¡Hola, malditas y malditos! Ya está aquí la 19º edición del consultorio de Maldito Timo. Hoy te explicamos qué pasos puedes dar para denunciar una página web fraudulenta si quieres advertir a otros usuarios e intentar recuperar tu dinero si te han estafado. También hablamos de uno de los mayores riesgos de compartir una foto de tu DNI en internet: podrían suplantar tu identidad y abrir una cuenta bancaria online a tu nombre con la que solicitar préstamos o cometer otras estafas. Por último, aclaramos cómo es posible que los ciberdelincuentes tengan tu número de teléfono y te escriban a través de WhatsApp para intentar timarte.
Recuerda que puedes mandarnos cualquier duda a nuestro ‘buzón de timos’ ([email protected]), a nuestros perfiles de Twitter y Facebook o a nuestro chatbot de WhatsApp (+34 644 229 319). ¡Vamos al lío!
Cómo denunciar una página web fraudulenta
“Me han timado en una página que se hace pasar por Women’secret. ¿Se puede denunciar? ¿Cómo lo hago? Sobre todo para que no le pase a más gente”. Esto nos ha consultado una lectora de Maldita.es a través de nuestro correo electrónico ([email protected]). Aunque lo ideal es aprender a identificar una página web segura antes de introducir nuestros datos para realizar alguna compra, si hemos caído en un engaño sí que podemos denunciarlo. Te explicamos paso a paso cómo reportar una página web fraudulenta.
Para empezar, debemos recopilar todas las pruebas que tengamos sobre cómo se ha producido el engaño en la web, incluido el justificante del pago. Con todas esas evidencias debemos acudir a denunciar ante la Policía Nacional, la Guardia Civil o en el Juzgado de Instrucción de guardia. Emilio Casbas, especialista en detección de fraudes online y maldito que nos ha prestado sus superpoderes, afirma que denunciar sirve también para “dejar constancia y tener un justificante para intentar recuperar el dinero perdido” y, además, la víctima “estará cubierta” en caso de que sus datos personales sean usados para cometer otras estafas o registrar otras webs fraudulentas. Como ya os explicamos en Maldita.es, también podemos denunciar la página fraudulenta ante un organismo de consumo, aunque la reclamación se complicará si la empresa que hay detrás se encuentra en un país fuera de la Unión Europea (UE).
Si hemos accedido a una página fraudulenta a través de una red social o una plataforma de compraventa, también deberíamos reportar el timo ante dicha plataforma, según indica Álex Corcoles, especialista en informática y también maldito. Por ejemplo, en Facebook Marketplace podemos denunciar a un vendedor, a un comprador o una publicación por “estafa”.
Según el experto, una de las medidas más efectivas para advertir a otros usuarios de una página fraudulenta es utilizar las funcionalidades de los navegadores que permiten avisar de que una página web práctica phishing, es decir, la suplantación de identidad de empresas o instituciones. Por ejemplo, Google cuenta con el servicio Safe Browsing, que muestra advertencias a los usuarios cuando se navega por sitios web peligrosos o se intentan descargar archivos maliciosos. Si nosotros detectamos una página web de phishing, podemos reportarla a través de este enlace. “Aparte de Google Chrome, otros navegadores como Firefox también usan este servicio”, apunta Corcoles.
Casbas explica que, en el caso de las páginas fraudulentas que suplantan a marcas, Google lo que hace es informar a Lumen, que es un proyecto que se dedica a analizar y publicar las solicitudes de retirada de contenidos online.
El especialista señala que también podemos reportar cualquier página web fraudulenta en la plataforma ‘desenmascara.me’, de la que es creador. “La página web fraudulenta se verificará y se marcará como fraudulenta para avisar a otros usuarios”, que podrán saber si la web que están visitando es de fiar o no al utilizar la extensión de Google Chrome de desenmascara.me.
Cómo los timadores pueden abrir una cuenta bancaria y pedir préstamos a tu nombre teniendo una foto de tu DNI
Si estás buscando trabajo o estás reservando un alojamiento, es posible que alguien te haya pedido que le mandes una foto de tu DNI. Antes de hacerlo, ten en cuenta que enviar una foto de tu documento de identidad por internet tiene sus riesgos: podrían suplantarte la identidad con fines delictivos. Ángela García, técnico de la Línea de Ayuda en Ciberseguridad del Instituto Nacional de Ciberseguridad (INCIBE), explicó en la Maldita Twitchería que uno de los objetivos de los ciberdelincuentes podría ser solicitar préstamos a nombre de la víctima tras hacerse con su DNI.
¿Qué interés podrían tener los ciberdelincuentes en hacer eso? Pues ocultar su identidad para que los investigadores no tengan tan fácil descubrir al verdadero autor de un delito, como nos explica Eduardo Carrasco, experto en ciberseguridad y maldito que nos ha prestado sus superpoderes. Para eso necesitan “una cuenta bancaria online que no les vincule con su propia identidad”. Y para abrir esa cuenta pueden hacer uso de la foto del DNI que la víctima ha facilitado tras ser víctima de un engaño.
Ahora bien, ¿se puede abrir una cuenta bancaria sólo con una foto del DNI? Según Carrasco, dependerá del nivel de seguridad de la entidad bancaria que opera online. Además de la imagen del documento, es habitual que se solicite un “selfie” en el que aparezca la persona sosteniendo el DNI. No obstante, el timador podría engañar a la víctima para que también le envíe esta imagen.
