Enlaces accesibilidad

Ciberdelincuentes simulan el número de teléfono de un banco para robar a sus clientes

Por
Captura de la denuncia interpuesta por la víctima de fraude tras recibir una llamada que suplanta el teléfono real de su banco. Con el sello VerificaRTVE.
Captura de la denuncia interpuesta por la víctima de fraude tras recibir una llamada que suplanta el teléfono real de su banco

Nos habéis enviado al servicio de WhatsApp de VerificaRTVE un audio donde una persona denuncia que han intentado estafarle a través de una llamada telefónica indicando que el número que aparecía en la pantalla del móvil coincidía con el de su banco. Otro cliente de otra entidad distinta ha denunciado a la Guardia Civil un robo de 500 euros de su cuenta mediante una práctica idéntica. Se trata de casos muy sofisticados de ciberdelincuencia puesto que los ladrones consiguen esconder su identidad mostrando en la pantalla del cliente un número que coincide con el de la entidad bancaria. Este es un fraude que puede afectar a cualquier tipo de empresa y organismo.

Desde VerificaRTVE hemos conseguido hablar con una persona que ha sido víctima del robo. Se llama Juan y le sustrajeron 500 euros en una compleja operación de suplantación de identidad que ya ha denunciado a la Guardia Civil. Juan nos explica que recibió una llamada desde un número que se corresponde con el del departamento de seguridad de su banco. Le dijeron que debía bloquear una operación fraudulenta desde su ordenador accediendo al sistema de “Retirar dinero de un cajero con código”, cuyo procedimiento aparece descrito en esta página de CaixaBank. Este sistema está diseñado para poder enviar dinero a una tercera persona que tiene acceso a un cajero automático a través de una combinación alfanumérica, aunque no sea cliente de la entidad. Siguiendo las instrucciones de la persona que le hablaba por teléfono y que Juan pensaba que pertenecía al servicio de seguridad de su banco, recibió en su móvil un código SMS para confirmar la operación y, de un modo todavía inexplicado, este código también lo recibieron los ladrones sin que el cliente se lo hubiera leído o enviado. De esta manera los ladrones consiguieron desbloquear la operación y hacerse con el dinero.

Documento de la denuncia ante la GC donde se recoge el registro telefónico con las llamadas fraudulentas. Con el sello VerificaRTVE.

Documento de la denuncia ante la GC donde se recoge el registro telefónico con las llamadas fraudulentas VerificaRTVE

Un incidente parecido es el que se describe en una grabación anónima que se está difundiendo a través de canales de WhatsApp. En un audio de 3 minutos y 11 segundos de duración una persona asegura que: “han intentado estafarme y de todas las veces que lo han intentado esta es la más elaborada”. Insiste en que “ni siquiera desde el banco me han sabido decir cómo lo hacen [los ciberdelicuentes]”. Los estafadores llaman a la víctima con el falso argumento de que “han accedido a su banca online y que están haciendo pagos”. Para bloquearlos le solicitan “un número de cuatro cifras” que recibe a través de SMS. Según este individuo, lo curioso es que “el mensaje de texto con el código me llegaba en el mismo hilo que los de mi banco”. Esta persona afirma que consiguió abortar la operación al decidir colgar la llamada y entrar en su banca digital. De esta forma comprueba que no hay ningún movimiento o pago fraudulento, una información que le confirman después desde el teléfono de asistencia de su banco. La autenticidad de este audio no ha podido ser acreditada por VerificaRTVE, pero la operativa es similar a la descrita en el caso que sí hemos comprobado y que ha sido denunciado ante las autoridades.

¿Qué es el spoofing?

Las operaciones fraudulentas en las que el delincuente consigue suplantar el número telefónico del banco están documentadas. Esta técnica se conoce como spoofing y Banco de España la describe así: “Consiste en que el identificador de llamadas muestre un número de teléfono diferente al del teléfono desde el cual se realizó la llamada”. Desde CaixaBank nos confirman que este tipo de fraude existe y nos explican que, al fingir llamar desde un teléfono real y verificado, los ladrones “dan credibilidad a la llamada y tienen más posibilidades de ganarse la confianza de la posible víctima”. Los portavoces de CaixaBank insisten en que “nunca se solicitará por teléfono, SMS o e-mail información sobre sus contraseñas, datos y claves personales” y añaden que “tampoco deben dar esta información a alguien que lo solicite por canales no seguros.”

