Estafadores detrás del móvil: las notificaciones que nunca hay que abrir

Un cliente de una reconocida compañía de seguros llama a una teleoperadora para consultar el estado de un parte por un reciente siniestro de tráfico en Valencia. Está pendiente de la cobertura de la reparación de su motocicleta tras el accidente. La trabajadora le facilita la información correspondiente durante la conversación y emplaza al propietario del vehículo a los próximos días. Toca esperar. Cuelga. Minutos después, el ciudadano recibe una notificación en el teléfono móvil. Un mail ha entrado en la carpeta de correo no deseado. El remitente es, aparentemente, la misma aseguradora. El contenido hace referencia al asunto en cuestión, relacionado con la valoración de los daños del vehículo. E incluye un enlace para avanzar en las gestiones. El destinatario, sorprendido por ciertas incoherencias en el texto, sospecha y analiza detenidamente la dirección desde la que está enviado. Pese a las similitudes, no cuadra con la oficial. Descarta pinchar en el link. Según los expertos, el diálogo mantenido previamente con la auténtica operadora había proporcionado una información útil a ciberdelicuentes. Este sólo es un ejemplo de la infinidad de estrategias que emplean estos estafadores de la red. Impostores en la sombra. Da miedo.

Este intento de fraude resultó en balde. Por poco. Cada día, aprovechándose de clics fatídicos, son capaces de acceder a datos personales y bancarios con los que arruinan vidas de cualquier punto del planeta. En lo que va de año, las Fuerzas y Cuerpos de Seguridad del Estado han alertado de numerosas y modernas formas de embaucar a la sociedad a través de los diferentes servicios de mensajería en el teléfono móvil. Oferta de empleo por Whatsapp, caducidad de la suscripción a Netflix, la declaración de la renta, una alerta bancaria por actividad sospechosa, una oportunidad laboral del SEPE, un viaje regalado, la factura de Endesa, un envío de DHL, una multa, una citación de la Policía Nacional, las gestiones tras un golpe en el coche... Todo vale.

Según el último balance del INCIBE, Instituto Nacional de Ciberseguridad, en 2023 se produjeron 83.517 incidentes en España. Un 24 por ciento más que en 2022. De todos esos casos, 28.258 estuvieron relacionados con el fraude online. Y por lo que respecta a los dispositivos vulnerables, que se refiere a los puntos de conexión a internet detectados como potencialmente comprometidos, Valencia se alza como la tercera provincia con un mayor número. Cuenta con 218.083, sólo superada por Barcelona (547.727) y Madrid (862.722).

«Aunque no lo sepamos, muchas empresas tienen demasiada información accesible y hay ladrones que interceptan comunicaciones. Hay mucha información que circula entre empresas, concesiones... Fluye por ahí», explica Santiago Escobar, director de la Cátedra de Ciberseguridad INCIBE-UPV e investigador del Instituto Universitario Valenciano de Investigación en Inteligencia Artificial (VRAIN). «Hay ladrones que son capaces de extraer información más general. Saben que estás hablando, por ejemplo, con Amazon o Netflix y envían mensajes. A lo mejor los detalles están más protegidos, pero hoy en día hay mucha venta de datos», añade. Son situaciones inquietantes. Incluso pueden llegar más lejos: «Hay personas que se infiltran e intentan entrar a trabajar en una empresa para extraer información y luego vendérsela a terceros».

El pasado mes de febrero, Proofpoint, empresa líder en ciberseguridad, publicó la décima edición de su informe anual State of the Phish. Hay una conclusión que resulta alarmante: el 67 por ciento de los empleados españoles ponen en riesgo a sus organizaciones de forma consciente. Algo que puede desencadenar infecciones de ransomware o malware, filtraciones de datos o pérdidas económicas. «Uno de los aspectos fundamentales para la ciberseguridad se basa en la especialización y formación por parte de los trabajadores y los usuarios de las tecnologías», explica Pablo Cea, portavoz de la Guardia Civil de Valencia, quien recurre a las centrales nucleares a modo de ilustración: «La energía atómica tiene muchísimos riesgos, pero al final los que operan con energía atómica son ingenieros todos. En cambio, con Internet todos somos operadores de esta tecnología».

A ese desconocimiento y esa inocencia se encomiendan los ciberdelincuentes. Últimamente, se multiplican como una plaga los SMS que alertan de una actividad supuestamente sospechosa en la cuenta bancaria. El mensaje incluye un peligroso enlace. También se amontonan los guasaps procedentes del extranjero que, de buenas a primeras, presentan llamativas ofertas de empleo. «Hacen barridos generales para ver si cae alguien», apunta Escobar. Una técnica que va perfeccionándose. «Antes era sencillo entre comillas detectar estafas porque te venían por ejemplo en un correo electrónico en el que el género masculino y el femenino se intercambiaban, y el plural y el singular también. Se notaba que eran cañones de traducción, que hacían mal las traducciones. Eran muy rudimentarios. Pero poco a poco eso ha ido mejorando. Ha evolucionado de una forma bestial», advierte Julián Tío, portavoz de Avacu (Asociacion Valenciana de Consumidores y Usuarios).

