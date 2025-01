Vivimos tan bombardeados por las estafas que muchos miramos con desconfianza cualquier correo electrónico, mensaje o llamada. Desconfiamos de inmediato y eso, más allá de una evidente situación de precaución por nuestra parte, es un problema: ya no nos fiamos de las herramientas y los procesos que antes eran importantes.

En ese estado de alerta perpetuo en el que tenemos que nadar entre estafas día sí, día también, hace unos días me enfrenté a una situación surrealista: casi pierdo un viaje en tren porque no me fie de un SMS que me mandó Renfe.

El SMS. Tenía los premios Xataka con mi billete a buen resguardo y todo listo cuando, un par de días antes, recibo un SMS aparentemente normal. Era Renfe, diciendo que algo en mi viaje había cambiado. Lo primero que hice fue entrar al enlace porque parecía legítimo (no vi caracteres alternativos ni letras que simulaban ser otras). Dentro del mismo se me pidió que rellenara con mis datos y, creo que cuando pedía el DNI o el correo, cerré.

Verificación. Todo indicaba que estaba en la web de Renfe, pero… lo cerré. Instintivamente. Aquí puede que sea mi sesgo al estar informado sobre la enorme cantidad de estafas que hay, pero lo cerré porque pensé "bueno, tengo una forma de comprobar si esto es verdad". No había enlazado mi billete físico con la web de Renfe, así que lo hice y, efectivamente, los asientos que aparecían en mi nuevo billete digital eran los que indicaba el SMS. Historia con final feliz.

Es lógico. Parece una broma y puedes decirme que estoy exagerando, pero no opino lo mismo. Comentando la jugada con un compañero de Xataka, ambos coincidimos en que, si bien quizá me pasé un poco de precavido, era totalmente normal. No me voy a poner a citar todos los casos porque no terminaría este año, y desde luego no voy a entrar en todas las estafas, pero la de los SMS son cosa seria.

Las estafas de bancos que nos dicen que metamos nuestros datos para poder acceder a la cuenta, porque hay un problema o por lo que sea nos acompañan desde hace mucho. El problema viene cuando los estafadores son capaces de mezclar sus mensajes con los de una entidad real, todo para que pinches en un enlace y caigas. Hay formas de detectar estas prácticas y tomar medidas, pero estos timos son un dolor de cabeza.

Desconfianza peligrosa. Si yo soy de La Caixa y me llega un mensaje del BBVA desde un remitente que es un número de móvil, pues es lógico que no voy a caer. Pero si soy de La Caixa y alguien que se hace pasar por La Caixa, con ese nombre apareciendo en el encabezado, me dice algo de mi cuenta, aunque sé que no tengo que pinchar, un picorcito recorre mi espalda. Tengo claro que no pasa nada, o que no tengo un paquete extraviado ni una infracción sin pagar, pero hay gente que sí cae en esto, y la culpa no es suya.

En mi caso, se mezcló esa desconfianza habitual con el hecho de tener un viaje y que Renfe me mandara un SMS. Es una desconfianza peligrosa porque, por un lado, está el peligro de que alguien más confiado pinche en un supuesto mensaje oficial, pero también que alguien más cuidadoso no pinche en un mensaje oficial pensando que es un timo.

¿Quizá demasiado? No, creo que no. La muestra está en que estas estafas están a la orden del día porque, como decimos, hay quien cae en ellas. Hay descuidos, confianza en que las instituciones en las que hemos podido confiar en el pasado no nos van a engañar (aunque no sean ellos, realmente) y brechas generacionales.

Un ejemplo de esto el último está en generaciones como la Gen Z. Según las estadísticas, sólo un 33,2% de las personas en esta franja de edad presta atención a las advertencias. En el caso de los mayores de 65 años, la estadística aumenta hasta el 66%. Y, pese a todas las campañas y advertencias, otras estadísticas muestran que sólo un 57% de los encuestados de entre 18 y 29 años reconoce tener escasos conocimientos de ciberseguridad.

Recomendaciones típicas, pero funcionan. Como suele decirse, la mejor protección es tener sentido común. A veces eso implica que nos pasemos de cautelosos (como es mi caso), pero tenemos herramientas para detectar este tipo de timos:

Hay que leer detenidamente el mensaje y confiar en que sea legítimo de primeras.

Si hay un enlace acortado, malo. ¿Por qué el BBVA va a ocultar su dirección URL?

Comprueba los caracteres. En la URL, pueden hacer que caigamos sustituyendo una "i" por una "l" o una "o" por un "0", por ejemplo.

Cuidado con los subdominios. Tu banco tendrá una URL como https://nombredetubanco.com, y ya. Pero puede que los malos hagan algo como https://nombredetubanco-com.nombrededominio.io.

Si sigues dudando, siempre puedes llamar por teléfono o meterte en la app de tu banco/servicio para ver si hay algún aviso por esa vía.

Medidas serias. ¿Pero es que nadie va a hacer nada? Bueno, se intenta. Hace unos meses, el Ministerio de Transformación Digital y Función Pública presentó un plan para combatir los fraudes desde los SMS y las llamadas. Esperemos que salga mejor que las medidas antispam, que valieron para muy poco.

De esta manera, el plan contempla que las operadoras puedan bloquear las llamadas y SMS que utilicen números no asignados a servicios, operadores o clientes. También la prohibición del uso de números móviles para llamadas comerciales, haciendo que las empresas legítimas usen números de 800 y 900 para la atención al cliente. Ya hay precedentes de éxito con estas medidas, siendo Finlandia un ejemplo al haber reducido las estafas por suplantación de identidad en casi un 90% desde que su gobierno implantó acciones similares.

Un campo de minas. Y los peligros están por todos lados, ojo, no sólo en WhatsApp, Telegram, el correo o los SMS. Estos últimos meses hay muchos youtubers que han visto cómo sus canales eran suplantados debido a que, en algunos casos, han descargado o pinchado en enlaces que no debían de manera inconsciente. El conocido youtuber Domingo Gomes, cuyo canal antes se llamaba Newsesc, comentaba, precisamente, esta situación recientemente.

En el vídeo cuenta que su editor descargó un vídeo para usar un fragmento de modo divulgativo en un contenido, pero además del vídeo, se descargó una aplicación. Esta app se abrió sin querer y consiguieron entrar a la cuenta de Google del editor. Cuenta que aún no ha recuperado.

Es un rollo. Prácticamente, cada día lidio con una estafa: con una robollamada diciéndome que Amazon acaba de sacar una criptomoneda y que la pille ahora que está barata, la oferta de mi vida en WhatsApp y Telegram o las molestísimas llamadas de spam. Ya me he acostumbrado a colgar a la mínima, pero con los enlaces y correos, la cosa cambia. No te puedes fiar de nada, tienes que estar comprobando cuidadosamente las URL, las imágenes, las direcciones y, aun pensando que el sitio es legítimo, cuando te piden datos sensibles como el DNI o la fecha de nacimiento, te queda el resquemor.

¿Será, realmente, el sitio que dice ser? Lo más fácil es que sí, que si Renfe me manda un mensaje diciendo que me han cambiado el asiento de un tren a una hora concreta cuando tengo ese tren, ese día y a esa hora, es que sea legítimo. Pero que, por un momento, mi primera sensación sea desconfiar es un enorme problema de confianza. Y creo que no tanto para mí, porque tengo opciones para comprobar si el mensaje es verídico, sino para las empresas e instituciones que están siendo suplantadas cada día.

¿En pocas palabras? Todo esto es un rollo. Y agotador.

