“He sido víctima de una estafa bancaria, me llamaron por teléfono haciéndose pasar por mi banco diciéndome que estaban intentando entrar en mi cuenta y que necesitaban unos códigos para bloquear una operación con mi tarjeta, se los doy, veo que hacen un cargo en la misma, llamo a mi banco y me dicen que ellos no han sido”, nos escribe un lector de Maldita.es.
Se trata de un caso de vishing mediante el cual se suplanta a una entidad con el fin de hacerse con los datos bancarios de las víctimas. Es algo, además, de lo que tanto el Banco de España como la Oficina de Seguridad del Internauta (OSI) han alertado en las últimas semanas. Esta suplantación no sólo se hace mediante una llamada, en ocasiones, esa llamada viene acompañada de un SMS, también suplantado a nuestro banco (conocido como SMS Spoofing), para completar el fraude y conseguir el acceso a nuestras cuentas bancarias.
Esta metodología utilizada, explican a Maldita.es desde el Grupo de Delitos Tecnológicos de la Guardia Civil, “es el claro ejemplo de evolución en las técnicas de ingeniería social empleadas por los ciberdelincuentes donde emplean de forma complementaria técnicas de phising, vishing y smishing”. Algo que, señalan, “son campañas cíclicas que se van activando cada cierto tiempo” y que están “observando con cierta frecuencia”.
En Maldita.es, además, no es la primera vez que os hablamos de este tipo de práctica fraudulenta con el fin de hacerse con nuestros datos. Ya os contamos cómo funciona el timo en el que se hacen pasar por técnicos de Microsoft.
En la pantalla del móvil aparece que llaman desde el número de atención al cliente de la entidad bancaria
Te suena el teléfono y ves que en la pantalla de móvil aparece que te están llamando desde el servicio de atención al cliente de tu banco. Mucho ojo porque, como decimos, puede tratarse de una suplantación de identidad.
De hecho, el Banco de España ha lanzado una advertencia sobre tipo de fraude. Según el organismo supervisor “el ataque se dirige a los números de atención telefónica de la entidad”.
Esto no quiere decir que te estén llamando de tu banco, sino que, como explica la conocida empresa de antivirus, Kapersky, “la suplantación del número de teléfono hace que el identificador de llamadas muestre un número de teléfono u otra información para que parezca que las llamadas son de una persona o empresa diferente. Si bien la información de la persona que llama puede parecer local, las llamadas pueden ser realizadas por vendedores telefónicos ubicados fuera del estado o país”.
¿Cómo consiguen suplantar a nuestro banco mediante una llamada telefónica?
Para estos casos de vishing “suelen utilizar VoIP” (Voz sobre Protocolo de Internet), nos explica nuestro maldito Miguel Calvo, experto en ciberseguridad y privacidad, aunque señala que existen más formas de hacerlo.
“Con esta tecnología, que permite hacer llamadas sobre Internet, es posible modificar, entre otras, el número mostrado durante la llamada. De hecho, son muchos los proveedores de VoIP que ofrecen este 'añadido' para dar valor a su servicio frente a la competencia. Incluso hay 'empresas' que el único servicio que ofrecen es ese, suplantación de identidad en las llamadas”, añade.
¿Podemos evitar recibir estas llamadas? Según Calvo, “existen soluciones como la que incorpora Android cuando nos avisa que una llamada es spam. No obstante, “estas soluciones no son capaces de detectar las falsificaciones, sino que lo que hacen es buscar en bases se datos de números de spam o phishing conocidos”, añade.
SMS Spoofing: cuando nos llega un SMS a nombre de nuestro banco
Según explica la víctima de este timo que ha contactado con Maldita.es, tras recibir la llamada en la que suplantaban a su banco, recibió un SMS, también a nombre del banco, con unos códigos con los que, tras proporcionárselos, consiguieron acceder a su cuenta.
En Maldita.es ya os hablamos del SMS Spoofing (suplantación de SMS, en su traducción del inglés). Desde el Instituto Nacional de Ciberseguridad (INCIBE) ya señalaron a este medio que el SMS no se envía desde la cuenta de una entidad o banco, ni desde el número del mismo, sino que “los actores maliciosos dan de alta un 'alias'” para el envío de SMS idéntico al alias que utiliza la empresa, con lo que consiguen “que las aplicaciones de mensajería de los teléfonos agrupen el mensaje en la misma conversación legítima, pareciendo que es de la entidad original”. Es decir, se agrupa en en la misma cadena de mensajes en la que lo hacen el resto de SMS que nos envía nuestra entidad bancaria, lo que dota de credibilidad al fraude.
