Llevo años escribiendo sobre tecnología y, por desgracia, son varias las noticias y tutoriales que he publicado al respecto de evitar estafas que llegan por SMS. La mayoría son tan sumamente sencillas que en mi cabeza siempre aparecían como posibles víctimas unos tiernos ancianitos que a duras penas están aprendiendo a usar su smartphone. Y no podía estar más equivocado.
En los últimos meses he recibido numerosas reseñas de personas que, pese a no ser expertas en ciberseguridad, sí tenían cierta conciencia sobre ello. De forma más cercana, asistí a una familiar de alrededor de treinta años y a la que llamaré Marisa por preservar su privacidad. Ella perdió 500 euros por una de esas "sencillas" estafas por SMS que llegó a su iPhone. Algo que me hizo ver que en un determinado momento, cualquiera podemos caer en ellas.
El juego del miedo y acertar de lleno con la víctima
Los ladrones juegan a robar dinero. Y dentro de ese juego, una de sus cartas es la de usar el miedo y abrazarse al azar. Para ello hemos visto todo tipo de técnicas, algunas más elaboradas que otras, pero en la mayoría de casos todo parte de enviar un SMS similar al que recibió Marisa hace unos meses.
"Banco Peñagrande le informa que se ha realizado un pago con su tarjeta por importe de 100,00 euros. Si no ha sido usted, anúlelo accediendo a este enlace."
Banco Peñagrande no existe, es también otro seudónimo que utilizo aquí porque al final es algo que afecta a clientes de todo tipo de entidades. Y un SMS tal cual a ese fue el que recibió Marisa y, por supuesto, acompañado de una url aparentemente normal.
¿En qué términos entra aquí el miedo y el azar? Pues en que recibir un mensaje de este tipo es cuando menos alarmante. De primeras no parece algo sumamente sospechoso porque 100 euros es una cantidad suficientemente pequeña como para no sospechar que es un timo y suficientemente razonable como para no querer que nos los roben. El azar entra en la parte en que Marisa era precisamente clienta de Banco Peñagrande, ya que si el mensaje hubiese provenido de otro banco, enseguida se hubiese dado cuenta de que era una estafa.
Es más, el azar también intervino en un momento preciso en el que Marisa estaba teniendo problemas con su banco. Por tanto, si en una situación en la que ya estás en conflicto con la entidad recibes un mensaje así, lo más normal es que busques actuar de forma rápida. Lo malo es que las prisas le jugaron una mala pasada y el método de actuación fue el que tenía peor desenlace.
"Click en el enlace para regalarnos todos tus datos bancarios"
No, los estafadores no son tan directos en sus mensajes, pero las intenciones que esconden son esas. Se añade un enlace en este tipo de mensajes para que la víctima se alarme, pulse y haga lo que su presunto banco dice que haga. En este caso se le enlazó a una web idéntica a la que tiene el banco. Porque esta es otra, que hay estafas en las que se ve de calle que la web es un claro intento de suplantación de identidad, pero en otras es una copia casi calcada.
No era BBVA la entidad bancaria de Marisa, pero estos pantallazos sirven de ejemplo para ver cómo los estafadores crean webs muy similares a la original, en este caso la auténtica es la de la izquierda.
¿Cómo funcionan estos sitios web maliciosos? Pues bueno, de primeras entrar no resulta peligroso en sí mismo. Si no se actúa, se puede cerrar esa ventana sin sufrir ningún problema. El peligro empieza cuando la víctima, como Marisa, introduce los datos de acceso a la cuenta.
Al ser una web fraudulenta, es imposible entrar a la web del banco. De hecho, lo que arroja la página es algún tipo de error. Esto provoca que la víctima intente de nuevo acceder a la cuenta. Con esos dos intentos es suficiente y ellos ya tienen a buen recaudo las credenciales de acceso. Y además verificados, ya que se entiende que al ponerlo varias veces, la víctima se ha asegurado de poner las claves correctas.
El asalto a la banca online y el gran problema de no configurar una verificación en dos pasos
Me acaban de robar 500€ y os lo cuento para que estéis atentos.
— Clara Grima (@ClaraGrima) February 1, 2024
Me ha llegado un Whatsapp (falso) de mi hermana, super informal, pidiendo que hiciera un BIZUM porque tenía que hacer un pago y no le iba la app.
Lo sé, he sido ingenua. Un poco imbécil.
No seáis como yo.
A estas alturas, los ciberdelincuentes detrás del ataque a Marisa ya habían accedido a su cuenta. La prueba es que Marisa empezó a recibir mensajes alertando de pequeñas transacciones de no más de 20 euros. Lo hacían a diferentes cuentas además, llegando a un total que ascendía a alrededor de 500 euros.
A diferencia de aquel presunto primer pago de 100 euros que se había efectuado y con el que se inició la estafa, estas transacciones si eran reales. Por suerte, el banco de Marisa bloqueó la cuenta de forma automática al detectarse una actividad sospechosa. Eso fue lo que en parte le salvó de que el robo no ascendiera a una cantidad aún mayor.
Víctima de la estafa y también del pánico, Marisa se puso en contacto con su banco por teléfono, algo que debía haber hecho desde el principio. Si bien a estas alturas ya tenía prácticamente definida la idea de que había sido víctima de una estafa, estaba tan nerviosa que no sabía si el primer aviso había sido real o no.
