Una de las nuevas técnicas de los ciberdelincuentes consiste en llamar a las víctimas haciéndose pasar por un empleado bancario
09 sep 2024 . Actualizado a las 17:26 h.Los bancos se lo recuerdan constantemente a sus clientes: nunca —jamás— pedirán claves, códigos de seguridad o cualquier otro tipo de información sensible por teléfono. Tampoco por correo. Así que si uno recibe un buen día una llamada de alguien que dice trabajar en su banco solicitándole alguna de sus claves, solo hay una razón: es una estafa.
El vishing es un tipo de fraude que se realiza a través de llamadas telefónicas, donde el atacante suplanta la identidad de una empresa (o una persona) con el fin de obtener información personal de sus víctimas. De eso va la llamada «estafa del gestor del banco». Un cliente de una entidad bancaria recibe la llamada de un supuesto empleado de su sucursal. Y ahí empieza todo.
El ciberestafador alerta a la víctima de una actividad fraudulenta en su cuenta. Por ejemplo, es posible que advierta de un cargo sospechoso o de que alguien está retirando rápidamente su dinero. En definitiva, trata de convencer al usuario de la existencia de una supuesta incidencia. Además, el tono empleado por interlocutor será de urgencia, para hacer al usuario reaccionar rápido, sin pensar demasiado
El truco está en la solución: durante la llamada, el ciberdelincuente asegura que para resolver cuanto antes el problema es necesario que el cliente les proporcione un código de seguridad que ha recibido en su aplicación del banco, o por SMS. A partir de aquí pueden suceder varias cosas. Por ejemplo, que esa clave que el usuario recibe en su móvil sea la que habitualmente el banco envía al tratar de efectuar compras online con nuestra tarjeta, y el ciberestafador haya conseguido efectuar esa compra con nuestro dinero. O todavía peor, que los delincuentes estén intentando acceder a la aplicación bancaria de uno y, gracias a esa clave que le facilita la víctima, tengan total acceso a su cuenta. Según El Confidencial, Caixabank ha estado enviando correos electrónicos a sus clientes durante estas últimas semanas, alertándoles precisamente de que tenían constancia de que se estaba produciendo una estafa como esta, suplantando a sus empleados. Desde el propio banco recuerdan que ni ellos ni ningún otro servicio legítimo pedirían nunca por esos canales a sus clientes información sensible
Variantes
El Instituto Nacional de Ciberseguridad (INCIBE) describe incluso distintas modalidades de este modus operandi. Otro consiste en convencer a la víctima de que, por su seguridad, debe hacer un traspaso de su dinero a otra cuenta nueva que le van a facilitar. Los ciberdelincuentes la irán guiando a través del teléfono para que haga el traspaso desde la aplicación oficial del banco, y así no levantar sospechas. Como resultado, el dinero acabará en una cuenta bancaria controlada por el ciberdelincuente.
No debe sorprender a nadie que durante la llamada, el interlocutor facilite datos totalmente verídicos sobre la víctima: su nombre y apellidos, su DNI, y hasta su número de teléfono. Es posible que los hayan obtenido gracias a otra estafa de la que no hayamos sido conscientes, que provengan de algún filtrado de datos confidenciales o, simplemente, que esos datos circulen por internet. También es habitual que el número desde el que nos llamen coincida con el de nuestra oficina, o nuestro banco. Por extraño que parezca, los ciberdelincuentes consiguen falsearlo.
La recomendación principal de los bancos y expertos es siempre la misma: colgar inmediatamente y ponernos en contacto nosotros mismos con la entidad bancaria para verificar si realmente hay algún problema con nuestra cuenta.