La polic¨ªa alerta de un nuevo fraude bancario que combina tres modalidades de ciberestafa
Los expertos en delincuencia inform¨¢tica detectan en los dos ¨²ltimos meses la actuaci¨®n combinada de varias organizaciones criminales con miles de v¨ªctimas en Espa?a
Primero es un SMS aparentemente enviado por una entidad bancaria. Luego una llamada del que dice ser un empleado de esta. Y, poco despu¨¦s, el dinero que la v¨ªctima ten¨ªa en sus cuentas desaparece. La Polic¨ªa Nacional ha alertado este mi¨¦rcoles de la proliferaci¨®n en los dos ¨²ltimos meses de un nuevo y sofisticado fraude bancario que combina por primera vez tres modalidades de ciberestafa: el phising o creaci¨®n de p¨¢ginas web similares a las reales de una empresa o banco; el smising ...
Primero es un SMS aparentemente enviado por una entidad bancaria. Luego una llamada del que dice ser un empleado de esta. Y, poco despu¨¦s, el dinero que la v¨ªctima ten¨ªa en sus cuentas desaparece. La Polic¨ªa Nacional ha alertado este mi¨¦rcoles de la proliferaci¨®n en los dos ¨²ltimos meses de un nuevo y sofisticado fraude bancario que combina por primera vez tres modalidades de ciberestafa: el phising o creaci¨®n de p¨¢ginas web similares a las reales de una empresa o banco; el smising o envi¨® de mensajes SMS fraudulentos y el vishing o llamadas telef¨®nicas para obtener informaci¨®n confidencial.
Los agentes sospechan que detr¨¢s de esta oleada hay varios grupos criminales, en su mayor¨ªa formados por espa?oles y marroqu¨ªes, que en algunos momentos comparten incluso a sus integrantes y que cada uno puede estar formado por hasta 40 personas. La Unidad Central de Ciberdelincuencia tiene en la actualidad abiertas varias investigaciones, algunas de ellas con m¨¢s de 500 v¨ªctimas conocidas. ¡°Es una estafa cl¨¢sica en la que los delincuentes se hacen pasar por una persona o instituci¨®n, pero ahora se aprovechan de las nuevas tecnolog¨ªas para completar el enga?o¡±, detalla en conversaci¨®n telef¨®nica con EL PA?S la inspectora Beatriz G¨®mez Hermosilla, al frente de estas investigaciones.
El primer paso de estas organizaciones criminales es el env¨ªo masivo de SMS a potenciales v¨ªctimas en los que se les alerta de que se ha detectado un supuesto acceso sospechoso a su cuenta bancaria. ¡°Debe activar su sistema de seguridad web o bien su cuenta quedar¨¢ bloqueada¡±, le apremian en el mensaje al destinatario junto a un enlace que le piden pinchar para ser redirigido supuestamente a la p¨¢gina web de su entidad financiera. En realidad, donde llega la v¨ªctima es lo que en la jerga policial se conoce como p¨¢gina espejo, es decir, un portal que reproduce en todos sus detalles la web real del banco. Una vez en ella, la trama solicita los datos bancarios y personales, as¨ª como el usuario y contrase?a de acceso a su banca online y un tel¨¦fono de contacto. Para vencer las posibles reticencias de las v¨ªctimas, la p¨¢gina les comunica que, en breve, recibir¨¢ una llamada de un empleado para realizar algunas verificaciones de seguridad.
El contacto telef¨®nico se produce, pero en realidad el que est¨¢ al otro lado de la l¨ªnea no es un trabajador del banco, sino un miembro de la organizaci¨®n que, en ocasiones, enmascara el n¨²mero de tel¨¦fono desde el que llama con otro que s¨ª se corresponde con las l¨ªneas del banco. En la conversaci¨®n, el delincuente le informa sobre los supuestos movimientos sospechosos detectados en su cuenta y se ofrece a resolver la situaci¨®n anulando los mismos. Para hacerlo, solicita a la v¨ªctima que le facilite las claves de firma electr¨®nica con las que opera.
Durante la conversaci¨®n, y para dar credibilidad al enga?o, la trama env¨ªa al m¨®vil de la v¨ªctima nuevos SMS con los detalles de las gestiones que supuestamente est¨¢ realizando e, incluso, transfiere la llamada a lo que dicen ser otros departamentos del banco hasta conseguir acceso total a las credenciales personales que usa la v¨ªctima para operar en la banca online. En el transcurso de la conversaci¨®n, los delincuentes comienzan a hacer transferencias y pagos, a la vez que piden al estafado que facilite las claves de un solo uso que le env¨ªa su entidad financiera para autorizarlas. En ocasiones, la organizaci¨®n criminal no solo saquea las cuentas sino que tambi¨¦n la dejan en n¨²meros rojos aprovechando los datos conseguidos para pedir microcr¨¦ditos preconcedidos por las entidades a sus clientes sin requisitos.
La inspectora G¨®mez Hermosilla detalla que los primeros casos de esta sofisticada ciberestafa los detectaron a finales del pasado a?o, aunque entonces las tramas utilizaban como gancho supuestos env¨ªos de paqueter¨ªa de Correos o de empresas de compra online como Amazon. ¡°Ahora afecta a clientes todas las entidades financieras¡±, a?ade. Detr¨¢s de estos ciberdelitos hay un complejo entramado delincuencial con varios niveles y reparto de funciones. Seg¨²n detalla la responsable policial, una parte de la organizaci¨®n crea las p¨¢ginas web espejo, otra se encarga de adquirir con identidades falsas las tarjetas de telef¨®nica desde las que se har¨¢n las llamadas, otros delincuentes de la organizaci¨®n hacen las llamadas y, finalmente, aparecen las denominadas mulas, personas con escasos recursos que por una peque?a cantidad de dinero se prestan a abrir las cuentas a la que son transferidos en primera instancia los fondos desde los dep¨®sitos de los estafados.
¡°Una vez en estas cuentas, el dinero comienza a saltar de cuenta en cuenta, muchas veces fragmentado para dificultar seguir su rastro y con conceptos tan variados como ¡°compra de videojuego¡± o ¡°regalo¡± para burlar los controles de las entidades financieras, hasta que, en muchas ocasiones, acaba invertido en criptomonedas, con la dificultad que eso supone para su recuperaci¨®n¡±, se?ala la responsable de las pesquisas. La experta policial a?ade que estas organizaciones consiguen los n¨²meros de tel¨¦fono en el mercado clandestino de datos de todo tipo que existe en la llamada internet oscura o dark web, en la que tambi¨¦n se hacen con n¨²meros de documentos de identidad con los que poder adquirir en locutorios las tarjetas de telefon¨ªa con las que hacer las llamadas. En realidad, ese es el primer pelda?o del nuevo y sofisticado fraude bancario detectado.
Cinco consejos para evitar ser v¨ªctima
La polic¨ªa ha lanzado este mi¨¦rcoles algunas recomendaciones para evitar ser v¨ªctima del nuevo ciberfraude detectado:
- No facilitar nunca las claves secretas ni datos personales a trav¨¦s de ning¨²n canal. La Polic¨ªa recuerda que si bien las entidades financieras pueden comunicarse con sus clientes en caso de ser necesaria alguna verificaci¨®n, en ning¨²n caso van a solicitar claves secretas, datos bancarios ni firmar retrocesiones de operaciones.
- En caso de dudar sobre la autenticidad de la llamada es mejor colgar y comunicarnos con el banco a trav¨¦s del n¨²mero de contacto empleado habitualmente.
- Ser especialmente cauto con los SMS o correos que se reciben y prestar atenci¨®n a los enlaces que puedan incluir, ya que en los casos de fraude nunca redirigen a la p¨¢gina oficial de la entidad bancaria. Habitualmente, estos SMS contienen faltas de ortograf¨ªa o frases carentes de sentido.
- En caso de recibir un SMS estas caracter¨ªsticas es muy importante no facilitar ning¨²n dato ni pinchar en el enlace o descargar los archivos adjuntos. La mejor opci¨®n es ignorarlo o eliminarlo, y, en caso de duda, contactar con el servicio de atenci¨®n al cliente de la entidad bancaria.
- No acceder a servicios online que requieran intercambio de informaci¨®n privada o realizar tr¨¢mites bancarios desde dispositivos p¨²blicos o que est¨¦n conectados a redes wifi p¨²blicas.