Las maneras en las que pueden estafarte con solo un clic

Un simple clic puede ser el principio de un roto en la cuenta corriente de cualquier persona. A través de esa fácil operación inicial se puede permitir que los ciberdelincuentes que han diseñado el timo -cada vez más sofisticados- accedan a los datos personales y bancarios de la víctima y que, con ello, puedan realizar compras o movimientos de dinero desde la cuenta afectada.

Los nombres son de lo más variopintos en función del método utilizado. Entre los más comunes se encuentra el 'phising', que emplea el correo electrónico para engañar a los usuarios. Se trata de correos falsos de entidades bancarias o instituciones, en los que se solicitan los datos personales y la introducción de claves y contraseñas de acceso a cuentas bancarias o tarjetas, para su posterior uso fraudulento. También los hay que intentan chantajear al receptor con supuesta información personal secuestrada del dispositivo y reclaman un pago en 'bitcoins'.

De forma similar actúa el 'smishing', pero este sistema intenta obtener los datos a través de aplicaciones de mensajería instantánea, como puede ser WhatsApp o los SMS. A través de un mensaje, la víctima recibe un enlace para clicar, lo cual puede descargar en el dispositivo un programa maligno para acceder a los archivos o puede conducir a una página web controlada por los delincuentes. Aquí entra en juego el 'pharming', que es la creación de páginas falsas que imitan a las oficiales y que se usa sobre todo para fraudes relacionados con comercio electrónico o banca digital.

Otra modalidad es el 'vishing', donde la víctima recibe una llamada telefónica, en la que un operador se hace pasar por trabajador de una empresa reconocida y solicita los datos personales o, incluso, en ocasiones acceso remoto al dispositivo al hacer creer a su interlocutor que se trata del servicio técnico.

Precisamente, este último timo encabezó las consultas relacionadas con el fraude que recibió el 017, el número corto de la Línea de Ayuda en Ciberseguridad, desde su lanzamiento en febrero de 2020 por el Instituto Nacional de Ciberseguridad (Incibe), con sede en León. Este número, que es gratuito y confidencial y que atiende los 365 días del año, registró en su primer año de funcionamiento 47.503 consultas. El tema que más preocupa a los ciudadanos es la estafa mediante un falso soporte técnico, que se refleja en el 15,2% de las consultas atendidas; seguido muy de cerca por los fraudes online relacionados con el 'phishing' (14,8%) y, en tercer lugar, por los incidentes ocasionados por una suplantación de identidad, (14,6%).

Los timos son muchos y muy variados y seguro que en su bandeja de entrada de correo electrónico ha visto pasar alguno de ellos o quizá haya recibido algún SMS sospechoso. Vamos a hacer un repaso de los más comunes y actuales.

Seguro que lo ha visto pasar por su correo. Se trata de un 'email' que informa del bloqueo de la cuenta de Amazon. Con la excusa de que los datos de cobro no coinciden con los del emisor de la tarjeta, redirige a la víctima a una página que imita a la oficial del gigante del comercio electrónico en la que se le pide que vuelva a rellenar los datos de la tarjeta del banco, con lo que ya le habrían robado la información. Cuando esto sucede, lo más urgente es notificarlo a la entidad bancaria titular de la tarjeta para que proceda a su bloqueo o anulación.

Entidades como CaixaBank, BBVA, Banco Santander e Ibercaja, entre otras, han sufrido recientemente campañas de 'smishing', en las que los usuarios recibían SMS con enlaces a páginas falsas para robar las credenciales de acceso a los servicios de banca digital. Los pretextos son variados, pero siempre buscan generar alarma y, por tanto, una respuesta rápida e irreflexiva. El bloqueo de la cuenta por motivos de seguridad, la autorización de compras efectuadas con tarjetas, el bloqueo de acceso si no se actualizan los datos o la necesidad de verificar una operación fraudulenta en su cuenta son algunos de los ganchos utilizados por estos SMS.

