Una empresa de Castellón, multada por el timo del 'Clash Royale' a 33.000 británicos

Thomas Hale se gana la vida desenmarañando las complejas interacciones de los mercados bursátiles para Alphaville, el blog especializado del diario financiero británico 'Financial Times'. A las 7:46 de la mañana del 8 de junio de 2018 recibió un extraño SMS dándole las gracias por suscribirse a algo llamado "applicateka de NRS" por 4,50 libras esterlinas a la semana hasta que escribiera la palabra STOP y la enviara al número 64055. Pensó que el riesgo estaba en responder y que lo mejor sería dejarlo pasar. Se equivocaba.

Mes y medio más tarde, al comprobar sus facturas telefónicas, se dio cuenta de que cada viernes, con estricta puntualidad, alguien le estaba cargando 4,5 libras (importe equivalente a unos cinco euros), exentos de IVA. Resulta que ese alguien lo hacía en nombre de Net Real Solutions (NRS Group), que esta es una empresa española con sede en Castellón que ofrece servicios para jugar a videojuegos famosos (como el 'Clash Royale') y que Hale no fue el único caso. Al menos 33.400 británicos vieron cómo sus facturas telefónicas se incrementaban por estos servicios.

La Autoridad de Servicios Móviles de Pago de Reino Unido (PSA, por su acrónimo en inglés), en una decisión fechada el 11 de julio de 2019, ha multado a la firma castellonense con 200.000 libras y ha obligado a reembolsar los importes cobrados indebidamente.

TE PUEDE INTERESAR

Estas son las seis estafas más comunes en WhatsApp

Teknautas

NRS Group ofrece servicios de SMS masivos, de 'marketing' vía 'e-mail', de servicios de voz, de notificaciones móviles y de webs de marca blanca. Su portavoz alega que no hicieron nada ilegal y que toda la culpa es de mGage, una agencia de 'marketing' que contrataron, con oficinas en EEUU y Reino Unido, entre otras. Pero esta sanción de la PSA recae sobre ellos. El supervisor británico justifica su sanción en que la empresa española no siguió el código sobre promoción de servicios telefónicos de pago y control de las agencias de marketing.

Este caso es algo más que un timo: lo ocurrido y la sentencia acreditándolo reflejan los peligros de las políticas de las operadoras de pagos a terceros en toda Europa. Estas compañías se reservan el derecho de cargar importes a las cuentas del cliente y basta con un clic fortuito en una ventana emergente para activarlos. La mayoría de veces, el usuario no sabe que está comprando algo y al no darse cuenta se acumula mes a mes. Las cifras no son muy altas (de tres a 30 euros en una factura mensual) y por ello para mucha gente pasan inadvertidas. La mayoría de operadoras permite este tipo de cargos, amparándose en que son servicios de pago que el cliente ha autorizado previamente. Pero no siempre es así.

La resolución de la PSA da la razón a lo que alegaban muchos de los afectados: no hace falta clicar, es posible que te estafen solo con entrar en una web. En el caso de NSR y mGage, los clientes fueron timados de dos formas: con un 'malware' (programa que busca dañar un ordenador o su seguridad) que les hacía suscribirse a un servicio sin que lo supieran y mediante promociones falsas del popular juego 'Clash Royale', la 'app' de estrategia con más de 354 millones de descargas. Los 'banners' ofrecían recompensas gratis o métodos infalibles para conseguir dinero virtual para jugar a los juegos. Al final, lo único que se recibía era un nuevo cargo en la factura telefónica.

TE PUEDE INTERESAR

Pagos a terceros: así te cobra tu operadora por algo que ni recuerdas haber comprado

Álvaro Moreno

El supervisor británico asegura que la empresa de 'marketing' contratada por NRS Group utilizó el 'malware' para lograr que los usuarios del móvil no fueran conscientes de que estaban dando su consentimiento a los cargos. Ese programa informático “habilitó la solicitud para omitir las dos primeras páginas de pago (llamado a la acción y confirmar acción) y creó la subscripción directamente", afirma el documento.

La investigación contra la compañía se abrió en el verano de 2018, cuando el servicio propiedad de NRS, Applicateka, saltó a la fama en Twitter. Cientos de usuarios hicieron públicas sus quejas en la red social. 700 de ellos llevaron su reclamación hasta la PSA.

