El fraude del “sí” al contestar el teléfono consiste en que un ciberdelincuente realiza una llamada con el objetivo de que la víctima responda diciendo “sí”. El timador usará esa grabación de voz para realizar trámites en nombre de la víctima, como “autorizar transacciones financieras”, “darse de alta en algún servicio bancario” o “realizar una encuesta en su nombre”, según explica el Instituto Nacional de Ciberseguridad (INCIBE).
A través de nuestro chatbot de WhatsApp (+34 644 229 319), nos habéis preguntado por este timo y sobre si es posible que los ciberdelincuentes suplanten nuestra identidad y nos den de alta en servicios bancarios con tan sólo una grabación de nuestra voz diciendo “sí”. Según los expertos consultados por Maldita.es, puede depender de los sistemas y controles de la entidad para confirmar la identidad de los clientes.
Los timadores necesitan más datos personales de la víctima para darle de alta en servicios, según los expertos
Desde la Asociación para la Defensa de Consumidores y Usuarios de Bancos, Cajas y Seguros (ADICAE) afirman a Maldita.es que sí se podría autorizar una transacción en nuestra cuenta bancaria “utilizando una grabación de nuestra voz o darnos de alta en algunos servicios”. En este sentido, Eduardo Carrasco, experto en ciberseguridad y maldito que nos ha prestado sus superpoderes, considera que no sólo haría falta una grabación de nuestra voz diciendo “sí”, sino también grabar otros datos personales como nombre y apellidos completos, DNI “vocalizado número a número”, número de teléfono, dirección, números de tarjeta bancaria, etc. “El mero hecho de responder ‘sí’ a una llamada no conlleva un riesgo si previamente no ha habido por parte del estafador una captación de datos sensibles”, asegura.
La efectividad de este método de timo dependerá de los sistemas de la entidad para confirmar la identidad de los clientes
Iván Forcada Atienza, experto en ciberseguridad y maldito que nos ha prestado sus superpoderes, indica que “todo depende de los controles que las entidades financieras implementen para recabar el consentimiento”. Según Forcada, los bancos suelen requerir algo más que un “sí” dado que, entre otras cosas, se incumpliría la PSD2 —regulación europea sobre servicios de pagos electrónicos—. “En resumen, me parece poco plausible que algo así ocurra, en entidades serias europeas al menos”, sentencia.
“Me extraña mucho esto, pero es verdad que para identificar hay algunos sistemas en los que sólo respondes ‘sí’”, afirma a Maldita.es Marisa Protomártir, responsable jurídica de la Asociación de usuarios financieros (Asufin). Por ello, la experta señala que “lo más garantista” es que el banco haga más preguntas al cliente, como que diga determinados números de la tarjeta de coordenadas o de la firma numérica.
“En cualquier caso, un sistema de seguridad tan débil supondría, en mi opinión, la responsabilidad del banco en la operación fraudulenta”, manifiesta la experta. Y recalca que ya existen resoluciones de la Agencia Española de Protección de Datos (AEPD) multando a bancos en este sentido. Es decir, que si nos estafaran con este procedimiento en una situación así, la culpa podría ser de la entidad por falta de seguridad y no nuestra.
En la misma línea, Susana Duro Carrión, directora del Máster en Protección de Datos de la Universidad Internacional de La Rioja (UNIR), señala a Maldita.es que determinadas entidades financieras ofrecen la posibilidad de que los clientes se identifiquen a través de datos biométricos, como puede ser la voz. “Lo ideal es que no solamente se basen en la voz, sino que se apoyen en otro tipo de datos identificativos para reconocer al usuario”, afirma.
José María de Fuentes, profesor Titular especialista en ciberseguridad de la Universidad Carlos III de Madrid y maldito, ya nos dijo en 2021 que el hecho de que nos graben diciendo “sí” en una llamada es una “amenaza de impacto relativo, pero dependerá de los servicios que tengamos contratados y de cómo se relacionen con nosotros”. Por ejemplo, recuerda que existen sistemas de atención automatizada, “aquellos que pueden atenderte tecleando números o diciendo pocas cosas y que sirven para gestionar incidencias, de teléfono por ejemplo".
Los ciberdelincuentes podrían suplantar nuestra voz con inteligencia artificial
De Fuentes considera que las llamadas en las que te hacen hablar durante un rato largo podrían ser un “riesgo mucho más certero” debido a la evolución de la inteligencia artificial (IA) y su capacidad para suplantar nuestra voz. “El estado de la tecnología para generar falsedades ya es suficientemente bueno para hacer cosas creíbles y ahora el esfuerzo recae en la pericia y los procedimientos de quien comprueba”, apunta.
Del mismo modo, Laura Davara Fernández de Marcos, abogada experta en Derecho Digital, destaca que ya existen herramientas que clonan nuestra voz con una grabación de tan sólo tres segundos: “Pueden obtener un audio con mi voz poniendo en mí palabras y frases que yo no he dicho nunca”.
Desde ADICAE coinciden: “El problema en este tipo de casos no es que te hayan grabado, sino que puedan usar una IA para suplantarte sin necesidad de grabarte. En este sentido, la legislación nacional y europea necesitan abordar esta situación de forma inmediata”.
En este artículo han colaborado con sus superpoderes Eduardo Carrasco, experto en ciberseguridad; Iván Forcada Atienza, experto en ciberseguridad; y José María de Fuentes, profesor Titular especialista en ciberseguridad de la Universidad Carlos III de Madrid.
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.
Maldito Timo cuenta con el apoyo de:
