Por desgracia, en Xataka Móvil hemos publicado decenas de noticias y tutoriales relacionados con estafas que llegan al móvil, la mayoría por SMS. Y digo por desgracia porque no hacerlo significaría que no existen o que nadie cae en ellas. De hecho, personalmente he escrito tanto al respecto que tiendo a pensar que nadie puede caer en semejantes timos, pero me equivoco. Desgraciadamente, una vez más.
Hace varias semanas, una persona cercana me comentó cómo de la forma más inocente recibió un SMS de lo que en principio pensaba que era su banco. Y no, no lo era y aquello le costó 500 euros que aún está en trámite de reclamar. Porque aunque la teoría la tengamos muy aprendida, la práctica demuestra que aún queda mucho por hacer.
Todo empezó por un supuesto aviso de un pago no autorizado
¿Quién no se asusta si recibe una alerta de un pago que no ha autorizado? Bajo esta premisa parten muchos estafadores para diseñar sus fraudes. Si bien no es el único intento de estafa por SMS que nos puede llegar, sí es de los más habituales en los últimos tiempos.
Marisa, nombre figurado que utilizaré a lo largo del artículo para prevalecer la privacidad de la víctima, recibió un SMS que rezaba algo así y procedente de Banco Peñagrande (el nombre de la entidad también lo reservo, aunque no tanto por privacidad, sino por algo que explicaré más adelante).
"Banco Peñagrande le informa que se ha realizado un pago con su tarjeta por importe de 100,00 euros. Si no ha sido usted, anúlelo accediendo a este enlace".
Ejemplo real (no de este caso) de un SMS haciéndose pasar por un banco con fines fraudulentos
Evidentemente, había enlace adjunto. Claro que lo había. Pulsando en él se abría una web cuya url no recuerda Marisa, aunque a buen seguro que podría ir enmascarada. Lo que sí recuerda la víctima es que "la página web era calcada a la del banco". Tanto que una vez que supo que era una estafa, comparo ambas páginas y las vio idénticas.
Por desgracia, Marisa no pudo hacer capturas de la página, pero sí me cuenta lo esencial y es que pedía el nombre de usuario de acceso a la banca online (su DNI) y una clave de 6 dígitos. Ella, sin saber aún que era una estafa, introdujo sus credenciales reales y ahí comenzó el infierno.
La web daba error, pero da igual, los estafadores ya tenían lo que querían
"Hasta 10 veces o así" introdujo Marisa sus credenciales en la web falsa. Lo hizo así porque continuamente saltaba un error y aunque ella estaba segura de estar introduciendo bien las claves, no lograba iniciar sesión. Lógico siendo una página web fraudulenta que no pertenecía realmente a Banco Peñagrande. En cualquier caso, ella aún lo desconocía.
Algunas webs de estafas están muy logradas. Este es un ejemplo de otro intento de estafa usando a BBVA, siendo la web original del banco la de la izquierda y la fraudulenta la de la derecha
Lo único que creía saber Marisa es que acababan de realizar, supuestamente, un pago con su tarjeta y no podía cancelarlo debido a que no podía iniciar sesión en la también supuesta web del banco. A esas alturas ya empezó a sospechar que un pago con tarjeta no se puede anular.
La confirmación de todo la recibió cuando esta vez comenzó a recibir notificaciones reales de la app de su banco informando de pagos realizados. Todo en pequeñas cantidades "no superiores a 20 euros cada una", me comentaba Marisa. El total, como ya sabes por el contexto de este artículo, llegó a ascender a casi 500 euros.
Presa ya del pánico, Marisa llamó al banco y afortunadamente lo hizo por una vía de contacto de confianza. No tardó mucho el gestor telefónico en concluir que era una estafa en vistas de todo lo sucedido. Lo primero, porque ni Banco Peñagrande ni ningún banco otro envían SMS de esa forma con enlaces adjuntos. Lo segundo, por la cantidad de pagos realizados con tarjeta en un periodo de 15 minutos.