Eduardo Goig, abogado especializado en ciberfraude y criptomonedas, profundiza en las carencias. «La gente desconoce las tecnologías y confía en ellas. Piensan que todo lo que hay en internet está validado o es seguro. Normalmente porque se hace a través de alguna aplicación o algún servicio que está validado en general. Por ejemplo, Whatsapp», señala el letrado. La plataforma de mensajería instantánea por excelencia se convierte, en ocasiones, en la puerta de entrada escogida por los delincuentes: «Ahí se abre la brecha. Los estafadores buscan siempre el instrumento para crear confianza en la víctima. Buscan un nexo para entablar conversación. En un momento dado te empiezan a hablar de inversiones, de pedirte un favor, de pedirte algún tipo de documentación...».

«Hola. ¿Tienes un minuto?». Así arrancan numerosos mensajes de desconocidos recibidos desde el extranjero a través de Whatsapp. «No se presentan. Cuando le preguntas quién es, te sueltan toda la parrafada de que tienen una oferta de trabajo. No hay ni que contestar. Hay que bloquear y reportar. Si lo hiciéramos todos, esos números irían cayendo. Una oferta de trabajo no entra de esa manera. Es mentira», explica Francisco, componente del equipo de la Guardia Civil especializado en delitos telemáticos. Ángela María García, técnico de ciberseguridad en la línea de ayuda del INCIBE, proclama una clave: «Si hay algo demasiado bonito para ser cierto, lo más seguro es que haya algún tipo de fraude encubierto».

Esta clase de estafadores recurre a Estados donde la legislación complica la investigación. En numerosas ocasiones, países africanos y asiáticos. Además, los sistemas de acceso remoto permiten que, por ejemplo, una tarjeta SIM de móvil corresponda a un territorio muy diferente al lugar desde el que realmente se actúa. «El problema es que operan transnacionalmente. Se aprovecha la internacionalidad como método de obstrucción a la persecución del delito. Cada vez somos más capaces de perseguirlo, pero entraña ciertas dificultades y requiere una altísima especialización por parte de los agentes», avisa Pablo Cea. Detrás de los inquietantes links, incluso aparecen clonaciones de páginas web oficiales.

Tal y como apuntan los expertos, los delitos cibernéticos se alzan como «unos de los más lucrativos», ya que las ganancias triplican el dinero invertido. Casi nada. Ángela María García dibuja los diferentes rostros que pueden adoptar estas estafas: «La mayoría de las consultas son por incidentes relacionados con ingeniería social». Hay tres grandes métodos: el phishing, que se realiza por correo electrónico; el smishing, por mensaje de texto; y el vishing, por llamada telefónica. «Los ciberdelincuentes intentan engañarnos, ganarse nuestra confianza inventándose cualquier tipo de excusa con la que van a poder conseguir algo de nosotros que no les daríamos si fuésemos conscientes de lo que estamos haciendo. Principalmente lo que persiguen son cuantías económicas o datos personales, ya sean para realizar otros fraudes o para venderlos en el mercado negro», agrega. Escobar insiste en esas motivaciones: «Hay muchas cuestiones de espionaje y lo que se intenta es conseguir datos de una persona o una empresa en concreto para luego filtrarlos. Muchas veces pensamos que lo que quieren es sacarnos dinero. Pero ya no es eso. Saber el DNI de una determinada persona es muy importante».

Ángela María García hace hincapié en los avances tecnológicos que envuelven al vishing: «Lo último que hemos detectado son llamadas telefónicas en que están reconociendo voces de familiares que están creadas con inteligencia artificial. Es una grabación. Te dicen que le envíes un mensaje a un determinado número de teléfono. Y ahí, cuando escribas, te van a decir que ese familiar ha tenido algún tipo de problema con cualquier excusa para pedirte que les hagas una transferencia». ¿Cómo logran tales suplantaciones? «Estas voces seguramente están sacadas de esas llamadas que casi todos recibimos en que descuelgas y oyes un pitido o no escuchas nada. Dices una palabra y te cuelgan. Así consiguen suplantar esas voces. Con la inteligencia artificial estamos viendo fraudes nuevos, más sofisticados y más difíciles de detectar. Entonces tenemos que estar siempre alerta», aclara la técnico de INCIBE. Julián Tío enciende la luz de alarma: «Hoy en día asusta mucho todo este tema de la inteligencia artificial. No sabemos hasta dónde vamos a llegar».