Su banco se lo aclaró todo, le confirmó el bloqueo de sus cuentas y todas sus tarjetas, así como le instó a abrir una investigación interna para ver qué había sucedido. El caso es que de haber tenido la verificación en dos pasos activada, nada de aquello hubiese pasado. Estos métodos de seguridad consisten en integrar un elemento más de seguridad para el acceso a las cuentas aparte de la contraseña, que en el caso de los bancos suele ser el envío de un SMS con un código temporal.
Si lo hubiese tenido activo, hubiese dado igual que los ladrones tuviesen sus credenciales, dado que no tenían acceso al iPhone de Marisa y por tanto no podían ver el código temporal de acceso que esta recibía en su móvil. Pero no, en este caso tuvieron barra libre para acceder y robarle su dinero.
Y aunque Marisa tiene también su parte de responsabilidad, lo cierto es que existen aún entidades que no obligan a tener este método de seguridad activo. Cierto es que tratan de concienciar sobre ello en sus aplicaciones, en sus redes sociales e incluso en su publicidad en televisión. Sin embargo, lo razonable sería imponer esta medida para evitar robos como el que sufrió Marisa. Por suerte cada vez más entidades lo piden, pero insisto en recalcar que no todas.
Denuncia a la policía, mucho estrés y final feliz
La lucha de Marisa por recuperar su dinero comenzó aquel mismo día una vez que esclareció todo lo sucedido y que tuvo a salvo su dinero. Sin embargo, fue algo que se demoró demasiado. Aparte de reclamar al banco, Marisa tuvo también que denunciar ante la Policía y recopilar todas las pruebas posibles.
Es evidente que la responsabilidad es de Marisa. No actuó bien. Sin embargo, no deja al final de ser una víctima y el banco es en el última instancia el responsable y más cuando no se establecían métodos de seguridad suficientes. De hecho, ellos mismos ya tenían pruebas de actividades sospechosas y de ahí que se bloqueasen automáticamente las cuentas.
Cada responsable del banco con el que hablaba Marisa le decía una cosa, ya fuese por teléfono o en la sucursal. Por suerte, y aunque tampoco estuviese sobrada de dinero, aquellos 500 euros perdidos no fueron vitales para su economía en las siguientes semanas. Y es que el banco tardó mes y medio en devolverle el dinero.
Estando ya en conocimiento de la entidad y de las autoridades es previsible que se esté investigando el asunto. Al fin y al cabo son bandas organizadas las que en su mayoría organizan estas estafas, por lo que tristemente Marisa no habrá sido la única víctima. En cualquier caso, ella no ha tenido constancia de si se ha dado con los ladrones.
Lecciones de seguridad que siempre conviene recordar
Imagen: Wikimedia Commons
Tras este susto, Marisa ha aprendido la brillante lección de no fiarse nunca y bajo ninguna circunstancia de los SMS que recibe. Da igual que sean de un banco u otra empresa, que avisen de presuntos pagos o simplemente hablen de confirmar una serie de datos. Llevar la desconfianza por bandera es siempre la mejor opción.
Para el resto, también nos sirve para recordar algunas claves que nos evitarán disgustos como este:
- Contactar siempre con la empresa que nos envía el SMS. En el caso de los bancos, estos nunca realizan comunicaciones de ese estilo por SMS, pero si lo hiciesen, estarán encantados de confirmártelo si les llamas, pero siempre a través de teléfonos de confianza o de contactos vía chat a través de sus apps y webs oficiales. Si realmente no son ellos, podrás respirar tranquilo sabiendo que no caíste en una estafa y reportando el mensaje recibido para alertar a otras posibles víctimas.
- No entrar nunca en los enlaces adjuntos. Da igual a donde digan que llevan esos enlaces. Como decíamos anteriormente, no suelen ser peligrosos por sí solos, pero si podemos evitarlo, mejor. En caso de que se pida entrar en nuestras cuentas, conviene que lo hagamos en la aplicación o en la página web, pero entrando nosotros mismos con su dominio oficial.
- No introducir nunca nuestros datos. Si finalmente entraste en esa web, y por muy parecida que sea a la oficial e incluso el dominio pueda parecer verídico, no introduzcas ni un solo dato. Tampoco a través de ese hilo de mensajes respondas con tus datos o con cualquier otro tipo de mensaje. Nuevamente nos remitimos a entrar en sitios oficiales y contactar con las empresas a través de sus teléfonos de confianza.
- No descargues aplicaciones u archivos desconocidos. Hay otras estafas que implican descargar archivos que pueden contener malware, incluyendo aplicaciones. Si bien es cierto que la App Store tiene importantes medidas de seguridad que aplicarán incluso cuando se abra la tienda en iOS 17.4, no conviene descargar nada que no esté verificado.
En Applesfera | "Tu almacenamiento de iCloud está lleno": cuidado si recibes este correo, no es de Apple y su intención es estafarte
En Applesfera | Si usas alguna de estas contraseñas en tu iPhone o Mac, yo que tú la cambiaría ahora mismo: estas son las claves más seguras
Ver 7 comentarios