De hecho, de haber continuado realizándose pagos sin permiso, el propio banco hubiese anulado la tarjeta de forma automática al establecerse ya ciertos patrones que son indicios de uso fraudulento. Eso al menos le comentó un portavoz de la entidad a Marisa, lo cual casa con los protocolos que habitualmente tienen los bancos.
El problema fue que al entrar en la web fraudulenta, Marisa ya le había proporcionado sus datos de acceso reales a los estafadores. Estos anduvieron rápidos y tardaron poco en acceder por su cuenta, tomar los datos de su tarjeta (visibles en la app y web reales del banco) y utilizarla para sus propios fines.
Los bancos siguen sin poner todo de su parte en estos casos
Si bien el acceso a la cuenta ya era irreversible, se podía haber ahorrado los pagos si hubiese tenido algún tipo de sistema de doble factor para realizar pagos, algo con lo que afortunadamente cuentan en cada vez más bancos de forma automática, pero no en todos. De hecho, Marisa desconocía por completo estos sistemas de verificación.
El hecho de haber querido mantener en el anonimato la entidad bancaria real es porque desgraciadamente no es la única con sistemas de seguridad deficientes. Además, tampoco lo ponen fácil para reclamar los cobros no autorizados como los que realizaron los estafadores con la tarjeta de Marisa.
Muchos bancos se jactan de intentar concienciar sobre estafas, pero a la hora de la verdad miran a otro lado. Hace ya varias semanas que Marisa fue víctima de la estafa y aunque bloqueó al instante la tarjeta, cambió sus claves de acceso y añadió la autenticación de doble factor, sigue en disputa con la entidad a costa del dinero perdido.
El banco no quería devolver los 500 euros robados. Si bien es cierto que Marisa podía haber sido mucho más precavida, algo en lo que todos podremos estar de acuerdo, no es menos cierto que al final se trata de un robo. Pongamos que vas por la calle con un billete de 200 euros en la mano y a la vista de todos; puede pasar alguien y robártelo. ¿Mal por llevarlo así de libre? Sí, pero no deja de ser un robo.
Marisa también tuvo que denunciar ante la Policía lo sucedido. Las autoridades le pidieron aportar todo tipo de pruebas que pudiesen ser útiles para dar con los cabecillas de esta estafa y se entiende que está siendo investigado como tantos otros casos. Sin embargo, el banco se negaba a asumir su parte.
Final feliz en el horizonte y claves para que no suceda más
Afortunadamente, y aunque los trámites "han sido desesperantes", dice Marisa, parece que pronto recibirá los 500 euros perdidos. Por tanto, se huele un final feliz, aunque no sin un susto muy importante y unas cuantas lecciones muy valiosas aplicables a su propio caso y al de muchos otros susceptibles de ser estafados.
Marisa es una chica aún joven y teóricamente cercana a las nuevas tecnologías. No responde a ese patrón común que muchas veces creemos que tienen las víctimas, tendiendo a pensar (y me incluyo) que son gente mayor con dificultades para entender el funcionamiento de un smartphone.
En un descuido podemos perder mucho dinero y de ahí que por enésima vez brindemos estos consejos de seguridad:
- Tener activado un sistema de doble factor en todas las cuentas, ya sean bancarias o de cualquier tipo, con especial recelo en las de correo electrónico y otros servicios en los que aparezcan datos personales sensibles.
- No instalar aplicaciones o descargar archivos de dudoso origen y que pudiesen incluir un malware en su interior y menos si nos llegan mediante un enlace en un correo electrónico o SMS diciendo ser alguna empresa conocida.
- No entrar en ningún enlace adjunto en SMS y correos de confianza dudosa y menos cuando se incide especialmente en ello bajo alguna llamada a la acción como la de la estafa de Marisa (anular un pago realizado sin nuestro consentimiento).
- Ante la duda, contactar con la empresa real que está detrás de esa comunicación y hacerlo por vías oficiales para así saber si el mensaje recibido es real o no. En este caso, Marisa contactó directamente con Banco Peñagrande, aunque por desgracia lo hizo tarde cuando ya había puesto sus datos a merced de los estafadores.
En Xataka Móvil | Qué es el timo de la doble llamada y cómo puedes detectarlo
Ver 1 comentarios