"¿Ha hecho una compra de 200 euros?": así comenzó el intento de estafa telefónica a una víctima de Jerez

M.L.P es una mujer vecina de Jerez de la Frontera que, este pasado martes 2 de diciembre, recibió una llamada a su móvil desde un número de teléfono desconocido en la que un individuo sin identificarse le llama por su nombre y apellidos.

"No suelo atender números que no tengo guardados y, es raro en mí, porque al final cogí la llamada. Al menos dije 'diga' y no 'sí' ya que mi marido me dice que si contesto afirmativamente pueden grabarme la voz", explica la mujer al inicio del relato de este intento de estafa teléfonica.

El interlocutor se identificó como un trabajador de su entidad bancaria aunque, "no recuerdo el nombre que empleó para presentarse, hablaba muy bien el castellano pero se notaba que no era español", recuerda esta joven residente en Jerez.

Acto seguido, el intento de fraude comenzó a tomar forma y mal cuerpo durante el siguiente diálogo:

-Señora, ¿Acaban de acceder a su cuenta desde Almería. ¿Es David García su hijo, pariente o similar?

-No.

-Perdón, ¿David P.?

-No, no conozco a ningún David.P.

-Pues acaba de hacer una compra en Wallapop por valor de 200 euros. Como es desde otro dispositivo y está en Almería, hemos congelado el importe para comprobar si había sido usted o no; por eso la estamos llamando. ¿Ha sido usted?

-No

-¿Ha realizado alguna compra recientemente en internet?

-Si.

-Por favor, cuando le aparezca en pantalla 'guardar datos de la tarjeta', siempre dele a que no, por eso le voy a enviar un mensaje con un código nuevo para que cambie la contraseña de acceso a su cuenta. Después tendrá que poner una denuncia.

-Espere, voy a entrar en mi cuenta bancaria.

No, no verá nada.

Es en ese momento cuando la chica confirma sus temores iniciales y cae en la idea de que puede estar siendo objeto de una estafa telefónica a manos de un ciberdelincuente. "A veces, cuando hago compras online no me lo cobran directamente ni me lo descuentan, aparece como retenciones y, en este caso, no me aparecía nada de los 200 euros", comenta la damnificada.

-Oiga, ¿cómo se que no me está engañando? ¿Cómo se que me está llamando desde mi banco?

-Señora, yo estoy en la oficina de la avenida 4 de diciembre (la mujer mira la dirección y es una sede de su entidad en Cádiz). Esto es un control que tenemos y salta cuando hay alguna operación sospechosa en su cuenta.

-Pero, ¿cúal de ellas?

-La suya personal. Le hemos enviado un mensaje a su número de teléfono, ¿le ha llegado?

-Si.

-Ahí aparece un código, cambie la contraseña de su cuenta porque si no se va a cobrar el cargo de la compra que ha hecho la otra persona por valor de 200 euros ¿recuerda la contraseña?

-Si.

-¿Me la puede decir?

-No.

-Vale. Su DNI ¿es ********X?

-Si.

-¿Recuerda su contraseña? Por favor, dígamela.

-No se la voy a decir (y en ese momento colgó el teléfono)

Aumento de las estafas telefónicas y en internet durante el periodo navideño

Al hilo de este intento de fraude telefónico a esta vecina de Jerez, es necesario recordar las recomendaciones de la Policía Nacional sobre este tipo de estafas, especialmente, en épocas de gran consumo como Black Friday, Ciber Monday y Navidad.

Tres formas de estafar: vishing, phishing y smishing

Vishing

El vishing es un tipo de ingeniería social que, al igual que el phishing y el smishing, persigue obtener datos personales y/o bancarios de los usuarios; pero en este caso el fraude se comete a través de una llamada telefónica, engañando a la víctima mediante la suplantación de la identidad de un tercero de confianza. Las llamadas de vishing pueden ser muy diversas, ya que dependiendo del objetivo del ciberdelincuente, variará el contenido de la llamada.

Actualmente es necesario estar alerta sobre algunos fraudes sofisticados en los que se suplanta al banco y se ofrecen datos del cliente para generar confianza y que éste facilite la información solicitada sin sospechas. Este vishing sofisticado combina varias técnicas de ingeniería social como el Spoofing (suplantación del teléfono, que puede aparecer con el nombre del banco) y el OSINT (búsqueda de información en fuentes de Internet).

Por esta razón, es muy importante que ante llamadas inesperadas de tu banco, en la que te soliciten datos sensibles como contraseña, firma electrónica, código de confirmación que llega por SMS o información similar, sospeches inmediatamente. Recuerda que tu banco nunca te pedirá estos datos confidenciales por teléfono.

Phishing

El phishing es el término informático que designa una técnica de suplantación de la identidad con la que los ciberdelincuentes intentan conseguir información confidencial de forma fraudulenta. El término deriva de la palabra inglesa “fishing” (pescar, pesca) porque eso es precisamente lo que intentan hacer los estafadores: lanzar un anzuelo para intentar “pescar” tus datos y credenciales.

Claves de acceso a la banca online, datos de la tarjeta de crédito, documentos de identidad… son ejemplos de la información sensible que pueden robarte con esta técnica, con la que también pueden llegar a infectar tu ordenador o dispositivo móvil con algún tipo de malware.

Smishing

El smishing es un tipo de ataque que se realiza a través de la mensajería del teléfono móvil o por SMS. El objetivo es obtener información personal, contraseñas, números de tarjetas de crédito y/o números de cuentas bancarias y en general cualquier tipo de información sensible o confidencial que permite a los ciberdelincuentes cometer estafas o fraudes electrónicos.

Para conseguir su propósito, el atacante utilizará la suplantación de identidad de personas y organizaciones. De forma que en el caso de que quieran obtener la información bancaria de sus víctimas para cometer una estafa o fraude, los atacantes enviarán mensajes SMS haciéndose pasar por la entidad bancaria de la víctima (SMS Spoofing) para obtener las credenciales de acceso a su banca electrónica (usuario y contraseña) y el código de un solo uso que se envía al móvil de usuario para confirmar el acceso.