Se trata de otro clásico recurrente y que afecta a todos los proveedores de correo electrónico. Se trata de mensajes que llegan a los usuarios informando de que se ha superado el límite de la cuota de almacenamiento del buzón y que, para evitar su bloqueo, se debe clicar en un enlace. Es ahí donde se solicitan los datos personales y de pago.

Seguro que también le suena. Además, este intento de fraude se intensificó en diciembre pasado y la Oficina de Seguridad de Internauta (OSI) del Incibe lanzó una alerta al respecto. Se trata de SMS fraudulentos que suplantan a la compañía de mensajería MRW. Un localizador de envío con un enlace redirige a una página fraudulenta con el fin de pagar con la tarjeta de crédito unos supuestos gastos por el porte de un paquete.

De igual manera, también la compañía de paquetería DHL ha sufrido una campaña de 'smishing', aunque en este caso, tal y como ha avisado la OSI, el objetivo de los SMS es la descarga de un programa malicioso tipo troyano que roba los datos bancarios y, además, se replica a través de la agenda de contactos del dispositivo. Para ello se utilizan mensajes del tipo «su paquete será enviado hoy, haga el seguimiento aquí» o «hemos intentado entregar su paquete, compruebe su estado aquí». Para prevenir este tipo de descargas es recomendable deshabilitar la opción de instalación de aplicaciones de origen desconocido en el dispositivo.

Correos no iba a ser menos. También ha habido campañas de 'emails' suplantando la identidad de la empresa pública. En este caso, el 'mail' informa al receptor de la llegada de un paquete a su nombre y ofrece la posibilidad de clicar en un botón para acceder a un 'chat bot' (aplicación que simula una conversación con un asistente virtual). Entonces, se reclamará a la víctima sus datos personales alegando que la etiqueta de envío está dañada y, además, que deberá abonar unos gastos de envío para poder recibir el paquete.

Otra variante muy extendida de correos electrónicos fraudulentos son lo que tienen por objetivo extorsionar a la víctimas para que paguen una determinada cantidad de dinero a cambio de no publicar unas supuestas grabaciones íntimas robadas a través del dispositivo. Conocido como 'sextorsión', este intento de fraude suele llegar a las bandejas de correo con el asunto «pirateé con éxito tu dispositivo X», o similar y explica que un virus espía instalado en el ordenador ha permitido el acceso a la cámara y a grabar al usuario viendo contenido pornográfico.

El ciberdelincuente suele amenazar con el envío de esa grabación a todos los contactos de la víctima si en un corto plazo de tiempo no ingresa una cantidad de dinero en 'bitcoins', siguiendo las instrucciones que se facilitan. Según la OSI, este tipo de correos tuvo una gran circulación durante el confinamiento por la pandemia. De caer en esta trampa, el problema viene por el uso de las criptomonedas, puesto que se trata de un mercado sin regulación ni protección legal, por lo que se trata de operaciones irreversibles.

El auge de los pagos a través de la aplicación Bizum también ha tenido su efecto en los intentos de timo. El mes pasado, la OSI alertó de una nueva estrategia de estafa destinada a las personas que venden artículos por internet y que aceptan el pago por este medio. Los ciberdelincuentes se hacen pasar por supuestos compradores de un producto que quieren pagar con Bizum, pero en vez de pagar lo que hacen es enviar una solicitud de dinero al vendedor, que en el caso de aceptar estaría transfiriendo automáticante el importe de la venta. El caso es que esta plataforma no permite revertir la operación, al contrario que las transferencias o pagos con tarjetas.

Cuando se es víctima de alguno de estos timos que implican un uso fraudulento de los datos de la tarjeta de crédito, es importante saber que los bancos suelen asumir las pérdidas. En cambio, cuando se produce una pérdida o robo, esta circunstancia se debe comunicar a la entidad lo antes posible porque el usuario suele ser el responsable de las operaciones realizadas desde el momento en el que se produce la pérdida hasta que se informa de ella. Actualmente, la mayoría de las aplicaciones bancarias dan la opción de que el cliente pueda 'suspender' o 'apagar' una tarjeta desde los dispositivos móviles ante la duda de su extravío, robo o copia de datos.

• Temas
• Timos y estafas