Desde la Asociación de usuarios financieros (Asufin) aseguran a Maldita.es que, aunque no debería ser posible abrir cuentas bancarias con sólo un DNI “porque legalmente están provistos protocolos de autenticación con garantías adicionales”, lo cierto es que sucede y, sobre todo, “en contratación telemática”. Una vez se ha logrado abrir una cuenta bancaria online, solicitar un préstamo online es bastante sencillo, apunta Carrasco. “Lo habitual es que inmediatamente obtenido el préstamo se produzca la conversión en criptomonedas para dificultar su seguimiento”, señala.
Esto, por supuesto, trae consecuencias negativas a la persona suplantada. La víctima se queda con la deuda y no es consciente de ella hasta que recibe una notificación de los prestamistas requiriendo el pago, afirma el experto. Incluso la cuenta bancaria podría utilizarse para timar a otras víctimas. “Si se produce una estafa, se van a iniciar actuaciones penales en las que la persona cuya identidad ha sido suplantada va a figurar como investigado/a hasta que se logre determinar lo sucedido y se confirme que no tiene ninguna responsabilidad en el asunto”, explican desde Asufin.
En el caso de que hayamos facilitado nuestro DNI a quien no debemos, el INCIBE recomienda contactar con el Centro de Información de Riesgos del Banco de España (CIRBE) para saber si se han solicitado créditos o préstamos a nuestro nombre. García también aconseja solicitar un nuevo DNI y denunciar ante las autoridades.
Si tenemos que compartir una fotografía de nuestro DNI en internet para contratar algún servicio, el INCIBE aconseja utilizar técnicas de ofuscación, como pixelar la foto o la firma y ponerle una marca de agua en la que se detalla con qué fin se está compartiendo esa foto.
Cómo es posible que los timadores tengan tu número y te escriban a través de WhatsApp
“Me llegó un mensaje de WhatsApp un poco raro y venía de un número de Guinea Ecuatorial. No me explico de dónde sacan mi número”, nos consultó un lector a través de nuestro chatbot de WhatsApp (+34 644 229 319). En Maldita.es os hemos advertido de muchos intentos de timo que llegan a través de esta plataforma de mensajería. Estos mensajes pueden provenir de un número de teléfono extranjero que no tenemos guardado en la agenda.
Pero, ¿cómo consiguen los ciberdelincuentes nuestro teléfono? El INCIBE y José Luis Asensio, auditor de ciberseguridad en S21Sec y maldito, indican a Maldita.es varias maneras de obtener este dato personal:
Filtraciones y venta de datos en el mercado negro. Es habitual que, tras explotar alguna vulnerabilidad de una empresa con la que tenemos contratado un servicio, los ciberdelincuentes roben bases de datos personales. Esos datos robados “pueden ser usados o vendidos a terceros para que estos sean luego los que hagan la campaña de intento de estafa”, explica Asensio.
Ataques de ingeniería social. Como indica el INCIBE, los timadores podrían tener nuestro número de teléfono porque nosotros mismos lo hemos facilitado al caer en un ataque de phishing o de smishing, o en un sorteo falso.
Mala configuración de algún servicio online que utilizamos, por lo que nuestro teléfono queda expuesto sin que seamos conscientes y los ciberdelincuentes pueden obtenerlo fácilmente.
Registros o formularios web. También podrían conseguirlo porque nos hemos registrado o hemos completado un formulario en una página web de “dudosa reputación”, según señala el INCIBE.
Acceso a la agenda de contactos de una cuenta de WhatsApp robada. Asensio indica que los timadores también podrían robar una cuenta y acceder a la agenda de contactos de la misma para engañar a otras víctimas, suplantando la identidad de la persona de la cuenta robada.
Números aleatorios. Otra posibilidad, según el INCIBE, es que los ciberdelincuentes envíen mensajes a teléfonos de manera aleatoria. En este sentido, WhatsApp permite buscar y escribir un mensaje a un número que no está en nuestros contactos. “WhatsApp nos dará la opción de agregarlo a los contactos o de escribir directamente. La única limitación es que debe agregarse el código del país”, explica Asensio. Por ejemplo, un miembro del equipo de Maldita.es recibió una falsa oferta de trabajo a través de WhatsApp y, cuando consultó al timador sobre cómo había obtenido su número, este afirmó que habían obtenido el teléfono de forma aleatoria.
En definitiva, los ciberdelincuentes pueden obtener nuestro número de teléfono por muchas vías o, simplemente, escribirnos de forma aleatoria a través de WhatsApp, esperando que caigamos en su juego. Por eso, debemos desconfiar de mensajes de desconocidos que nos solicitan datos personales o que piden le hagamos un supuesto favor.
Y para terminar…
Antes de finalizar, os recordamos que si habéis sido víctima de un fraude el primer paso es acudir a las autoridades. Y, aunque en Maldito Timo no somos técnicos ni expertos en ciberseguridad, sí contamos con la ayuda de muchos profesionales que están dispuestos a echarnos una mano para resolver vuestras dudas y así aprender juntos a defendernos ante los riesgos en internet. Si tienes cualquier duda sobre ciberestafas, puedes hacérnosla llegar a través de nuestro ‘buzón de timos’. ¡Juntos y juntas es mucho más difícil que nos la cuelen!
En este artículo ha colaborado con sus superpoderes Emilio Casbas, especialista en detección de fraudes online; Álex Corcoles, especialista en informática; Eduardo Carrasco, experto en ciberseguridad, y José Luis Asensio, auditor de ciberseguridad en S21Sec.
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.
Maldito Timo cuenta con el apoyo de:
