"En 25 minutos lo habíamos perdido todo", explicaba hace unos días Miguel Ángel, cliente de ING en Madrid, sobre la estafa de la que fue víctima. Un número desconocido le llamó por teléfono, dijo ser su banco, comprobó que efectivamente el número que veía en pantalla correspondía a una de sus oficinas, y a partir de ahí escuchó una historia sobre un acceso no autorizado su cuenta que terminó con sus ahorros, 11.300 euros, en bolsillo ajeno.
Unos días antes, María, nuestra compañera en Webedia España como redactora de Trendencias, sufrió una estafa muy similar: un SMS falso se coló en el hilo de mensajes que le llegan de su banco, BBVA. Le alertaba de un bloqueo de su cuenta por un acceso sospechoso, invitándole a acceder a un enlace para restituir el acceso. Al poco recibió la llamada de una supuesta operadora de su banco que le "guiaría" por el proceso. También acabó perdiendo su dinero: 1.708 euros.
Los dos casos comparten muchas líneas, pero ante todo redirigen el foco de los clientes hacia los bancos: ¿es hora de que suban el listón de sus protocolos de seguridad?
Estafas demasiado sofisticadas como para mantener los protocolos
Lejos del tópico, tanto Miguel Ángel como María son personas cualificadas, de entre 30 y 40 años. Nada que ver con el cliché de que estas estafas son para ancianos desorientados. Simplemente dieron por buenas las identificaciones vía SMS o número del emisor.
Algunas de las cosas que subrayaba Miguel Ángel eran especialmente interesantes: los timadores lograron clonar el número de teléfono de la sucursal para hacer verosímil su llamada, lograron modular el tono para apelar a la urgencia sin salirse del papel y hasta replicaron la música de espera. Algo similar cuenta María: ver el SMS encajado en el mismo hilo de los mensajes que suele recibir del banco, con confirmaciones de compras o códigos de verificación, le hizo actuar rápido.
En estos pantallazos cedidos por María podemos ver cómo el falso SMS parecía uno más dentro de la conversación habitual.
Montaje de los SMS recibidos por María, desde el último que le llegó antes de ser estafada al último, con su nueva clave de firma tras el bloqueo de su cuenta. Imagen: Cedida, Xataka.
En ambos casos, Miguel Ángel y María, el banco descargó en ellos su responsabilidad y no se hizo cargo de la estafa. La pregunta es: ¿por qué siguen empleando un método de verificación de la identidad tan fácilmente falsificable, si lleva tiempo causando estragos?
El spoofing, la usurpación de identidad para cometer delitos, no es algo reciente. El Banco de España alertaba de esta práctica hace dos años. Una de sus recomendaciones para detectarlo es "aunque los recibes en el mismo sitio que el resto de mensajes de la entidad, fíjate en el formato o contenido, o si tienen faltas de ortografía". No es muy serio descargar esa responsabilidad en quien está siendo víctima de una estafa, asumiendo que todo el mundo puede detectar falsas de ortografía, que además son tan sutiles como una tilde ausente.
También recomiendan "aplicaciones que te permiten conocer la identidad real del que te llama". Aconsejarlas de forma genérica, sin especificar ninguna, es alentar la instalación de potenciales fraudes para la privacidad.
Un buen consejo que dan es el de colgar en el caso de que algo no nos cuadre y llamar nosotros, pero tiene que calar en la sociedad, y eso lleva tiempo. En el caso de María, lo que recibió fue un SMS. Y llamó al momento, según nos cuenta, pero no conseguía que ningún humano la atendiese, solo bots, un tiempo perdido que los atacantes usaron a su favor, porque la sensación de urgencia iba creciendo.
Si en un contexto de emergencia ante un posible robo de los ahorros nos lleva mucho tiempo llegar a un empleado del banco que nos ayude, quizás la recomendación de colgar y llamar nosotros al banco no sea la más adecuada. Sobre todo si colgar y volver a llamar nos puede hacer perder mucho tiempo, como le pasaba a María.
A veces es la propia infraestructura de seguridad bancaria la que no nos lo pone fácil. La siguiente captura nos la ha compartido Clara, una ingeniera de telecomunicaciones clienta de Banco Santander. Es el SMS que recibió para validar una compra en Amazon.
Pantallazo cedido por Clara del SMS auténtico que recibió de Banco Santander. ¿Su problema? Con ese remitente y ese enlace cuesta diferenciar uno auténtico de una estafa. Imagen: Cedida, Xataka.
"https://scaweb.bsan.mobi/" no parece la mejor carta de presentación para validar la identidad de algo que se está convirtiendo en crítico. Tampoco "CODCONF" como remitente, que entendemos que es el acrónimo de "código de confirmación", pero suena más a lenguaje de programadores que a algo orientado a facilitar la vida al usuario. Bastaría con cambiar una letra de esa dirección tras conseguir clonar el remitente, cosa que ya hemos visto que cuesta poco, para provocar un problema serio a la víctima.
Si además contamos con la sensación de urgencia que provoca un posible robo de los ahorros, tenemos aún más ingredientes para la catástrofe.
Luego hay otros factores, como el cacareado mensaje por parte de algunos bancos asegurando que jamás llaman por teléfono... sin ser así. "A mí mi banco me llama constantemente para ofrecerme tarjetas de crédito o préstamos, hasta me llamó una vez el gestor nuevo para presentarse y decirme que estaba ahí para lo que necesitase", explica María.
La bola de nieve que es la huella digital deja de vez en cuando poros en forma de fugas de información. Por ejemplo, cuando 533 millones de cuentas de Facebook fueron filtradas en 2021. Se publicó el nombre, correo, ciudad, número de teléfono, fecha de nacimiento o lugar de trabajo de los usuarios afectados, y quien escribe estas líneas comprobó con sus propios ojos cómo los datos de una familiar figuraban en la base de datos robada.
Esto es solo un ejemplo de la cantidad de bases de datos que pueden circular en caso de despiste o robo de información y albergan información útil para un atacante. Los SMS de phishing ya parecen anticuados, un ataque mediante spoofing es más efectivo y además permite dirigirlo a la víctima. Cuanta más información tenga el atacante de nosotros en particular, más fácil será darle credibilidad y acabar poniendo una denuncia.
Si cada vez es más probable que haya una información acumulada circulando por la red, cada vez hay más ataques hacia nuestros ahorros y es perfectamente posible clonar números con los que llamar o enviar SMS, ¿por qué no cambian y se elevan los protocolos de seguridad para la banca online?
Aunque haya casos en los que el error sea del usuario, los bancos también tienen una parte de responsabilidad, mayor en la medida en que más tiempo pasa desde que tenemos constancia de este tipo de fraudes. Incluso las telecos, que es por donde pasan SMS y llamadas de los atacantes, tal vez pueden buscar la forma de impedir que lleguen mensajes o llamadas con números clonados, sobre todo de actores tan críticos como la banca.
Guardando las distancias, ya fueron multadas por no poner las suficientes medidas de protección para evitar el SIM swapping. Como también algunas entidades bancarias han sido obligadas a indemnizar a víctimas de ciberestafas al considerar que los fraudes tan sofisticados no son fáciles de detectar, y que también existe una responsabilidad bancaria.
En Xataka | Cuidado con la estafa del falso alquiler: cómo funciona y por qué nunca hay que dar el DNI alegremente.
Imagen destacada | Cedida, Xataka, Unsplash.
Ver 9 comentarios