"Hola a todos. A ver, quiero compartir con vosotros una información valiosa porque ayer intentaron estafarme". Así empieza un audio viral por el que nos habéis consultado a través de nuestro chatbot de WhatsApp (+34 644 229 319). En él, un hombre afirma ser cliente del Banco Sabadell y haber recibido una llamada en la que se hacían pasar por el servicio de seguridad del banco para pedirle un código con el que acceder a su cuenta online.
Desde Maldita.es desconocemos el origen del audio, pero el método de timo que describe se conoce como vishing. Los timadores suplantan la identidad de una empresa o entidad (en este caso, el Banco Sabadell) con el fin de hacerse con nuestros datos personales o bancarios.
Cómo suplantan al banco a través de una llamada
En el audio, el supuesto cliente del Banco Sabadell asegura que le llamaron del servicio de seguridad de su entidad para avisarle de que alguien había accedido a su banca online y estaba haciendo pagos. Según cuenta, le solicitaron "un número de cuatro cifras de una tarjeta de claves" que le llegó en un SMS. "Me dicen que les tengo que dar la clave correspondiente a la casilla que me llegaba en el mensaje, que esto tenía que ser rápido porque estaban reteniendo los pagos", explica.
Según afirma, colgó, entró en su banca online y comprobó que no había habido ningún movimiento. Después, llamó directamente al teléfono de asistencia de su banco y le aseguraron que no habían sido ellos quienes le habían llamado y le indicaron que no diera la clave del SMS a nadie.
Como decimos, a este método se le conoce como vishing y el propio Banco Sabadell ha advertido de ello en otras ocasiones: "Los delincuentes suplantan la identidad del banco (...) y, mediante la llamada telefónica con carácter de urgencia, pretenden conseguir nuestros datos bancarios o personales". Según la entidad, es habitual que "el emisor se identifique como un supuesto empleado" y que nos informe "de una supuesta operación fraudulenta con nuestras tarjetas". Y, para supuestamente solucionar el problema, "nos piden que les facilitemos los datos de la tarjeta u otra información confidencial".
Por qué en la pantalla del móvil puede aparecer que llaman desde el número del banco
Según la persona que habla en el audio por el que nos habéis preguntado, el número de teléfono que le aparecía en la pantalla de su teléfono era exactamente el mismo que el del servicio de seguridad de su banco. Como apunta nuestro maldito Iván Forcada, licenciado en telecomunicaciones y experto en ciberseguridad, "también es posible suplantar la identidad en una llamada".
En su web, el Banco de España explica que la suplantación de identidad telefónica (Caller ID spoofing, en inglés) "consiste en que el identificador de llamadas muestre un número de teléfono diferente al del teléfono desde el cual se realizó la llamada". Miguel Calvo, investigador y profesor en Ciberseguridad y Privacidad de la de la Universidad Rey Juan Carlos, señala a Maldita.es que es habitual que en estos intentos de vishing se utilice VoIP (Voz sobre Protocolo de Internet). “Con esta tecnología, que permite hacer llamadas sobre Internet, es posible modificar, entre otras, el número mostrado durante la llamada. De hecho, son muchos los proveedores de VoIP que ofrecen este 'añadido' para dar valor a su servicio frente a la competencia. Incluso hay 'empresas' que el único servicio que ofrecen es ese, suplantación de identidad en las llamadas”, añade.
No debemos compartir claves que nos lleguen a través de SMS
La persona que habla en el audio asegura que le llegó un SMS a la misma bandeja de entrada en donde le habían llegado otras comunicaciones de su banco. En la llamada fraudulenta, le habían solicitado un número de cuatro cifras que aparecía en ese mensaje de texto.
Según indica Forcada, ese mensaje "tiene toda la pinta de ser el SMS que manda el banco como segundo factor de autenticación (2FA) al intentar acceder u operar con la banca electrónica". Por lo tanto, si compartimos esa información con terceros podrían acceder a nuestra banca online.
¿Cómo es posible que los timadores tengan nuestros datos personales?
"El tema es que tienen mi número de teléfono, tienen mi DNI y tienen mi nombre, porque me llamaron por mi nombre", afirma el hombre que habla en el audio viral.
En este sentido, Forcada afirma que "seguramente los delincuentes habrán obtenido los datos personales (incluidas las credenciales del banco) de esta persona y estaban intentando la estafa usando la suplantación de identidad en la llamada telefónica". Los datos personales, según el experto, podrían haberlos obtenido de muchas maneras: "Puede ser mediante ataques personalizados (como el phishing) o simplemente porque se venden en la Dark web".
Consejos para que no te la cuelen con el 'vishing'
- Nunca des datos personales por teléfono. No le facilites a un desconocido que te llama información delicada, como los datos de tu tarjeta de crédito.
- Ponte en contacto con la entidad llamando a números oficiales. Si sospechas que lo que te están contando por el teléfono podría tratarse de un timo, cuelga y llama tú directamente a esa organización a su número de teléfono oficial.
- Recuerda que la empresa que te está prestando un servicio ya tiene tus datos personales. Por ejemplo, es muy raro que tu banco te pida el número de tu cuenta bancaria ya que es información que ya debería tener.
- Busca en internet si hay víctimas que han denunciado casos similares o información sobre el timo que te están intentando colar.
- Desconfía de llamadas de números desconocidos y utiliza apps de rastreo de llamadas.
Como recoge la Oficina de Seguridad del Internauta (OSI), si has recibido una llamada como la que describimos y has proporcionado los datos, contacta lo antes posible con tu banco a través de canales oficiales y denuncia lo ocurrido ante las Fuerzas y Cuerpos de Seguridad del Estado (FCSE).
En este artículo han colaborado con sus superpoderes Iván Forcada y Miguel Calvo.
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.
Primera fecha de publicación de este artículo: 19/09/2022