También nos hemos puesto en contacto con el Instituto Nacional de Ciberseguridad (INCIBE) donde nos han explicado que en este tipo de robos los delincuentes consiguen que un SMS llegue al cliente “con el mismo número de remitente que el del propio banco, y por eso aparecen en el mismo ‘hilo de conversación’ de los mensajes SMS legítimos enviados por la propia entidad.” Sin embargo, desde el Instituto desconocen el tipo de software o herramienta que utilizan en las llamadas para que tengan apariencia de “reales”.

Programas para enmascarar el número de teléfono

El enmascaramiento del número desde el que se llama para fingir otra identidad es un procedimiento que se publicita con normalidad en Internet. Hemos localizado un programa que ofrece “crear un número secundario” con el objetivo de disfrazar la auténtica identidad de la persona que llama. En el vídeo demostrativo de este programa se oye decir a la voz en off que en la casilla “Identificación de la persona que llama” el usuario debe “entrar el teléfono falso. Este es el teléfono que quieres mostrar en la identificación de llamada de la persona con la que quieres comunicar”. En este programa se puede escribir en la casilla cualquier teléfono, el vídeo muestra un teléfono absurdo lleno de sietes. En otra pestaña de la publicidad de este sistema se explica que es “100% legal en los EE.UU.” y añade: “Si estás en otro país distinto de los EE.UU. es tu responsabilidad determinar si el uso del programa […] es legal en el país desde el que estás llamando”. Sobre la posibilidad de fingir las llamadas como si fueran de un número extranjero, la publicidad dice: “Nuestra red de números de acceso te permitirá ubicar tu llamada allí donde estés”.

Programa que ofrece ¿crear un número secundario¿ para disfrazar la auténtica identidad de la persona que llama. Con el sello VerificaRTVE.

Programa que ofrece ¿crear un número secundario¿ para disfrazar la auténtica identidad de la persona que llama VerificaRTVE

¿Se puede evitar el spoofing?

Desde CaixaBank sugieren: “Ante una petición sospechosa, recomendamos a los clientes que se pongan inmediatamente en contacto con el número de Atención al Cliente”. Este banco propone el siguiente procedimiento: “Si el cliente prueba a colgar y hacer una 're-llamada' al mismo número, verá cómo responde el call center del banco real, pero en ningún caso la persona que le estaba llamando antes”. De esta forma, desde CaixaBank aconsejan finalizar la llamada sospechosa lo antes posible y ponerse en contacto con su banco. Aclaran que “es muy importante acceder a la banca electrónica exclusivamente desde la app legítima del banco o bien tecleando uno mismo la dirección del enlace” pero nunca “desde enlaces contenidos en mensajes o emails.” En la web de CaixaBank puedes leer todas las recomendaciones que ofrece la entidad en materia de seguridad. También cuentan con una newsletter que remiten periódicamente a los clientes con novedades e información sobre nuevas formas de operar de los ciberdelincuentes. En las webs del Banco de España, el INCIBE o la Comisión de Comunicaciones de los EE.UU. ofrecen otros consejos útiles ante posibles casos de spoofing telefónico.

Algunas compañías de programas antivirus publicitan su servicio con titulares como este: “Qué es el spoofing telefónico y cómo detenerlo”. Sin embargo, una lectura atenta de las instrucciones propuestas para “detener” esta práctica permite concluir que no están ofertando ningún servicio que hubiera permitido evitar de manera fehaciente por sí mismo alguna de las dos estafas relatadas en este artículo. Otro programa antivirus reconoce que “la realidad es que es difícil proteger tu teléfono para que no sea víctima del spoofing” y más adelante propone consejos de tipo general como “ser escéptico”, “no pulsar botones durante una llamada” o “no descolgar llamadas desde números desconocidos” que, en los casos descritos en este artículo, tampoco hubieran resultado de utilidad.

El uso de identidades falsas como identificadores de llamada es percibido por el operador canadiense de telecomunicaciones (CRTC) como un problema actual y no plenamente resuelto ya que informa en su web que “un grupo de trabajo de telecomunicaciones está probando un nuevo sistema válido para todos los operadores para rastrear las llamadas”. El objetivo, dice la entidad reguladora, es “identificar el origen de las llamadas no deseadas en la red canadiense cualquiera que sea la tecnología que use por parte del emisor”.