La Policía Nacional ha detectado una nueva modalidad en la estafa telefónica conocida como spoofing, una técnica en la que los ciberestafadores se hacen pasar por un remitente de confianza para acceder a datos de sus víctimas.

Hasta el momento, lo habitual era que el falso empleado solicitara verbalmente a la víctima las claves de acceso a la banca telefónica, sin embargo, en esta nueva variante el propio ciberdelincuente advierte que por motivos de seguridad no se debe verbalizar la clave a nadie y que la contraseña se debe marcar directamente en el teléfono.

Tras el engaño, el estafador capta las pulsaciones en el terminal controlando desde ese momento las claves secretas.

Solicitan datos sensibles

Este fraude, conocido como spoofing, consiste en la suplantación del número de teléfono real de compañías energéticas, entidades bancarias o instituciones públicas, lo que hace casi indetectable la estafa.

Si bien el spoofing no conforma un método de estafa novedoso como tal, los especialistas en la lucha contra la ciberdelincuencia de la Policía Nacional han detectado un perfeccionamiento de la técnica que hace más difícil su detección por parte de las víctimas.

En este sentido, los ciberdelincuentes suplantan el número de teléfono real de compañías energéticas, entidades bancarias o instituciones públicas, de tal forma que si la víctima comprueba a quién pertenece dicho número verá que, efectivamente, se trata de la empresa o entidad a la que los estafadores están suplantando.

A través de la conversación telefónica, y toda vez que el número de teléfono coincide, se ganan la confianza de sus víctimas hablando sobre cuestiones de seguridad de su cuenta. A continuación, les indican, que marquen en el teclado de su terminal móvil la clave de acceso a la banca privada, o un código de verificación, a través de un enlace remitido en ese mismo momento por sms.

Bajo el pretexto y la advertencia de que -por motivos de seguridad- no deben verbalizar la clave a nadie, ahora le solicitan que la marque directamente desde su teclado. En caso de que la víctima caiga en el engaño los estafadores captan las pulsaciones que teclea en su móvil y pasan a controlar sus claves secretas.

Este tecnicismo policial en inglés describe una práctica delictiva que consiste en utilizar métodos de ingeniería social para que las víctimas de organizaciones criminales faciliten por su propia voluntad datos personales sensibles, como credenciales bancarias, claves de tarjetas de crédito o números de DNI, entre otros.

Frecuentemente los delincuentes se hacen pasar por trabajadores de operadoras de telefonía móvil, de agencias de seguros o de instituciones públicas y contactan con el supuesto cliente para ofrecerle una oferta o una rebaja en el precio de sus servicios.

Para dar mayor verosimilitud al engaño, los criminales consiguen datos personales de sus interlocutores, en ocasiones gracias a contactos que trabajan con las operadoras telefónicas que tenían acceso a los datos confidenciales de clientes y que se los revenden a la banda organizada.

Estos delincuentes son especialistas en ganarse la confianza de sus víctimas, a las que hacen creer que están ayudando a solventar un problema o a beneficiarse de una oferta. Cuando vencen el recelo de la víctima intentan sonsacarle las credenciales de su banca online o cualquier contraseña para poder operar con ella de manera fraudulenta o bien tratan de cambiar la contraseña bancaria usando la información que facilita la víctima de forma que sea la organización criminal la que reciba la nueva clave y se apodere de su cuenta bancaria.

En ocasiones, la víctima colabora involuntariamente y acaba proporcionando sus claves a una organización criminal sin darse cuenta de que ha sido víctima de un engaño y que mientras cree confiadamente que está operado con la web de su banco, por ejemplo, ha sido desviada a una página web que lo que hace es captar sus datos y claves de acceso.

Gracias a esta mecánica, una banda desarticulada por la Policía Nacional fue capaz de defraudar cerca de 600.000 euros a únicamente nueve víctimas que en diferentes provincias.

El modus operandi llevado a cabo por los cibercriminales consistía en la creación de páginas fraudulentas bien posicionadas mediante pago suplantando la de un banco, de modo que cuando una víctima buscaba en la red el portal de acceso a la banca online de su entidad, le aparecía como primera opción el enlace creado por los estafadores, el cual les redirigía a una página web monitorizada por ellos mismos.

Una vez que las víctimas introducían sus datos personales de acceso a la banca online, éstos quedaban a disposición de los criminales. A continuación, los ciberestafadores accedían a la banca online de las víctimas y recopilaban sus datos personales y número de teléfono y acudían a una tienda física para solicitar un duplicado de la tarjeta SIM bajo cualquier excusa de robo o pérdida, consiguiendo de este modo tener acceso sobre la línea telefónica de la víctima, lo que se conoce como SIM swapping.

Con ello, los delincuentes accedían a la banca online de las víctimas nuevamente y ordenaban trasferencias a favor de terceros (mulas del entramado criminal). También solicitaban microcréditos de concesión inmediata para seguidamente desviar todos los fondos de la cuenta bancaria, operaciones validadas a través de las líneas telefónicas que controlaban.

El motivo de tener total control de las llamadas entrantes y salientes del móvil de la víctima, así como de los mensajes de texto, era para evadir las medidas de seguridad implementadas por las entidades bancarias respecto de la verificación en dos pasos que solicitan a sus clientes para evitar el fraude en caso de que su cuenta bancaria se encuentre comprometida. Esta verificación consiste en el envío de un mensaje de texto con un código para confirmar la operación o una llamada por parte de la entidad al cliente para comprobar que efectivamente quiere realizar la acción de enviar una gran suma de dinero a un terceo o contratar algún producto bancario.

El margen de actuación para ejecutar el fraude son unas pocas horas, el lapso de tiempo que las víctimas tardaban en darse cuenta de que no tenían cobertura en su teléfono y que algo había ocurrido, si bien las aplicaciones de mensajería instantánea continuaban funcionando en la mayoría de los casos debido a la conectividad por wifi, lo que ralentizaba el tiempo en que la víctima era consciente de que había perdido el control sobre su línea telefónica.

Consejos de la Policía Nacional para no ser víctima de los ciberdelincuentes

• No aportar nunca datos personales ni bancarios sin cerciorarse de que se trata de la empresa o entidad en cuestión. Además, nuestra entidad bancaria, compañía telefónica o empresa de suministros ya dispone de estos datos, por tanto, nunca nos los va a pedir.

• Recordar que ninguna empresa privada o institución pública utiliza este método para solicitar datos de carácter personal a sus clientes.

• No facilitar nunca información de tarjetas, documentos de identidad, declaración de la renta, nóminas, nombres de usuario, claves y contraseñas.

• No aceptar, en ningún caso, las condiciones que ofrezcan en una misma llamada o comunicación. Solicitar que nos remitan la documentación para su estudio o emplazar a que nos realicen una segunda llamada para que podamos hacer comprobaciones.

• No clicar en los enlaces de los mensajes de texto que nos envíen y, en el caso de las cuentas bancarias, acceder siempre a través de la aplicación que nos facilitan las entidades financieras, compañías telefónicas o empresas de suministro.