y número de cuenta, por lo que proseguí”.
Susana Regalado, experta en ciberseguridad y maldita que nos ha prestado sus superpoderes, explica que los timadores suelen tener alguna información previa de las víctimas, “necesaria para poder generar el clima de confianza imprescindible que les haga creer que hablan con quien dice ser y no con un estafador. Es la conocida como ingeniería social”. El Instituto de Ciberseguridad del Internauta (INCIBE) indica a Maldita.es que los ciberdelincuentes tienden a profesionalizarse y usan técnicas de engaño cada vez más sofisticadas. “Cuantos más datos tenga el estafador, más fácil será adecuar los ataques para que sean más creíbles y el porcentaje de éxito será mayor”, señalan.
Ahora bien, ¿cómo consiguen los timadores nuestros datos personales? El INCIBE y los expertos consultados por Maldita.es aseguran que existen varias maneras, entre ellas:
- Filtraciones de datos: tus datos personales se pueden ver comprometidos tras una brecha de seguridad, por ejemplo, “de una empresa relativamente grande a la que se los diste o incluso gubernamental”, asegura Walter Verdejo, maldito y especialista en servicios de almacenamiento en línea.
- Redes sociales y fuentes públicas: los timadores pueden obtener información relevante que las propias víctimas han publicado en redes sociales o que está disponible en otros sitios web. Por ejemplo, la información que compartimos “a través de los metadatos de las fotos que subimos, nuestras relaciones con otras personas, nuestros gustos y aficiones, dónde vivimos, a dónde viajamos, nuestra profesión y un largo etcétera”, afirma Regalado.
- Ataques de ingeniería social: a través de técnicas como el phishing, las víctimas comparten información sensible sin darse cuenta. Por ejemplo, al rellenar un formulario con sus datos para un supuesto sorteo. Según el INCIBE, este tipo de ataques pueden llegar a través de correo electrónico, redes sociales, plataformas de mensajería, llamadas de teléfono o incluso en la calle. “Los datos que proporcionamos tan incautamente podrán ser utilizados para otros ataques más sofisticados o personalizados”, explica Regalado.
- Venta de datos en el mercado negro: existe un mercado negro online en donde los datos robados se compran y venden, según el INCIBE. “Da vértigo la cantidad de datos personales que están esperando a ser monetizados en la Deep Web”, indica la especialista en ciberseguridad.
- Malware: los ciberdelincuentes pueden obtener tus datos a través de malware instalado en tu dispositivo, “probablemente en tu móvil”, señala Verdejo.
- Términos y condiciones de aplicaciones: Regalado advierte de que podríamos estar cediendo gratuitamente nuestros datos personales cuando aceptamos los términos y condiciones de aplicaciones. “Al aceptar, puede que estemos autorizando la venta de nuestros datos a terceros”, explica.
Qué es el fraude de la “Recovery Room” y cómo protegernos de él
“Invertí dinero en una página y luego leí que era un timo. Ahora me están llamando para decirme que efectivamente era una estafa y que si quiero recuperar el dinero”. Esto afirma un lector de Maldita.es que nos escribió a través de nuestro ‘buzón de timos’ ([email protected]) para contarnos que, supuestamente, la Financial Conduct Authority (FCA) –la autoridad financiera del Reino Unido– le estaba contactando para recuperar el dinero que había perdido tras invertir en una entidad que ofrece falsas inversiones en criptomonedas.
A esta práctica se la conoce como la estafa de la “Recovery Room” (sala de recuperación, en inglés). La Comisión Nacional del Mercado de Valores (CNMV) explica que el fraude consiste en que una supuesta empresa u organización contacta con personas que han sido víctimas de chiringuitos financieros para supuestamente gestionar por ellos la recuperación de las pérdidas “o para recomprar acciones o valores adquiridos a través de empresas no autorizadas”. A cambio, te pueden pedir que pagues una supuesta comisión por adelantado, como señala la Policía Nacional.
Volviendo al caso de nuestro lector, supuestamente la FCA le estaba ofreciendo recuperar 2.000 euros, a pesar de que él sólo había invertido 250. También le facilitaron un supuesto correo electrónico al que debía mandar la información sobre la empresa en la cual invirtió, pero la dirección del email no está entre las oficiales de la FCA. La autoridad financiera del Reino Unido advierte en su página web de esta estafa de la “Recovery Room” y explica que es habitual que los timadores se hagan pasar por la FCA, por trabajadores del gobierno, por la policía o por otro organismo regulador.
Según la CNMV, estas estafas pueden provenir del propio chiringuito financiero que realizó el fraude en un primer momento o de otras personas o empresas que hayan adquirido las listas de afectados. “Pueden intentar que vuelvas a invertir dinero o, incluso, vender tus datos a otras empresas. Es decir, se trata de un fraude sobre otro engaño anterior, a menudo realizado por la misma entidad o personas”, alerta la comisión.
Para evitar esta estafa, la CNMV recomienda desconfiar si una empresa contacta contigo sin haberlo solicitado y te pide dinero por adelantado “en concepto de pago por honorarios o impuestos, como requisito previo para prestar el servicio de recuperación de una inversión fallida o para la compra de acciones”. También debes sospechar si la organización te contacta en nombre de la CNMV, dado que el organismo “nunca contactará directamente con posibles afectados ni autoriza el uso de su identidad o imagen corporativa con el fin de recuperar pérdidas”.
