Una de las técnicas de fraude que ha cobrado notoriedad en los últimos tiempos es el 'spoofing' telefónico, basada en la suplantación de números legítimos (de instituciones públicas o de empresas privadas como bancos u operadoras) para así poder engañar a las víctimas y acceder a información confidencial.
Los estafadores se ganan la confianza de las víctimas al hablar sobre temas relacionados con la seguridad, como la detección de accesos sospechosos a la cuenta o la pérdida de un teléfono móvil, y luego solicitan que las víctimas introduzcan su contraseña de acceso a la banca online o un código de verificación recibido a través de un SMS.
En ocasiones, el ingreso de dicha contraseña parece muy seguro porque no se lo decimos de viva voz a nuestro interlocutor, sino que se nos pide que lo introduzcamos pulsando el teclado del teléfono. La diferencia es irrelevante: igual que los teléfonos de atención al cliente pueden identificar qué tecla marcamos durante la conversación, los estafadores pueden hacer lo mismo y registrar la contraseña introducida.
En cualquiera de los casos, los estafadores finalmente pueden acceder a las cuentas bancarias de las víctimas y realizar transacciones fraudulentas. Y, recientemente, la Guardia Civil ha tenido que reaccionar a un caso 'spoofing' que hizo perder "varios miles de euros" a su víctima.
Operación Starfive
Y es que hoy se ha sabido que efectivos de la Guardia Civil de Alicante y Murcia han llevado a cabo una detención en el marco de la "Operación Starfive" tras empezar a investigar varias ciberestafas realizadas mediante la técnica de 'spoofing' después de que una víctima denunciara haber realizado tres transferencias bancarias por un total de miles de euros debido a una llamada telefónica fraudulenta.
La víctima había recibido una llamada de un estafador que se hacía pasar por un empleado de su banco, utilizando el número de atención al cliente real. Con la excusa de haber detectado 'transferencias fraudulentas', el estafador convenció a la víctima de que enviara dinero a su cuenta. Finalmente, la Guardia Civil ha logrado identificar y arrestar a un joven presuntamente vinculado a una organización delictiva.
¿En qué debemos fijarnos?
Según reconoce el INCIBE, "detectar una suplantación de identidad telefónica puede ser difícil [porque] los ciberdelincuentes utilizan técnicas cada vez más sofisticadas… sin embargo, existen algunas señales claras de alarma" que pueden ayudar a saber que estamos siendo víctimas de un spoofing telefónico:
- La persona solicita información confidencial. Si el emisor solicita información como contraseñas o datos bancarios, probablemente se trate de un intento de vishing. Este tipo de información nunca debe proporcionarse sin verificar la autenticidad de la llamada (idealmente, no debe proporcionarse nunca, pues la idea de las contraseñas y códigos personales es que ni los empleados de los bancos puedan acceder a los mismos).
- La persona llama en tono de urgencia. Los ciberdelincuentes suelen presionar a las víctimas para que actúen rápidamente, sin tiempo para pensar.
Imagen | Marcos Merino mediante IA