El 'malware' funcionaba de forma perversa. En primer término, al usuario le saltaba un 'banner' ofreciéndole ventajas y trucos para el videojuego. Cuando, al entrar, llegaba a una página de mGage, en esta es en la que automáticamente registraban a quien entraba para luego cobrarle a través de su operadora.

Todos los clientes mostraron facturas con cobros por parte de Applicateka de 4,5 libras (cinco euros) semanales. Si no se daban cuenta, cosa que sucedía en muchos casos, los cargos superaban los 20 euros mensuales.

La PSA cifra en 115.000 libras (127.000 euros) los ingresos generados por Applicateka gracias a este sistema. De no haberse interrumpido, estima que en total (y entre todos los implicados) podrían haber conseguido en un año más de ocho millones de libras.

TE PUEDE INTERESAR

El BCE alerta de posibles ilegalidades en torno al dinero virtual de los juegos

EP

Desde NRS, defienden que ellos son “los mayores perjudicados”. Atribuyen lo sucedido a un “agujero de seguridad en la plataforma de pagos que otra empresa ofrecía”. Afirman categóricamente que no tienen absolutamente nada que ver con el 'malware'. La propia sentencia reconoce que era otra empresa la que introdujo en el mercado este programa, pero se le atribuye responsabilidad en lo sucedido.

La compañía discrepa de la sanción y de la decisión de la PSA. Consideran que los criterios que imponen a las agencias de 'marketing' con las que trabajan son suficientes como para que no se considere que se ha realizado un fraude. El supervisor británico discrepa.

"Cuando tuvimos noticias del 'malware', paramos las campañas y dimos de baja a los usuarios afectados. Le pedimos a nuestro proveedor, que es el que en primera instancia recibe el dinero de los cobros, que antes de liquidarnos hiciera las devoluciones pertinentes. Por lo tanto, ese dinero nunca llegó a manos de NRS”, afirma un portavoz de la compañía.

Entre los factores atenuantes para NRS Group, el tribunal que emitió la decisión final valora positivamente que la empresa de Castellón procediese proactivamente a efectuar reembolsos a aquellos clientes afectados por las promociones falsas, haya cortado su relación comercial con las agencias de márketing responsables y haya contratado los servicios de una firma de supervisión para prevenir nuevos casos.

Así funcionaba el timo

Las principales promociones estaban en 'Clash Royale', un videojuego gratuito con compras integradas que se juega a través del móvil. Cada jugador cuenta con tres torres y debe intentar destruir las del rival. Para ello, puede usar una serie de herramientas y armamento que se puede adquirir a través de dinero virtual (gemas), que se adquieren con dinero real. A los usuarios que usaban la aplicación les aparecían anuncios en los que les ofrecían 90.000 gemas gratis. Al acceder, daban un código a introducir en una web llamada 'payforit'. Una vez hecho esto, no llegaba nunca la recompensa prometida, eso sí, ya estabas suscrito y obligado a pagar 4,50 libras a la semana sin haber introducido dato alguno ni dado tu consentimiento.

Muchos de los afectados son padres, y uno de ellos narra que son sus hijos los que activaron el servicio. Una vía de captación habitual era youtube.com, la plataforma de vídeos 'online'. Al hacer búsquedas como 'gemas gratis Clash Royale', aparecía un vídeo promocionado por la agencia, que te incitaba a entrar en la página donde se cometía la acción fraudulenta. Ese vídeo, ya retirado, cuenta con más de 500.000 visitas. Todo tenía una apariencia tan cuidada que todos daban por hecho que no se trataba de un engaño. Lo único 'sospechoso' era la página web 'payforit', pero para cuando entraban en ella ya era tarde.

Mantenerse alerta

Desde asociaciones de afectados como Stop Pagos a Terceros, recomiendan estar pendientes de la factura telefónica. Algunos de los que acudieron a esta asociación explican que ellos están seguros de que ni siquiera han clicado en 'pop-ups' de servicios que luego les han cobrado, como ocurre en este caso.

Por ello, es esencial estar al tanto del epígrafe 'otros gastos' que las operadoras incluyen mensualmente y donde vienen estos servicios. Además, para evitar dudas, siempre se puede uno dar de baja del servicio de pagos a terceros para que en ningún caso las compañías telefónicas puedan emprender gastos en nombre de sus clientes sin su consentimiento explícito.

En todas las páginas web de estas empresas se puede buscar cómo darse de baja para que ningún estafador pueda cobrarte a través de ellas solo teniendo tus datos.