Primero es un SMS aparentemente
enviado por una entidad bancaria. Luego una llamada del que dice ser un
empleado de esta. Y, poco después, el dinero que la víctima tenía en sus
cuentas desaparece. La Policía Nacional ha alertado este miércoles de la
proliferación en los dos últimos meses de un nuevo y sofisticado fraude
bancario que combina por primera vez tres modalidades de ciberestafa: el
phising o creación de páginas web similares a las reales de una empresa o
banco; el smising o envió de mensajes SMS fraudulentos y el vishing o llamadas
telefónicas para obtener información confidencial.
Los agentes sospechan que detrás de
esta oleada hay varios grupos criminales, en su mayoría formados por españoles
y marroquíes, que en algunos momentos comparten incluso a sus integrantes y que
cada uno puede estar formado por hasta 40 personas. La Unidad Central de
Ciberdelincuencia tiene en la actualidad abiertas varias investigaciones,
algunas de ellas con más de 500 víctimas conocidas. “Es una estafa clásica en
la que los delincuentes se hacen pasar por una persona o institución, pero
ahora se aprovechan de las nuevas tecnologías para completar el engaño”,
detalla en conversación telefónica con EL PAÍS la inspectora Beatriz Gómez
Hermosilla, al frente de estas investigaciones.
El primer paso de estas organizaciones
criminales es el envío masivo de SMS a potenciales víctimas en los que se les
alerta de que se ha detectado un supuesto acceso sospechoso a su cuenta
bancaria. “Debe activar su sistema de seguridad web o bien su cuenta quedará
bloqueada”, le apremian en el mensaje al destinatario junto a un enlace que le
piden pinchar para ser redirigido supuestamente a la página web de su entidad
financiera. En realidad, donde llega la víctima es lo que en la jerga policial
se conoce como página espejo, es decir, un portal que reproduce en todos sus
detalles la web real del banco. Una vez en ella, la trama solicita los datos
bancarios y personales, así como el usuario y contraseña de acceso a su banca
online y un teléfono de contacto. Para vencer las posibles reticencias de las
víctimas, la página les comunica que, en breve, recibirá una llamada de un
empleado para realizar algunas verificaciones de seguridad.
El contacto telefónico se produce,
pero en realidad el que está al otro lado de la línea no es un trabajador del
banco, sino un miembro de la organización que, en ocasiones, enmascara el
número de teléfono desde el que llama con otro que sí se corresponde con las
líneas del banco. En la conversación, el delincuente le informa sobre los
supuestos movimientos sospechosos detectados en su cuenta y se ofrece a resolver
la situación anulando los mismos. Para hacerlo, solicita a la víctima que le
facilite las claves de firma electrónica con las que opera.
Durante la conversación, y para dar
credibilidad al engaño, la trama envía al móvil de la víctima nuevos SMS con
los detalles de las gestiones que supuestamente está realizando e, incluso,
transfiere la llamada a lo que dicen ser otros departamentos del banco hasta
conseguir acceso total a las credenciales personales que usa la víctima para
operar en la banca online. En el transcurso de la conversación, los
delincuentes comienzan a hacer transferencias y pagos, a la vez que piden al
estafado que facilite las claves de un solo uso que le envía su entidad
financiera para autorizarlas. En ocasiones, la organización criminal no solo
saquea las cuentas sino que también la dejan en números rojos aprovechando los
datos conseguidos para pedir microcréditos preconcedidos por las entidades a
sus clientes sin requisitos.
La inspectora Gómez Hermosilla detalla
que los primeros casos de esta sofisticada ciberestafa los detectaron a finales
del pasado año, aunque entonces las tramas utilizaban como gancho supuestos
envíos de paquetería de Correos o de empresas de compra online como Amazon.
“Ahora afecta a clientes todas las entidades financieras”, añade. Detrás de
estos ciberdelitos hay un complejo entramado delincuencial con varios niveles y
reparto de funciones. Según detalla la responsable policial, una parte de la
organización crea las páginas web espejo, otra se encarga de adquirir con
identidades falsas las tarjetas de telefónica desde las que se harán las
llamadas, otros delincuentes de la organización hacen las llamadas y,
finalmente, aparecen las denominadas mulas, personas con escasos recursos que
por una pequeña cantidad de dinero se prestan a abrir las cuentas a la que son
transferidos en primera instancia los fondos desde los depósitos de los
estafados.
“Una vez en estas cuentas, el dinero
comienza a saltar de cuenta en cuenta, muchas veces fragmentado para dificultar
seguir su rastro y con conceptos tan variados como “compra de videojuego” o
“regalo” para burlar los controles de las entidades financieras, hasta que, en
muchas ocasiones, acaba invertido en criptomonedas, con la dificultad que eso
supone para su recuperación”, señala la responsable de las pesquisas. La
experta policial añade que estas organizaciones consiguen los números de
teléfono en el mercado clandestino de datos de todo tipo que existe en la
llamada internet oscura o dark web, en la que también se hacen con números de
documentos de identidad con los que poder adquirir en locutorios las tarjetas
de telefonía con las que hacer las llamadas. En realidad, ese es el primer
peldaño del nuevo y sofisticado fraude bancario detectado.
CINCO CONSEJOS PARA EVITAR SER VÍCTIMA
La policía ha lanzado este miércoles
algunas recomendaciones para evitar ser víctima del nuevo ciberfraude
detectado:
- No facilitar nunca las claves secretas ni datos personales a través de ningún canal. La Policía recuerda que si bien las entidades financieras pueden comunicarse con sus clientes en caso de ser necesaria alguna verificación, en ningún caso van a solicitar claves secretas, datos bancarios ni firmar retrocesiones de operaciones.
- En caso de dudar sobre la autenticidad de la llamada es mejor colgar y comunicarnos con el banco a través del número de contacto empleado habitualmente.
- Ser especialmente cauto con los SMS o correos que se reciben y prestar atención a los enlaces que puedan incluir, ya que en los casos de fraude nunca redirigen a la página oficial de la entidad bancaria. Habitualmente, estos SMS contienen faltas de ortografía o frases carentes de sentido.
- En caso de recibir un SMS estas características es muy importante no facilitar ningún dato ni pinchar en el enlace o descargar los archivos adjuntos. La mejor opción es ignorarlo o eliminarlo, y, en caso de duda, contactar con el servicio de atención al cliente de la entidad bancaria.
- No acceder a servicios online que requieran intercambio de información privada o realizar trámites bancarios desde dispositivos públicos o que estén conectados a redes wifi públicas.
Fuente: El Pais.com