La comprobación es sencilla. Escribes en un buscador la palabra ‘ciberestafa’ y pulsas en la pestaña de ‘Noticias’ para conocer qué ha pasado con este tema en las últimas semanas. “La Policía detiene en Aragón a 21 personas por ciberestafas tras el confinamiento”, “Detienen a dos menores de Granada que dirigían una red de ciberestafas”, “El ‘vishing’ es la ciberestafa que más crece en septiembre”, “Un intento de ciberestafa pone en jaque a las empresas”… y así hasta casi el infinito. En Levanta la cabeza te hemos contado las cada vez más ingeniosas fórmulas de actuar de los ciberdelincuentes, antes, durante y después del confinamiento por la pandemia. Y te hemos explicado las medidas que tienes que tomar para evitar que te engañen, suplanten tu identidad o te roben datos personales. Pero los estafadores de internet nunca paran.
Esta misma semana, Hervé Lambert, uno de los máximos responsables de Panda Security, la empresa española especializada en seguridad informática, aseguró en un comunicado que la última ciberestafa de la que han tenido conocimiento “era casi perfecta”. Durante este mes de septiembre han aumentado los intentos de fraude digital. Los delincuentes no tienen escrúpulos y aprovechan este momento de crisis económica, ERTEs y ayudas públicas para lanzar todo tipo de engaños, muchos relacionados con supuestas ofertas de empleo que los malos utilizan para intentar recopilar datos bancarios.
Pero ¿cuál es esa ciberestafa “casi perfecta”? Panda Security lo ha resumido así: Los ciberestafadores se hacen pasar por la Tesorería General de la Seguridad Social para pedir a las víctimas pagos a través de Bizum, la plataforma para hacer pagos bancarios entre los contactos de la agenda del smartphone. Todo empieza por una llamada de una falsa funcionaria de la Seguridad Social. La víctima escucha confiada que Tesorería está devolviendo unas tasas por la escolarización de los hijos dentro de un paquete de ayudas para hacer frente a las crisis de la COVID-19. La supuesta funcionaria aporta datos para ganarse la confianza sobre el número de hijos y su edad.
El estafador realiza unas comprobaciones para concluir que la personas que está al otro lado del teléfono es, efectivamente, merecedora de la devolución. Al rato, le llegará por SMS un mensaje firmado por TGSS, las siglas de la Tesorería General de Seguridad Social, en el que aparece un supuesto código de validación que debe firmar. Si la víctima cae en el engaño, facilita los datos de la cuenta bancaria para poder recibir la supuesta ayuda. Los estafadores asocian su tarjeta de crédito o su cuenta bancaria a Bizum, el servicio de pagos rápidos que requiere de un número pin de conformidad para hacer la transacción. ¿Os acordáis del supuesto código de validación que la víctima debía firmar al recibir el SMS? Sin darse cuenta, al firmarlo estaban ‘regalando’ el pin a los malos y en lugar de devoluciones se producen cargos para la víctima que pueden llegar hasta los 300 €. El Ministerio de Inclusión, Seguridad Social y Migraciones ha advertido que es un timo porque la Tesorería General de la Seguridad Social no utiliza la plataforma Bizum.
La perfección estriba en que estas bandas organizadas están utilizando herramientas de ingeniería social para el engaño. No llaman de forma indiscriminada y al azar a una base de datos de teléfonos, saben a quién dirigirse y, para ello, han tenido que estudiar antes a sus víctimas. La empresa española de seguridad informática admite que los delincuentes analizan las redes sociales, ven fotos de sus hijos, buscan sus nombres, descubren la dirección postal e incluso el número de DNI. Distintas instituciones expertas en ciberseguridad advierten de los datos que ponemos en público en las redes sociales. Información que puede parecer poco relevante para nosotros, es muy valiosa para los que están pensando 24 horas en perpetrar un engaño cibernético.
Por otra parte, la Oficina de Seguridad del Internauta (OSI), organismo dependiente del Instituto Nacional de Ciberseguridad, explicó hace menos de un mes el último timo para robo de datos basado también en la ingeniería social: el secuestro de cuentas de WhatsApp, que actualmente supera los 2.000 millones de usuarios en el mundo.
Así explicó la OSI el modus operandi: Recibes un SMS donde WhatsApp comparte un código de verificación para reactivar la cuenta. Unos minutos después recibe un mensaje desde un número desconocido de un supuesto amigo suyo que asegura que se acaba de cambiar de terminal y que al intentar instalar WhatsApp en su nuevo smartphone no ha podido vincular su nuevo número. Con esa excusa, el supuesto amigo le pide a la víctima que le envíe el código de verificación que ha recibido por SMS. Si accede, los ciberdelincuentes accederán a su cuenta de la app de mensajería instantánea, pudiendo acceder a contactos y mensajes. La cuenta queda de esa manera secuestrada y solo la recuperará si paga la cuantía solicitada por los estafadores.
Según datos de la empresa de ciberseguridad Kaspersky, España es el principal receptor de correos peligrosos: un 8,3 % de todos los correos electrónicos vinculados con phishing son recibidos en nuestro país. Rusia y Alemania nos sigue a la zaga. Un ejemplo: Google bloquea diariamente más de 100 millones de correos electrónicos dudosos, casi el 20 % se centraban en falsedades sobre el coronavirus.