¡Hola, malditas y malditos! Estamos en el último martes del mes y ya está lista una nueva edición del consultorio mensual de Maldito Timo. En esta ocasión, hablamos sobre el fraude de contestar “sí” al teléfono, del que el Instituto Nacional de Ciberseguridad (INCIBE) ha advertido recientemente. ¿Los timadores podrían contratar servicios bancarios a nuestro nombre con tan sólo una grabación de nuestra voz diciendo “sí”? Parece poco posible, pero puede depender de los sistemas y controles de la entidad para confirmar la identidad de los clientes.
Además, este mes, un personaje público compartió un comunicado importante en sus redes sociales a través de un enlace a Google Drive, que permitía a los usuarios averiguar su dirección de correo electrónico. A raíz de este caso, te contamos a qué riesgos nos podríamos exponer al compartir públicamente nuestro email. Uno de ellos es el doxing, una práctica que consiste en revelar información personal en internet de una persona u organización sin su consentimiento.
Recuerda que puedes mandarnos cualquier duda sobre ciberestafas a nuestro ‘buzón de timos’ ([email protected]), a nuestros perfiles de Twitter y Facebook o a nuestro chatbot de WhatsApp (+34 644 229 319). ¡Vamos a ello!
¿Pueden darnos de alta en servicios con sólo una grabación de nuestra voz diciendo “sí”?
El fraude del “sí” al contestar el teléfono consiste en que un ciberdelincuente realiza una llamada con el objetivo de que la víctima responda diciendo “sí”. El timador usará esa grabación de voz para realizar trámites en nombre de la víctima, como “autorizar transacciones financieras”, “darse de alta en algún servicio bancario” o “realizar una encuesta en su nombre”, según explica el Instituto Nacional de Ciberseguridad (INCIBE).
A través de nuestro chatbot de WhatsApp (+34 644 229 319), nos habéis preguntado por este timo y sobre si es posible que los ciberdelincuentes suplanten nuestra identidad y nos den de alta en servicios bancarios con tan sólo una grabación de nuestra voz diciendo “sí”.
Desde la Asociación para la Defensa de Consumidores y Usuarios de Bancos, Cajas y Seguros (ADICAE) afirman a Maldita.es que sí se podría autorizar una transacción en nuestra cuenta bancaria “utilizando una grabación de nuestra voz o darnos de alta en algunos servicios”. En este sentido, Eduardo Carrasco, experto en ciberseguridad y maldito que nos ha prestado sus superpoderes, considera que no sólo haría falta una grabación de nuestra voz diciendo “sí”, sino también grabar otros datos personales como nombre y apellidos completos, DNI “vocalizado número a número”, número de teléfono, dirección, números de tarjeta bancaria, etc. “El mero hecho de responder ‘sí’ a una llamada no conlleva un riesgo si previamente no ha habido por parte del estafador una captación de datos sensibles”, asegura.
Otros expertos apuntan que, en todo caso, dependerá de los sistemas de la entidad para confirmar la identidad de los clientes.
Iván Forcada Atienza, experto en ciberseguridad y maldito que nos ha prestado sus superpoderes, indica que “todo depende de los controles que las entidades financieras implementen para recabar el consentimiento”. Según Forcada, los bancos suelen requerir algo más que un “sí” dado que, entre otras cosas, se incumpliría la PSD2 —regulación europea sobre servicios de pagos electrónicos—. “En resumen, me parece poco plausible que algo así ocurra, en entidades serias europeas al menos”, sentencia.
“Me extraña mucho esto, pero es verdad que para identificar hay algunos sistemas en los que sólo respondes ‘sí’”, afirma a Maldita.es Marisa Protomártir, responsable jurídica de la Asociación de usuarios financieros (Asufin). Por ello, la experta señala que “lo más garantista” es que el banco haga más preguntas al cliente, como que diga determinados números de la tarjeta de coordenadas o de la firma numérica.
“En cualquier caso, un sistema de seguridad tan débil supondría, en mi opinión, la responsabilidad del banco en la operación fraudulenta”, manifiesta la experta. Y recalca que ya existen resoluciones de la Agencia Española de Protección de Datos (AEPD) multando a bancos en este sentido. Es decir, que si nos estafaran con este procedimiento en una situación así, la culpa podría ser de la entidad por falta de seguridad y no nuestra.
En la misma línea, Susana Duro Carrión, directora del Máster en Protección de Datos de la Universidad Internacional de La Rioja (UNIR), señala a Maldita.es que determinadas entidades financieras ofrecen la posibilidad de que los clientes se identifiquen a través de datos biométricos, como puede ser la voz. “Lo ideal es que no solamente se basen en la voz, sino que se apoyen en otro tipo de datos identificativos para reconocer al usuario”, afirma.
José María de Fuentes, profesor Titular especialista en ciberseguridad de la Universidad Carlos III de Madrid y maldito, ya nos dijo en 2021 que el hecho de que nos graben diciendo “sí” en una llamada es una “amenaza de impacto relativo, pero dependerá de los servicios que tengamos contratados y de cómo se relacionen con nosotros”. Por ejemplo, recuerda que existen sistemas de atención automatizada, “aquellos que pueden atenderte tecleando números o diciendo pocas cosas y que sirven para gestionar incidencias, de teléfono por ejemplo".
De Fuentes considera que las llamadas en las que te hacen hablar durante un rato largo podrían ser un “riesgo mucho más certero” debido a la evolución de la inteligencia artificial (IA) y su capacidad para suplantar nuestra voz. “El estado de la tecnología para generar falsedades ya es suficientemente bueno para hacer cosas creíbles y ahora el esfuerzo recae en la pericia y los procedimientos de quien comprueba”, apunta.
Desde ADICAE coinciden: “El problema en este tipo de casos no es que te hayan grabado, sino que puedan usar una IA para suplantarte sin necesidad de grabarte. En este sentido, la legislación nacional y europea necesitan abordar esta situación de forma inmediata”.
En definitiva, aunque parece poco posible que puedan darnos de alta en un servicio bancario con tan sólo una grabación de nuestra voz diciendo “sí”, dependerá de los sistemas de seguridad de la entidad bancaria para validar la identidad.
Qué es el “doxing” y qué dice la ley sobre esta práctica
El expresidente de la Real Federación Española de Fútbol (RFEF), Luis Rubiales, publicó en su perfil de Twitter un comunicado en el que anunciaba su dimisión. Lo hizo a través de un enlace a Google Drive, con el que los usuarios pudieron obtener su dirección de correo electrónico. Algunos aprovecharon este dato para buscar información personal sobre él, que luego compartieron públicamente. Según los expertos consultados, este podría ser un caso de doxing, que es la práctica de revelar información personal en internet de una persona u organización sin su consentimiento.
“Esta práctica maliciosa puede incluir la divulgación de datos como el nombre real, dirección, lugar de trabajo, números de teléfono, datos financieros y otra información personal”, apunta a Maldita.es Selva Orejón, directora ejecutiva de onBranding y experta en identidad digital. Según la especialista, el doxing puede ser llevado a cabo por diversas razones: “Los perpetradores de doxing, también conocidos como doxers, buscan intimidar, avergonzar o afectar de alguna manera a sus víctimas”.
Si alguien practica doxing contra nosotros, puede afectar a nuestra reputación online. El Instituto Nacional de Ciberseguridad (INCIBE) señala otros riesgos: suplantación de identidad; acoso o extorsión; exposición a fraudes online o, incluso, nuestra seguridad física podría estar en peligro.
Pablo F. Iglesias, CEO de la consultora reputacional CyberBrainers, explica a Maldita.es que los doxers generalmente emplean técnicas OSINT —inteligencia de fuentes abiertas— para recopilar información. En el caso de Rubiales, los usuarios utilizaron su correo electrónico, un dato personal “que es profundamente valioso ya que, a fin de cuentas, en entornos digitales nuestro correo es el principal sistema de identificación que tenemos”.
“Al conocer su correo personal, muchos estuvieron buscando dónde podría tener Rubiales cuenta. Entre ellas, se hizo viral su aparición en bases de datos de servicios de pornografía y de contactos extramatrimoniales”, cuenta. Aunque el experto advierte de que también sería posible que alguien le hubiera creado cuentas en esos servicios, usando su email, con el objetivo de “generarle una crisis reputacional”. (Esto sólo sería posible en los casos en que no hace falta verificar el correo para crear una cuenta).
Ahora bien, ¿es el doxing una práctica ilegal? Según Iglesias no lo es, siempre y cuando se haya usado herramientas OSINT para encontrar la información. Por ejemplo, un contenido publicado en redes sociales de forma pública es accesible para cualquier usuario y, por lo tanto, “recopilarlo no entraña ninguna ilegalidad”.
“Si la información expuesta es de dominio público y se obtiene mediante métodos legales, el doxing no es ilegal”, coindice Orejón. No obstante, esta actividad sí puede infringir algunas leyes “diseñadas para luchar contra el acoso, el hostigamiento y las amenazas”, según la experta. Por ejemplo, se podría incurrir en un delito de acoso dado que el doxing “puede causar daño emocional, psicológico o incluso físico a la persona afectada”. Si esta práctica se dirige a mujeres o niñas, podría considerarse una forma de violencia de género, según la experta. También podría incumplirse la ley de protección de datos personales “al revelar información personal sin el consentimiento de la persona afectada”.
Además, esta práctica podría infringir las normativas de las propias plataformas online. Por ejemplo, el doxing incumple las reglas de Twitter (ahora X) y, si un usuario realiza esta práctica en la red social, podría enfrentarse a la suspensión de su cuenta.
Qué riesgos corremos si exponemos nuestra dirección de correo electrónico en internet
Como ya hemos visto con el ejemplo de Luis Rubiales, al exponer nuestro correo electrónico podríamos ser víctimas de doxing. Pero este no es el único riesgo al que nos enfrentamos si compartimos públicamente nuestro email. Recordemos que la dirección de correo electrónico es un dato personal con el que, además, nos identificamos en diferentes servicios online.
“Si un delincuente informático accede a datos como tu cuenta de correo, tengamos por seguro que la primera línea de ataque será phishing”, explica el maldito Juan Javier Chacón, director y CEO de HDD Informática. El phishing se da cuando los ciberdelincuentes nos envían un correo electrónico en el que se hacen pasar por una empresa o entidad que conocemos, con el objetivo de hacerse con nuestros datos personales o bancarios. Si los timadores tienen otros datos personales nuestros (además del correo electrónico), podrían mandarnos ataques de phishing personalizados que, por ejemplo, incluyan nuestro nombre.
También podrían tratar de suplantar nuestra identidad a través de técnicas como el cybersquatting, que consiste en que el ciberdelincuente registra un nombre de dominio similar a la cuenta de correo electrónico original.
Pablo F. Iglesias, CEO de la consultora reputacional CyberBrainers, explica en este artículo de su blog que los ciberdelincuentes pueden usar herramientas como Have I Been Pwned? para ver si el correo de una persona ha sufrido alguna brecha de seguridad previamente. Si la ha sufrido, es posible que ese email esté asociado a alguna contraseña ya expuesta, por lo que los cibercriminales podrían tratar de entrar en él. En este artículo, te explicamos cómo comprobar si alguien ha accedido a nuestro correo.
Como ya hemos señalado, el email también nos sirve para acceder a otras páginas web o plataformas. A los timadores les bastaría con “probar ese email/contraseña en el resto de servicios, a ver si alguno más cae”, señala Iglesias. Si los timadores tienen el control del email de la persona también podrían hacerse con el resto de cuentas desde dentro, utilizando la opción “recuperar contraseña” que suelen ofrecer las plataformas.
Para evitar estos riesgos, el experto recomienda tener un email exclusivamente para acceder a nuestras cuentas en servicios y otra dirección distinta para compartir con terceros.
“Si tienes una página web, lo recomendable es crear una página de contacto con un formulario”, añade. De este modo, el email no está expuesto, pero cualquiera puede escribirnos. También podemos compartir la dirección en una imagen o escribirla con este formato: “contacto (at) pabloyglesias (dot) com”. “Así nos quitamos de en medio los ataques automatizados: una serie de robots que sistemáticamente navegan por Internet en busca de correos expuestos públicamente” y que sirven, por ejemplo, para crear bases de datos que luego se utilizan para lanzar campañas de phishing, explica el experto en su blog.
“De manera sistemática y casi sin precaución, compartimos más datos personales de los necesarios en plataformas de tiendas online como Amazon, en redes sociales, en apps..”, explica Chacón, y asegura que la base de la protección es siempre la educación en el buen uso de la tecnología.
Y para terminar…
Antes de finalizar, os recordamos que si habéis sido víctima de un fraude el primer paso es acudir a las autoridades. Y, aunque en Maldito Timo no somos técnicos ni expertos en ciberseguridad, sí contamos con la ayuda de muchos profesionales que están dispuestos a echarnos una mano para resolver vuestras dudas y así aprender juntos a defendernos ante los riesgos en internet. Si tienes cualquier duda sobre ciberestafas, puedes hacérnosla llegar a través de nuestro ‘buzón de timos’. ¡Juntos y juntas es mucho más difícil que nos la cuelen!
En este artículo han colaborado con sus superpoderes Eduardo Carrasco, experto en ciberseguridad; Iván Forcada Atienza, experto en ciberseguridad; José María de Fuentes, profesor Titular especialista en ciberseguridad de la Universidad Carlos III de Madrid, y Juan Javier Chacón, director y CEO de HDD Informática.
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.
Maldito Timo cuenta con el apoyo de:
