‘‘Me han llamado y he acabado enviando dinero a un estafador’’: así puede evitar caer en el ‘vishing’

A pesar de tener a su disposición la tecnología más sofisticada, los ciberdelincuentes muchas veces recurren a métodos de lo más arcaicos desde el punto de vista de la técnica, como la llamada telefónica. Un usuario recibe una llamada de un presunto técnico de Microsoft advirtiéndole que su ordenador tiene un virus y debe seguir sus recomendaciones para poder solucionarlo. El supuesto especialista le indica que debe descargar una aplicación de control remoto para que él mismo pueda gestionar la incidencia. Y, así, a partir de un problema más o menos común y, sin duda, alarmante, como es un malware en el ordenador personal - el temor de cualquier usuario-, los ciberdelincuentes logran hacerse con un acceso ilimitado a la computadora de la víctima y, con ella, a toda la información que se encuentre almacenada en ella.

Un supuesto como este podría abrir la puerta a otra serie de delitos, como el robo de documentación e información personal, de credenciales bancarias e incluso de compra de criptomonedas. ‘‘Si tienes la típica carpeta con el DNI escaneado u otra documentación importante, podrían realizarte cargos, darte de alta en servicios… Podrías ser víctima de más fraudes a tu nombre o incluso de extorsiones’', advierte Ruth García, técnica de ciberseguridad en el Instituto Nacional de Ciberseguridad (INCIBE), que añade: ‘’Aunque es verdad que por el camino muchos usuarios empiezan a notar cosas raras, descartan continuar y no siguen las indicaciones, otros muchos acaban siendo víctimas porque, al creer que realmente se trata de un técnico, acceden a sus peticiones’'. En esos casos resulta fundamental tomar medidas cuanto antes.

‘‘Acabo de ser víctima de una llamada de vishing y he enviado dinero a un estafador. Ya he puesto una denuncia ante la Policía. ¿Tenéis algún tipo de seguro contra esto? ¿Puedo hacer algo más?’'. Esta es la consulta que realizó un usuario de Twitter a la cuenta oficial de Bizum el pasado diciembre, justo después de ser víctima de vishing. No es el único en compartir por esta red el trance. Otra usuaria que advirtió de la estafa a sus seguidores cuenta a este periódico que, aunque no llegó a picar, recibió una llamada en la que le pidieron un código que supuestamente le había llegado al teléfono móvil para acceder a su cuenta bancaria. ‘’El identificador de la llamada aparecía como Banco Santander’', explica.

Según García, no es extraño que los ciberdelincuentes falseen o suplanten los números para que al cliente de dicha empresa y víctima potencial le aparezca como su compañía. ‘’Aunque te aparezca el número como correcto, han podido falsearlo o desviarlo. Lo mismo ocurre con los correos y los mensajes de texto’', insiste la técnica. Eso complica que el usuario pueda saber de primeras que se trata de un engaño.

En la mayor parte de las ocasiones, los pagos que se solicitan son muy pequeños, puesto que, si se es víctima de un cobro de tres euros, por ejemplo, es más difícil que se llegue a denunciar. Lo hacen precisamente ‘‘para no levantar sospechas’', según explica la técnica. ‘‘Es más fácil que un usuario caiga en una estafa así que en una de grandes cantidades, cuando te saltan más fácilmente las alarmas. Es más rentable engañar, por ejemplo, a un millón de usuarios que paguen dos euros, que a pocos por más dinero’', insiste.

Si se llega a caer en la trampa, es importante hacer egosurfing y buscarse a uno mismo en internet para comprobar si hay datos personales en sitios web donde no deberían estar. En caso de que el usuario haya llegado a instalar herramientas de control remoto que permiten al ciberdelincuente acceder a su ordenador, lo primero que debe hacer es desinstalarla, desconectar el dispositivo de la red cuanto antes y realizar una revisión antivirus por si se han descargado otros ficheros que pudieran seguir enviando información a los atacantes.

La suplantación de empresas o entidades de confianza para obtener datos personales a través de una simple llamada sigue siendo un intento de estafa muy habitual en España. Una de las estrategias más comunes es hacerse pasar por un miembro del soporte técnico de una empresa tecnológica y Microsoft es precisamente la compañía que más lo ha sufrido en los últimos años: el 36% de las veces que se suplanta a este tipo de compañías, se hacen pasar por ella, según un estudio que encargó en 2021 a YouGov, entidad de análisis de datos y mercados.

Cada mes, la multinacional fundada por Bill Gates recibe unas 6.500 incidencias a nivel global, aunque los años anteriores podían llegar a 13.000. La técnica de ciberseguridad del INCIBE explica que eso se debe al hecho de que ‘‘las víctimas potenciales son muchas más que las que se pueden encontrar entre los usuarios de Linux o iOS’'. Según el portal Statista, casi el 89% de los usuarios de PC en el mundo tiene instalado este sistema operativo, frente al 8,5% que tiene iOS y al menos de 2% con el que cuenta Linux.

Ruth García asegura que el INCIBE ha identificado un repunte de los casos de vishing durante las últimas semanas. Según el comandante Alberto Redondo, jefe del Grupo de Ciberinteligencia Criminal de la Unidad Técnica de Policía Judicial de la Guardia Civil, ‘’son campañas bastante activas, aunque sufre picos temporales. Se dan más casos durante unos meses y después hay un periodo más tranquilo. Pero, desgraciadamente, son bastante frecuentes’'. Entre las empresas más propensas a sufrir una suplantación, además de tecnológicas como Microsoft, se encuentran las entidades eléctricas y las bancarias.

La mayoría de las veces, estas estafas se fraguan a través del crimen organizado. ‘‘Son bandas que tienen teleoperadores que abren la primera puerta. La gran mayoría de los casos no sale adelante, así que hacen un primer filtrado y, una vez que ven que pueden enganchar a la víctima, hacen una transferencia de llamadas a estafadores de mayor calidad, que tienen conocimientos técnicos e invitan a instalar el software de control remoto, por ejemplo. Otra parte de la organización criminal se encarga de gestionar los datos que se roban o los pagos. Hay mucha gente detrás que está organizada en distintas ramas’', explica el comandante Redondo.

Aunque no es lo más habitual, los ciberdelincuentes pueden llegar a buscar información de la víctima en internet para orquestar mejor la estafa. ‘‘Eso es muy útil si, por ejemplo, se quiere cometer el fraude en nombre de una compañía de electricidad y el usuario tiene contratado un servicio con esa empresa porque, si no eres cliente o usuario, es más complicado que acabes siendo víctima del engaño. Si buscan información, habrá más víctimas que si llaman indiscriminadamente a los usuarios’', explica la técnica del INCIBE. Sin embargo, ‘‘en general, no buscan personas específicas, sino que cogen una bolsa de datos y empiezan a llamar’', insiste el comandante.

Lo que debe tenerse en cuenta cuando se recibe una llamada de una supuesta compañía, sobre todo si da la casualidad de que se es cliente de ella, es determinar si se estaba esperando una llamada. ‘’Si no la esperas, sospecha’', advierte García.

Los supuestos que deberían generar recelo son: ‘‘Si eres cliente de la supuesta empresa, pero te vende una información que para ti es rara o no entiendes bien, lo mejor es cortar la comunicación y acudir directamente a los contactos oficiales de la entidad. Si no se escucha bien, hay mucho ruido de fondo o parece que la otra persona no te está entendiendo, si se corta la comunicación o no saben responderte a las preguntas que le hagas, sospecha. A veces no responden o cuelgan directamente. Si te piden que facilites cualquier información personal que debería conocer una compañía de la que eres cliente, lo mismo. Y también podemos sospechar si te mandan instalar algo, da igual el pretexto’', explica García. Pero, sobre todo, debe hacerse uso del sentido común. Aunque, a veces, el truco puede radicar en que el interlocutor escupa una retahíla de conceptos técnicos para confundir a la víctima.

Curiosamente, según Microsoft, son los mileniales (edad comprendida entre los 24 y los 37 años) y la generación Z (de 18 a 23 años) ’'los más expuestos a las estafas de soporte técnico, debido a que sobreestiman sus habilidades con respecto al uso de ordenadores e Internet’’. La compañía calcula que el 65% de los adultos en España han estado expuestos a una estafa de este tipo el año pasado, frente al 59% de la media global.

Puedes seguir a EL PAÍS TECNOLOGÍA en Facebook y Twitter o apuntarte aquí para recibir nuestra newsletter semanal.