Entiende que los bancos adolecen de vulnerabilidad. «Existen brechas en privacidad. Y está claro que los estafadores y la gente que juega sucio en muchas ocasiones va un paso por delante de la seguridad. Cuando se crea un sistema de seguridad y confirmación de claves, hay un montón de personas buscando las flaquezas y debilidades del sistema. Y se sigue utilizando el SMS como elemento de comunicación de muchas entidades bancarias. Tiene entre 20 y 30 años y es un sistema que a nivel de seguridad tiene lagunas», lamenta Julián Tío.

Un descuido puede conducir a la ruina. El spoofing, que consiste en la suplantación de identidad, llega muy lejos. «No sólo está el que viene por escrito. Las llamadas de teléfono son cada vez mejores, de más calidad. Es difícil identificar a quien te está llamando. En el móvil te aparece que te está llamando el servicio de atención al cliente de tu banco. Te dice tu nombre y tus dos apellidos, incluso te pueden nombrar algún producto que tengas contratado. Y en el momento en que te da esa serie de datos y además empatiza contigo, es fácil que puedas caer en la trampa», indica Tío. Eduardo Goig habla de un punto de inflexión: «Se hace una estrategia para romper la barrera de autodefensa de las víctimas y eso hace que confíes. El problema está en cuando empiezas a conectar».

De ahí que Ángela María García apele a la frialdad: «Dentro de las excusas que nos van a poner, está la inmediatez. Nos van a asustar con que en nuestro banco tenemos algún problema de seguridad, o que hemos recibido una multa que no hemos pagado... Buscan una inmediatez para que no nos dé tiempo a recapacitar, a pensar y a usar el sentido común». El juego psicológico y los avances tecnológicos se presentan como las grandes amenazas. «Miedo». Es la emoción que embarga a Julián Tío: «Llama la atención la terrible e increíble actualización de todos estos medios que hace que un consumidor normal y corriente, en muchas ocasiones, tengamos serias dudas sobre quién nos está llamando o mandándonos un SMS o un mail».

«Se ha detectado un nuevo inicio de sesión. Si no reconoce la actividad, verifique inmediatamente aquí». Así reza una avalancha de SMS que llegan a los usuarios de móvil y que, supuestamente, avisan de movimientos irregulares en la cuenta. Incluye un link que puede causar la ruina. «Nuestro banco rara vez nos va a pedir todos los datos que permiten operar. Y menos así. Hay que desconfiar siempre de la urgencia», apunta Pablo Cea, portavoz de la Guardia Civil de Valencia. En los casos más sofisticados, el SMS llega dentro de la misma cadena de mensajes enviados previamente por el banco.

Durante los últimos meses se dispararon los mensajes de desconocidos por Whatsapp procedentes del extranjero. Con el pretexto de presentar una atractiva oportunidad de empleo, el delincuente comparte un link envenenado. Situación semejante a la que ocurre por mail cuando entra un correo que suplanta al SEPE. En este caso de phishing, se simula un proceso laboral del Servicio Público de Empleo Estatal. El enlace facilitado ofrece, supuestamente, detalles del procedimiento en formato PDF, pero realmente se descarga un archivo comprimido que infecta el dispositivo. Un malware que roba credenciales.

La ingeniería social se alza como una de las principales claves del ciberfraude. Y en este caso, el delincuente juega con el respeto que infunden las Fuerzas y Cuerpos de Seguridad del Estado. Existe una campaña que suplanta a la Policía Nacional con la que se pretende distribuir un malware a través de notificaciones sobre un supuesto informe policial. Emplea como excusa una citación para comparecer como testigo. Adjunta un malicioso archivo de descarga de la convocatoria. En estos mails, hay aspectos sospechosos: el contenido del mail resulta especialmente simple y no cuenta con logos oficiales. Además, el dominio no es el oficial.

Un mail te alerta de un supuesto problema en la renovación de la suscripción a Netflix. «Lo más habitual es que te pongan un enlace. Te podrías llegar a infectar por malware por entrar en el link, pero lo más común es que te pidan tu usuario y contraseña y también tus datos bancarios con la excusa del pago», cuenta Ángela María García, técnico del INCIBE. Una perfecta clonación de la web de la plataforma: «Es completamente igual que la auténtica más allá de la URL. Si no nos fijamos en esos detalles, nos puede llegar a pasar desapercibido. Incluso los más sofisticados, en el último paso, te redireccionan a la página web auténtica».

Cuando alguien se encuentra con la desagradable sorpresa de que ha recibido un golpe en su vehículo, agradece que el responsable del percance deje una nota con un contacto para resolver el incidente. Detrás de esa supuesta buena voluntad se esconde una de las últimas técnicas de ciberfraude. El papel facilitado indica un número de teléfono. Al llamar, el autor de los daños invita al afectado a escribirle a través de Whatsapp para solventar el incidente con las compañías aseguradoras. Sin embargo, al producirse ese cruce de mensajes, el delincuente incluirá un enlace por el que tratará de llevar a cabo la estafa.

• Temas
• Estafas
• Internet
• Ciberataque
• Ciberseguridad
• Estafas en la Comunitat Valenciana
• teléfono