Productos “milagro” que se promocionan con falsas entrevistas a famosos: ¿Cómo podemos identificarlos?
En muchas ocasiones os hemos alertado de las entrevistas ficticias a médicos y famosos que se difunden con el objetivo de promocionar supuestos productos “milagrosos”: desde pastillas para adelgazar hasta supuestos remedios para dolores articulares o enfermedades cardíacas. Productos que prometen ser la cura de distintos problemas pero que, en realidad, pueden suponer un riesgo para la salud, según los expertos consultados por Maldita.es.
Como explica la Organización de Consumidores y Usuarios (OCU), un producto “milagro” es aquel que no ha demostrado su eficacia y seguridad, que está fuera de cualquier tipo de control sanitario y cuya “comercialización para los fines que se le atribuyen y/o publicidad es ilegal”. Ana Peiró, médica farmacóloga clínica y maldita que nos ha prestado sus superpoderes, recuerda a Maldita.es que para comercializar un medicamento es necesaria una investigación y seguir unas fases de estudio, contar con una ficha técnica y un prospecto con instrucciones claras de uso y con contraindicaciones, etc. “¿Cómo se saltan esto? Pues yendo a una vía B oscura y paralela”, afirma.
Por su parte, Rubén Sánchez, secretario general de FACUA-Consumidores en Acción, indica a Maldita.es que las empresas que comercializan este tipo de productos milagrosos pueden estar vulnerando varias normativas: “Hablamos de publicidad engañosa, vulneración del Real Decreto sobre publicidad de productos con pretendida finalidad sanitaria, uso de la imagen de un famoso, y muchas cosas más”. Además, el experto advierte de que estos productos son un riesgo porque podrían tener “componentes peligrosos para la salud” o porque “pretenden sustituir un tratamiento terapéutico que es necesario para la persona que sufre la dolencia”.
Para identificar las publicaciones engañosas con las que se anuncian este tipo de productos “milagro”, podemos fijarnos en una serie de características comunes:
- Suplantan a un medio de comunicación y reproducen declaraciones inventadas de un personaje público o especialista en medicina que, supuestamente, ha sido “demandado” o “agredido” por contar un supuesto “secreto” que iría contra los intereses de la industria farmacéutica.
- Prometen la cura de una o varias afecciones o enfermedades. Los productos se anuncian con “propiedades prácticamente milagrosas” que “ni siquiera un medicamento es capaz de lograr”, apunta Sánchez.
- Hacen alusión a casos de éxito e incluyen supuestos comentarios de clientes muy satisfechos con los resultados. Incluso pueden usar imágenes robadas de perfiles de redes sociales o páginas web.
- Te ofrecen un gran descuento que no puedes rechazar. Según la OCU, normalmente la compra no se efectúa con una pasarela de pago, sino en una llamada telefónica en la que te solicitan los datos de tu tarjeta bancaria y, además, el precio suele ser elevado.
- Aseguran contar con ingredientes 100% naturales. Como indica Peiró, reiteran la falsa idea de que lo natural es “bueno” y los componentes industriales son negativos. Además, según la OCU, los ingredientes del producto cambian según las distintas webs donde se publicita.
- También usan sellos de calidad falsos, insisten en que el producto está certificado y advierten de supuestas falsificaciones, según indica la OCU.
Además, la OCU recomienda prestar atención a la información legal con la que cuenta la página web que promociona el producto. Debemos consultar datos como el nombre, el número del registro mercantil o el domicilio social de la empresa, información que debe figurar en su página web según la legislación española. Peiró aconseja buscar, por ejemplo, qué laboratorio comercializa el supuesto producto.
Para comprobar si un producto está legalmente comercializado en nuestro país, podemos consultar la base de datos del Centro de Información online de medicamentos (CIMA) de la AEMPS. En el caso de complementos alimenticios, podemos recurrir al buscador del Registro General Sanitario de Empresas Alimentarias y Alimentos de la AESAN. En cualquier caso, para problemas de salud debemos recurrir a nuestro médico y “no utilizar productos con pretendida finalidad sanitaria sin su conocimiento”, como afirma la OCU.
Y para terminar…
Antes de finalizar, os recordamos que si habéis sido víctima de un fraude el primer paso es acudir a las autoridades. Y, aunque en Maldito Timo no somos técnicos ni expertos en ciberseguridad, sí contamos con la ayuda de muchos profesionales que están dispuestos a echarnos una mano para resolver vuestras dudas y así aprender juntos a defendernos ante los riesgos en internet. Si tienes cualquier duda sobre ciberestafas, puedes hacérnosla llegar a través de nuestro ‘buzón de timos’. ¡Juntos y juntas es mucho más difícil que nos la cuelen!
En este artículo han colaborado con sus superpoderes Susana Regalado, experta en ciberseguridad; Walter Verdejo, especialista en servicios de almacenamiento en línea y Ana Peiró, médica farmacóloga clínica.
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.
Maldito Timo cuenta con el apoyo de:
