Primero es un SMS aparentemente enviado por una entidad bancaria. Luego una llamada del que dice ser un empleado de esta. Y, poco después, el dinero que la víctima tenía en sus cuentas desaparece. La Policía Nacional ha alertado este miércoles de la proliferación en los dos últimos meses de un nuevo y sofisticado fraude bancario que combina por primera vez tres modalidades de ciberestafa: el phising o creación de páginas web similares a las reales de una empresa o banco; el smising o envió de mensajes SMS fraudulentos y el vishing o llamadas telefónicas para obtener información confidencial.
Los agentes sospechan que detrás de esta oleada hay varios grupos criminales, en su mayoría formados por españoles y marroquíes, que en algunos momentos comparten incluso a sus integrantes y que cada uno puede estar formado por hasta 40 personas. La Unidad Central de Ciberdelincuencia tiene en la actualidad abiertas varias investigaciones, algunas de ellas con más de 500 víctimas conocidas. “Es una estafa clásica en la que los delincuentes se hacen pasar por una persona o institución, pero ahora se aprovechan de las nuevas tecnologías para completar el engaño”, detalla en conversación telefónica con EL PAÍS la inspectora Beatriz Gómez Hermosilla, al frente de estas investigaciones.
El primer paso de estas organizaciones criminales es el envío masivo de SMS a potenciales víctimas en los que se les alerta de que se ha detectado un supuesto acceso sospechoso a su cuenta bancaria. “Debe activar su sistema de seguridad web o bien su cuenta quedará bloqueada”, le apremian en el mensaje al destinatario junto a un enlace que le piden pinchar para ser redirigido supuestamente a la página web de su entidad financiera. En realidad, donde llega la víctima es lo que en la jerga policial se conoce como página espejo, es decir, un portal que reproduce en todos sus detalles la web real del banco. Una vez en ella, la trama solicita los datos bancarios y personales, así como el usuario y contraseña de acceso a su banca online y un teléfono de contacto. Para vencer las posibles reticencias de las víctimas, la página les comunica que, en breve, recibirá una llamada de un empleado para realizar algunas verificaciones de seguridad.
El contacto telefónico se produce, pero en realidad el que está al otro lado de la línea no es un trabajador del banco, sino un miembro de la organización que, en ocasiones, enmascara el número de teléfono desde el que llama con otro que sí se corresponde con las líneas del banco. En la conversación, el delincuente le informa sobre los supuestos movimientos sospechosos detectados en su cuenta y se ofrece a resolver la situación anulando los mismos. Para hacerlo, solicita a la víctima que le facilite las claves de firma electrónica con las que opera.
Durante la conversación, y para dar credibilidad al engaño, la trama envía al móvil de la víctima nuevos SMS con los detalles de las gestiones que supuestamente está realizando e, incluso, transfiere la llamada a lo que dicen ser otros departamentos del banco hasta conseguir acceso total a las credenciales personales que usa la víctima para operar en la banca online. En el transcurso de la conversación, los delincuentes comienzan a hacer transferencias y pagos, a la vez que piden al estafado que facilite las claves de un solo uso que le envía su entidad financiera para autorizarlas. En ocasiones, la organización criminal no solo saquea las cuentas sino que también la dejan en números rojos aprovechando los datos conseguidos para pedir microcréditos preconcedidos por las entidades a sus clientes sin requisitos.
La inspectora Gómez Hermosilla detalla que los primeros casos de esta sofisticada ciberestafa los detectaron a finales del pasado año, aunque entonces las tramas utilizaban como gancho supuestos envíos de paquetería de Correos o de empresas de compra online como Amazon. “Ahora afecta a clientes todas las entidades financieras”, añade. Detrás de estos ciberdelitos hay un complejo entramado delincuencial con varios niveles y reparto de funciones. Según detalla la responsable policial, una parte de la organización crea las páginas web espejo, otra se encarga de adquirir con identidades falsas las tarjetas de telefónica desde las que se harán las llamadas, otros delincuentes de la organización hacen las llamadas y, finalmente, aparecen las denominadas mulas, personas con escasos recursos que por una pequeña cantidad de dinero se prestan a abrir las cuentas a la que son transferidos en primera instancia los fondos desde los depósitos de los estafados.
“Una vez en estas cuentas, el dinero comienza a saltar de cuenta en cuenta, muchas veces fragmentado para dificultar seguir su rastro y con conceptos tan variados como “compra de videojuego” o “regalo” para burlar los controles de las entidades financieras, hasta que, en muchas ocasiones, acaba invertido en criptomonedas, con la dificultad que eso supone para su recuperación”, señala la responsable de las pesquisas. La experta policial añade que estas organizaciones consiguen los números de teléfono en el mercado clandestino de datos de todo tipo que existe en la llamada internet oscura o dark web, en la que también se hacen con números de documentos de identidad con los que poder adquirir en locutorios las tarjetas de telefonía con las que hacer las llamadas. En realidad, ese es el primer peldaño del nuevo y sofisticado fraude bancario detectado.
La policía ha lanzado este miércoles algunas recomendaciones para evitar ser víctima del nuevo ciberfraude detectado:
- No facilitar nunca las claves secretas ni datos personales a través de ningún canal. La Policía recuerda que si bien las entidades financieras pueden comunicarse con sus clientes en caso de ser necesaria alguna verificación, en ningún caso van a solicitar claves secretas, datos bancarios ni firmar retrocesiones de operaciones.
- En caso de dudar sobre la autenticidad de la llamada es mejor colgar y comunicarnos con el banco a través del número de contacto empleado habitualmente.
- Ser especialmente cauto con los SMS o correos que se reciben y prestar atención a los enlaces que puedan incluir, ya que en los casos de fraude nunca redirigen a la página oficial de la entidad bancaria. Habitualmente, estos SMS contienen faltas de ortografía o frases carentes de sentido.
- En caso de recibir un SMS estas características es muy importante no facilitar ningún dato ni pinchar en el enlace o descargar los archivos adjuntos. La mejor opción es ignorarlo o eliminarlo, y, en caso de duda, contactar con el servicio de atención al cliente de la entidad bancaria.
- No acceder a servicios online que requieran intercambio de información privada o realizar trámites bancarios desde dispositivos públicos o que estén conectados a redes wifi públicas.
QUIÉNES SOMOS
La Asociación
Junta Directiva
Sedes
Noticias
Artículos de Interés
Canal Ético
ACERCA DEL COMPLIANCE
Qué es
Compliance Officer
Marco Normativo Internacional
Cual es tu nivel de Compliance
FORMACIÓN
Eventos
Cursos Acreditados
Agenda Formativa
Cómo acreditar un curso
CERTIFICACIÓN
Certificación Profesional WCA
Certificación Sistemas de Compliance
SOCIOS
Ventajas de Asociarse
Entidades Asociadas
Profesionales Asociados
Solicitud de Adhesión
LEGAL
Aviso Legal
Política de Privacidad
Política de Cookies
Propiedad Intelectual
Condiciones de Contratación