Vuelve la vieja estafa que vacía las cuentas bancarias

Una vieja estafa ha puesto en alerta a los clientes de Movistar, con un tipo de timo que tamién es muy común en las entidades bancarias. Suplantar la identidad para engañar y robar a las víctimas es una forma de estafa que se conoce como 'vishing', que el Instituto Nacional de Ciberseguridad (Incibe) define como una técnica en la que, "a través de una llamada, se suplanta la identidad de una empresa, organización o persona de confianza, con el fin de obtener información personal y sensible de la víctima".

"¡Alerta! Nueva campaña de vishing detectada suplantando a Movistar. Si recibes una llamada de un número desconocido para cambiar el router no te confíes, están intentando hacerse con tus claves de miMovistar", ha indicado en su red social 'X'. "Cada vez, resurge de forma más elaborada con llamadas falsas haciéndose pasar por Movistar, Telefónica u otras empresas de servicios, suministros, entidades bancarias...", han escrito en su página web.

"Vuelven las llamadas en las que suplantan Movistar y, con la excusa de que debes cambiar el router, quieren conseguir tus datos personales. No piques, y en caso de duda, contacta directamente con la compañía", han publicado los Mossos.

Un usuario recibió hace un tiempo una llamada desde el número de teléfono de su sucursal bancaria. Al otro lado del teléfono hablaba un hombre, que se identificó como trabajador del banco. Le llamó para avisarle de que alguien estaba intentando sacar 400 euros de su cuenta bancaria y, para confirmarlo, le indicó los 20 dígitos correctos del número de su cuenta.

No sospechó: le llamaban desde el número que tenía agendado, sabían todos sus datos y, además, conocían a la perfección su cuenta bancaria. Tras darle esa información, desde lo que pensaba que era su banco le invitaron a hacer una prueba para evitar que el presunto intento de robo le sucediera de nuevo.

¿Qué es la estafa del cartero? El fraude europeo que utiliza códigos QR

¿Qué es 'Instant money'?

Durante la misma llamada, pueden indicarte que compruebes el servicio de 'instant money' funcionaba, pues resulta que el robo había sido perpetrado desde este servicio.

Esta innovadora función -'instant money'- permite a cualquier cliente del banco autorizar a otra persona a retirar dinero al instante desde un cajero automático. La persona propietaria de la cuenta debe ordenar la retirada desde su aplicación del banco y anotar el número de teléfono de la persona que lo retirará, poniendo su firma digital para confirmar la identidad. Una vez hecho, la persona autorizada recibirá un código con el que poder retirar el dinero.

Fue entonces cuando Joan empezó a sospechar: nunca antes había oído hablar del 'instant money' y no lo tenía activado, pero siguió las indicaciones. El supuesto señor del banco le dijo que, para probar, intentarían hacer una operación sencilla a través de este servicio.

Para "mayor seguridad", debía enviarse el dinero a sí mismo: él ordenaba una retirada de dinero a su mismo número de teléfono. La prueba no tenía más recorrido: sin ese código -que solo Joan iba a recibir- nadie podría sacar el dinero. Pero, desde la llamada, le instaron a que dijera el código recibido en el SMS para "comprobar" que era el correcto con "los datos enviados por el banco".

En ese momento, las sospechas evitaron que este revelara el código que había recibido por SMS, y colgó. Así evitó que los timadores, que seguramente estaban al lado de un cajero esperando que les diera el número recibido por SMS, le robaran. Al día siguiente, fue a su oficina bancaria, donde le confirmaron que se trata de una estafa muy recurrente y peligrosa.

“Brushing”: la nueva estafa que ha llegado a España

'Spoofing' o 'vishing': suplantar la identidad del banco

El Incibe alerta en su web de que "detectar una suplantación de identidad telefónica puede ser difícil, ya que los ciberdelincuentes utilizan técnicas cada vez más sofisticadas".

Ejemplo de ello es que consiguen llamar desde el número de teléfono de tu banco. Se puede hacer de dos maneras:

La primera consiste en usar un servicio de VoIP (Voz sobre protocolo de Internet, por sus siglas en inglés) que permite contactar con el destinatario como si fuera una llamada por red telefónica cuando en realidad se trata de una comunicación por internet.

El segundo método es llamar desde otro número, pero cambiando el número que le aparece en pantalla al destinatario, algo que los mismos proveedores de VoIP pueden hacer, pues no suelen comprobar si el cliente es el dueño del número que solicitan.

Cómo saben tus datos

La técnica que usan estos ciberdelincuentes para que confíes en ellos es darte datos que aparentemente nadie puede conocer sin tú saberlo. Saben tu nombre, apellidos, DNI, número de teléfono (te llaman directamente) y, como en el caso de Joan, también tu cuenta bancaria.

Estas informaciones las suelen obtener de filtraciones de datos masivas que roban a grandes empresas, pero también las pueden comprar en el mercado negro. Por ejemplo, en 2018, la empresa de Facebook (ahora Meta) reconoció que se habían filtrado 30 millones de datos de usuarios por un ataque pirata. Este fue un caso muy conocido, por la dimensión de la empresa, pero ocurre en muchas otras compañías.

También puede ser que los datos los hayas dado tú mismo como víctima de un engaño de 'phishing', otro tipo de estafa que generalmente te lleva a un enlace donde te piden tus datos. Si no te roban dinero puedes no darte cuenta del delito, pero seguramente te hayan robado datos para usarlos en otra estafa mayor.

Estafa del código QR: consejos para proteger tu Información y evitar caer en la trampa