Te llama tu banco, pero no es tu banco: alerta por una nueva campaña de la estafa del falso agente

Nueva oleada de suplantaciones a bancos para estafar a sus clientes. El Instituto Nacional de Ciberseguridad (Incibe) ha detectado un aumento de las llamadas de alerta por estafas de este tipo, que se están realizando a través de llamadas telefónicas. En ellas los timadores usurpan el número de teléfono oficial de la entidad e indican a la víctima que debe hacer una serie de movimientos debido a un problema de seguridad. Si acepta, puede perder varios miles de euros en pocos minutos.

Fuentes del organismo de ciberseguridad exponen a este medio que se han detectado tres modalidades distintas de la estafa. Todos ellos se realizan a través de una llamada telefónica en la que los ciberdelincuentes se hacen pasar por un agente del banco que se identifica con nombre y apellidos, una estrategia para aumentar la seguridad de la víctima.

En la primera modalidad, los atacantes piden a su objetivo que proporcione unos códigos enviados a través de la app oficial del banco, que en realidad sirven para autorizar movimientos que ella no ha realizado (“generalmente transferencias de sus cuentas a las del ciberdelincuente sin su consentimiento”, detalla el Incibe). En el segundo tipo, los timadores piden accesos a la app de la entidad bancaria para poder manejarla a su antojo.

Finalmente, en la tercera modalidad, los ciberdelincuentes piden a la víctima que realice transferencias a un depósito “seguro” que han abierto a su nombre. Este es el modus operandi del que ha tenido constancia elDiario.es a través de la denuncia de uno de los afectados. En su caso el desfalco ha superado los 3.000 euros.

Agente: Alejandra Santos

Como es habitual, la estafa comienza con un mensaje SMS. Su objetivo es introducir el sentimiento de urgencia en el objetivo que hará que baje las defensas ante la posibilidad de que se halle ante un engaño. En el caso del que ha tenido constancia este medio, que suplantaba al BBVA, ese SMS conseguía colarse como uno más del hilo de mensajes auténticos del banco para notificar que había habido un “inicio de sesión desde un dispositivo nuevo”.

A los pocos minutos, un nuevo SMS: “Por riesgo de fraude en el sistema vas a traspasar fondos a una cuenta nueva”. Estos dos avisos disparan la alarma en el cliente que decide llamar al número oficial del BBVA que ha visto en Internet. Hasta ahora, la estructura del ataque ha replicado los timos ordinarios a través de mensajes de texto. Sin embargo, es a partir de este punto cuando añade un nuevo nivel de sofisticación que implica un mayor conocimiento de los datos personales del objetivo.

Mientras el usuario espera a ser atendido en el número oficial del banco, recibe un tercer SMS: “Siga las instrucciones vía telefónica para cancelar la operación. Comparta solo la información con la agente: Alejandra Santos”. A continuación recibe una llamada telefónica: en la pantalla aparece exactamente el mismo número de teléfono que ha marcado para contactar con el banco, por lo que descuelga.

Suena de nuevo una música, la misma que estaba escuchando hace un momento cuando llamaba al número oficial del BBVA. Al poco tiempo se escucha la voz de una mujer, que le llama por su nombre y se identifica: Alejandra Santos.

El último truco para ganarse la confianza de la víctima es pedirle que “por seguridad”, realice unas transferencias a una cuenta nueva y que como destinatario ponga su propio nombre. Es solo una forma de evitar que sospeche que los receptores serán los ciberdelincuentes.

Sofisticado, pero de sencilla ejecución

Suplantar el número de teléfono de una entidad bancaria supone un paso más que hacerlo a través de un SMS, un sistema de comunicación que se va percibiendo como cada vez más inseguro por la ciudadanía. Se trata de un servicio que se puede adquirir en el mercado de la web oscura, pero también contratarse a través de servicios comerciales.

“Para llamar suplantando un número hay dos métodos”, explica en conversación con este medio el experto en ciberseguridad Jorge Louzao. El primero es usar un servicio de VoIP (Voz sobre protocolo de Internet, por sus siglas en inglés) que permite contactar con el destinatario como si fuera una llamada normal con la diferencia de que la comunicación se realiza por Internet, no usando la red telefónica. El segundo método es “tener una interfaz de acceso primario a tu servicio”, continúa.

“Hay proveedores de VoIP que directamente te dejan configurar el número que le aparecerá al destinatario en la pantalla”, revela, apuntando a que muchos de estos servicios “no suelen comprobar” si el cliente es el dueño del número de teléfono que está solicitando. El especialista explica que hay países que no ponen ninguna restricción a la hora de llevar a cabo esta acción, aunque “obviamente si es con fines delictivos no es legal en ninguna parte”.

“Y con los móviles igual, puedes pagar por cambiar el remitente, por ejemplo ING envía sus mensajes SMS con remitente ING, no un número. Cualquier delincuente que te envíe un smishing con el remitente ING te aparecerá en el hilo de mensajes de este banco en la aplicación de tu móvil. Suele haber limitaciones, por ejemplo un proveedor de VoIP de Reino Unido seguramente solo te permita usar números que sean teléfonos de Reino Unido, lo que aún te podría valer para usar el servicio para estafar a ingleses, por ejemplo. Si le sumas una tarjeta robada para el pago y tienes un buen escudo para protegerte de ser descubierto”, añade.

En ocasiones los servicios para suplantar a personas se ofrecen abiertamente en Internet. A finales de 2023 la Europol detuvo a 142 personas relacionadas con iSpoof.me, una web especializada en estos ataques. “El sitio web permitía a quienes se registraban y pagaban por el servicio realizar de forma anónima llamadas falsas, enviar mensajes grabados e interceptar contraseñas de un solo uso”, detalló el organismo.

iSpoof.me había conseguido ganar 3,7 millones de euros en un período de actividad de 16 meses. Europol calculó que sus servicios habían provocado desfalcos de unos 100 millones de euros en las víctimas.

“Los usuarios podían suplantar la identidad de infinidad de entidades (como bancos, empresas minoristas e instituciones gubernamentales) para obtener beneficios económicos y cuantiosas pérdidas para las víctimas”, añadía. En la operación participó el FBI y las policías de Australia, Canadá, Francia, Alemania, Irlanda, Lituania, Países Bajos, Ucrania y el Reino Unido.

Los bancos advierten que nunca llamarán para pedir datos

“Los intentos de fraude basados en ingeniería social son muy comunes y afectan a la mayoría de los bancos. Los ciberdelincuentes, a través de correos electrónicos, mensajes SMS y llamadas telefónicas están suplantando la identidad de entidades financieras para intentar obtener la información personal y bancaria de las personas”, exponen a este medio fuentes del BBVA.

“Desde BBVA estamos llevando a cabo una campaña de prevención y concienciación de nuestros clientes a través de diferentes canales (app, web, correo electrónico y redes sociales) para alertarles de este tipo de estafas. Por ejemplo, al acceder a la app o la web de BBVA el cliente se encuentra de manera recurrente con mensajes de este tipo: En BBVA NUNCA llamaremos para pedirte tus claves de acceso o códigos de SMS para autorizar operaciones. Si recibes una llamada así se trata de un fraude. No facilites tus datos”.

Desde Caixabank exponen una problemática similar y piden a los clientes no caer en la urgencia que les intentan imponer los ciberdelincuentes, algo clave en el éxito de los ataques: “Ante cualquier llamada telefónica en la que soliciten datos personales y/o bancarios o realizar una operación (una transferencia por ejemplo), nunca hay que facilitar ningún dato ni hacer ningún pago”.