Banco de España y Guardia Civil vuelven a poner la alarma ante una nueva estafa a los autónomos

Los estafadores cada vez emplean técnicas más sofisticadas. No sólo se hacen pasar por quienes no son, sino que también imitan y suplantan los canales habituales de contacto de las entidades financieras. El Banco de España y la Guardia Civil alertaron a los autónomos de un auge de casos suplantación de identidad a través de mensajes de texto o llamadas telefónicas desde números idénticos a los de las entidades financieras con las que el autónomo opera.

La Brigada de Delincuencia Económica y Tecnológica de la Policía Judicial de la Guardia Civil en  Navarra relató en un comunicado una estafa en la que se llegaron a sustraer hasta 15.000 euros. “La Guardia Civil ha investigado a un varón de 23 años tras acceder a la aplicación bancaria de su víctima por un importe superior a los 15.000 euros. El delincuente accedía a los datos bancarios a través de la suplantación de identidad o ‘fishing’”, señalaron desde la brigada.

Lo novedoso de esta investigación, señaló la Guardia Civil, es que llamaban previamente a las víctimas como si se tratara de su entidad financiera. “El ‘phising’ telefónico consiste en que el delincuente contrata un número de teléfono que coincide con el banco en el que el autónomo o particular tiene sus ahorros o cuentas. En la pantalla de su móvil aparecerá una llamada bajo el nombre de su entidad bancaria, lo que generará un engaño suficiente para acceder a las peticiones del estafador”, añadió el cuerpo de seguridad.

Principalmente, “el o los delincuentes argüían que la cuenta bancaria estaba bloqueada, por lo que necesitaban las claves de acceso para restituirla”, aseguró la Guardia Civil. De esta forma, obtenían el código necesario para acceder a su cuenta y “sustraerle el mayor importe posible a la víctima”.

La Guardia Civil remarcó que las entidades bancarias “nunca solicitan datos sensibles” por teléfono o mensaje de texto a sus clientes. Si el autónomo o particular tiene cualquier duda, lo mejor que puede hacer, continuaron desde la brigada, “es ponerse en contacto con su banco y cerciorarse de si dicha llamada o petición de datos es procedente”.

El Banco de España advierte sobre el aumento de fraudes por ‘smishing’

El Banco de España ha alertado a los autónomos y pequeños negocios de otro fraude de suplantación de identidad conocido como ‘smishing’: el envío de un SMS a tu móvil simulando ser un banco con el objetivo de robar información privada o hacer un cargo económico, generalmente adjuntado un enlace a una página fraudulenta.

Distintos medios de comunicación se han hecho eco de esta noticia y han sacado a la luz diversas entidades financieras que están sufriendo estos ataques. Además, no sólo estos ataques se producen por bancos, algunos diarios locales han advertido de mensajes de texto fraudulentos en el que se suplantan a plataformas de contenido como Netflix o envío de paquetería a través de Correos o empresas de mensajería.

El Banco España recalcó que estos mensajes de texto pueden aparecer en la misma sección donde con anterioridad la entidad financiera del trabajador por cuenta propia. “Cabe reemplazar el número de teléfono móvil desde el cual se envía el mensaje por un texto alfanumérico que aparenta ser la entidad, para que el destinatario, cuando lo reciba, no sospeche del emisor y acceda a realizar la operativa solicitada. Esta técnica, conocida como ‘SMS spoofing’, se realiza mediante diversas páginas web y aplicaciones móviles que permiten enviar SMS desde una fuente desconocida suplantando una identidad conocida con relativa facilidad”, explicó  el Organismo Supervisor.

¿Qué pueden hacer los autónomos para detectar y prevenir este fraude?

El Banco de España detalló algunas claves para que los trabajadores por cuenta propia y particulares puedan enfrentarse a estos mensajes de texto fraudulentos:

• Algunos móviles incorporan detectores de spam y bloquean este tipo de mensajes.
• “Aunque los recibes en el mismo sitio que el resto de mensajes de la entidad, fíjate en el formato o contenido, o si tienen faltas de ortografía”, afirmó el Banco de España
• También existen aplicaciones que te permiten conocer la identidad real del que te llama.
• La entidad nunca te pedirán que les facilites contraseñas o claves completas.
• Usa el sentido común: coteja que lo que te dicen realmente es verdad, por ejemplo, si te llaman diciéndote que se ha hecho una operación fraudulenta, accede a tu posición y verifica que es cierto. O si no te cuadra lo que te dicen, cuelgas y les llamas tú.
• Si no has realizado tú una operación, no tiene sentido que te llegue una clave temporal y mucho menos que el banco sea quien te la solicite verbalmente por teléfono. Y no, tu banco no necesita un código para anular esa supuesta operación fraudulenta.

Estos son los fraudes electrónicos que más sufren los autónomos 

A pesar de sus muchas variedades, el denominador común de todos los ataques de ‘phishing’ es el uso de un pretexto fraudulento para adquirir datos valiosos. Algunas categorías principales incluyen:

‘Phishing’ telefónico

Con los intentos de phishing a través del teléfono, a veces llamados phishing de voz o ‘vishing’, el atacante llama afirmando representar a su banco local, la policía o incluso la Agencia Tributaria. A continuación, le asustan con algún tipo de problema e insisten en que lo solucione inmediatamente facilitando su información de cuenta o pagando una multa. Normalmente le piden que pague con una transferencia bancaria o con tarjetas prepago, porque son imposibles de rastrear.

Asimismo, el ‘phishing’ vía SMS, o ‘smishing’, es muy similar al ‘vishing’, que realiza el mismo tipo de estafa (algunas veces con un enlace malicioso incorporado en el que hacer clic) por medio de un mensaje de texto SMS.

Spear ‘phishing’

Mientras la mayoría de las campañas de ‘phishing envían correos electrónicos masivos al mayor número posible de personas, el spear phishing es un ataque dirigido. Spear phishing ataca a una persona u organización específica, a menudo con contenido personalizado para la víctima o víctimas. Requiere un reconocimiento previo al ataque para descubrir nombres, cargos, direcciones de correos electrónicos y similares. Los hackers buscan en Internet para relacionar esta información con lo que han averiguado sobre los colegas profesionales del objetivo, junto con los nombres y las relaciones profesionales de los empleados clave en sus organizaciones. Con esto, el autor del phishing crea un correo electrónico creíble.

Según ejemplifica  Malwarebytes, un estafador podría crear un ataque de spear phishing a un empleado cuyas responsabilidades incluyen la capacidad de autorizar pagos. El correo electrónico aparenta proceder de un ejecutivo en la organización, que exige al empleado que envíe un pago sustancial al ejecutivo o a un proveedor del negocio.

‘Phishing’ de clonación

En este ataque, los delincuentes hacen una copia, o clonan, correos electrónicos legítimos enviados anteriormente que contienen un enlace o un archivo adjunto. Luego, el autor del phishing sustituye los enlaces o archivos adjuntos con contenido malicioso disfrazado para hacerse pasar por el auténtico. Los usuarios desprevenidos hacen clic en el enlace o abren el adjunto, lo que a menudo permite tomar el control de sus sistemas. Luego el autor del phishing puede falsificar la identidad de la víctima para hacerse pasar por un remitente de confianza ante otras víctimas de la misma organización.