La OSI también ha alertado de estas llamadas fraudulentas que se hacen pasar por el servicio de atención al cliente de bancos y proveedores de gas y electricidad
El pasado mes de diciembre, la Oficina de Seguridad del Internauta (OSI), dependiente del INCIBE, se hizo eco de “una campaña de vishing” en la que suplantan los servicios de atención al cliente de algunos bancos y proveedores de gas y electricidad “mediante la realización de llamadas a los usuarios”. De esta forma, indican que “el ciberdelincuente se hace pasar por el servicio de atención al cliente para informarnos, en el caso de los bancos, de que alguien ha accedido a nuestra cuenta y/o tarjeta, que han realizado un cargo en las mismas, o para solicitarnos que le demos información”.
¿Cómo podemos saber si es nuestro banco el que nos llama o manda SMS?
Desde la OSI insisten en que “ningún servicio de atención al cliente llama para pedir nuestros datos”. Por tanto, recomiendan que “si recibes una llamada en este sentido, no los facilites y contactes inmediatamente con la entidad para informarles”.
De igual forma, como ya os hemos contado en Maldita.es en otras ocasiones, los bancos tampoco envían enlaces por SMS para pedirnos información o nuestras credenciales en la aplicación o página web, sin haberlo solicitado.
El experto en ciberseguridad, Miguel Calvo, explica que, al igual que ocurre con cualquier SMS o caso de phishing que nos llega por correo electrónico, también debemos desconfiar de estas llamadas por defecto. Además, nos aconseja, al igual que la OSI, “evitar compartir información personal o financiera por teléfono (sobre todo si la llamada no la hemos iniciado nosotros), no enviar dinero (por mucho miedo que traten de meternos durante la llamada o muchos descuentos por pronto pago que nos ofrezcan), tratar de llamar nosotros al número de atención al cliente del banco y preguntar si realmente se ha hecho la llamada y si lo que nos comentaban en ella era cierto”.
Desde el Banco de España, en la misma línea que Calvo, recomiendan que se use el sentido común y cotejemos que lo que nos dicen por teléfono es real. “Si te llaman diciéndote que has hecho una operación fraudulenta, accede a tu banca virtual (ya sea a través de la aplicación o de la página web) y verifica que es cierto”.
Por otro lado, indican que “si no has realizado tú una operación, no tiene sentido que te llegue una clave temporal y mucho menos que el banco sea quien te la solicite verbalmente por teléfono”. También hay que tener en cuenta, según el organismo supervisor, que “tu banco no necesita un código para anular esa supuesta operación fraudulenta”.
¿Qué podemos hacer si hemos sido víctimas de este fraude?
Como explica la OSI, si has recibido una llamada haciéndose pasar por tu entidad bancaria y has proporcionado tus claves, es importante que contactes inmediatamente con tu banco para comunicarles lo ocurrido.
También es aconsejable que lo denuncies ante las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) aportando tantas pruebas como sea posible.
Por último, si los ciberdelincuentes te han hecho algún cargo en la tarjeta, puedes poner, aportando la denuncia mencionada, una reclamación en tu entidad bancaria. Si pasan dos meses sin contestación o si la solución no es satisfactoria, la Organización de Consumidores y Usuarios (OCU) recomienda reclamar ante el Departamento de Conducta de Mercado y Reclamaciones del Banco de España.
Desde la OSI también sugieren que practiquemos periódicamente egosurfing, esto es, buscarnos a nosotros mismos en internet, “para comprobar si han aprovechado esta situación para suplantar tu identidad en algún servicio de Internet o para llevar a cabo acciones maliciosas en nuestro nombre”.
Si has sido víctima de este timo o se han puesto en contacto contigo para llevarlo a cabo, también puedes escribirnos a [email protected] para contarnos tu historia.
En este artículo ha colaborado con sus superpoderes el maldito Miguel Calvo, experto en ciberseguridad y privacidad .
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla:mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.
Primera fecha de publicación de este artículo: 19/01/2022