La estafa que llega por WhatsApp: "Le pasa a mucha gente, pero no lo cuentan por vergüenza"

La estafa del hijo en apuros no requiere de alguien con poca cultura para triunfar. Más bien se basa en la probabilidad: los criminales envían miles de mensajes a números de teléfono aleatorios con un texto similar: "Papá, mi teléfono está estropeado. Este es mi teléfono temporal para comunicarnos". La mayor parte de la gente lo identificará como algo sospechoso y lo eliminará, pero por el volumen con que se mandan siempre pueden encontrar una rendija por donde colarse.

En este caso, la rendija fue el padre de Graciela Moreno, una arquitecta española residente en Londres que, precisamente en esos momentos y tras más de 20 años en Reino Unido, se estaba planteando adquirir una vivienda en la Costa del Sol para mudarse de vuelta a nuestro país. Quizá por ese particular contexto, a su padre, de 70 años, no le escamó demasiado que su hija pudiera solicitarle aquel 15 de agosto (festivo, además) que hiciera una transferencia de casi 2.000 euros a una cuenta. Podía tratarse de algo relacionado con la compraventa de aquella vivienda.

"Había transferido todos mis ahorros a esa cuenta del Banco Santander, de la que mi padre era cotitular", explica la arquitecta a El Confidencial. "Cuando mi padre recibe ese mensaje de WhatsApp, enseguida pensó que era yo, porque soy la única de mis tres hermanos que vive fuera y tenemos un contacto un pelín menos frecuente; grabó el número y en menos de 24 horas empezaron a pedirle transferencias, él no es tonto, pero en ese momento pensó que era algo asociado a la entrada del piso".

Así se urdió la trama hasta que, 24 horas después, Moreno recibió un mensaje del banco preguntándole si autorizaba la última transferencia. Ella, extrañada, la rechazó.

TE PUEDE INTERESAR

Compré una cámara china en AliExpress. Tardé 20 minutos en asustarme con lo que encontré

M. Mcloughlin

Al poco habló con su madre, que le preguntó por qué estaba insistiendo tanto a su padre con las transferencias y, de golpe, descubrió por qué a la cuenta le faltaban 21.000 euros. "Estáis siendo objeto de fraude", les dijo, aunque la víctima, en realidad, era ella.

"Estamos totalmente desprotegidos"

La primera reacción fue acudir a una sucursal bancaria, pero eran las cuatro de la tarde y todo estaba ya cerrado. Moreno llamó a Atención al Cliente y le explicaron "que sin denuncia no podían hacer nada, así que mi padre se pegó esa tarde cuatro horas en comisaría para poner la denuncia". Al día siguiente, según la arquitecta, la versión que le dieron desde el servicio de atención telefónica fue que la actuación era errónea y que el banco había perdido unas horas clave para tomar acciones.

"En esas horas, el banco podría haber congelado, que era lo que yo pedía, las cuentas destinatarias, que da la casualidad de que están dentro de la misma entidad", dice Moreno. Pronto se dio cuenta de que el suyo era un caso sin precedentes a los que aferrarse, tanto a la hora de reclamar el dinero como a la hora de encontrar representación legal que pueda afrontar con garantías un juicio así.

Fueron, en total, siete transferencias a siete personas, cuentas y entidades diferentes. La parte que más escama a Moreno es que "a mí, como titular de la cuenta, teniendo la aplicación online y todo, el banco no me comunica en ningún momento que se están realizando transferencias de mi cuenta, tanto como para aprobarlas como para informarme", indica. "Son, además, transferencias totalmente irregulares, con cada vez más dinero, si el banco me llama para aprobar o cancelar la séptima, ¿por qué no lo hizo para la primera?".

Explica la arquitecta que, en el Reino Unido, país donde reside, y otros, existen mecanismos para evitar que sucedan este tipo de cosas, o para compensar a los clientes que han padecido un fraude de este tipo. Allí, la Financial Conduct Authority establece una serie de normas por las cuales un banco debe reembolsar el dinero a sus clientes si estos han denunciado transferencias no autorizadas. El Banco de España emitió hace unas semanas una alerta ante el aumento de este tipo de casos, a los que ha denominado whatsapping.

El problema aquí, o la rendija por la que se cuelan los criminales, es la intervención directa del familiar, que es quien emite la transferencia desde su cuenta. No es un robo, sino un traspaso consciente (aunque engañados) de una cuenta a otra.

Esta parte es, obviamente, la que lo complica todo para Moreno y su familia.

Cómo funciona el timo del hijo en apuros

"Es cierto que hay estafas mucho más masivas, pero está creciendo bastante", explica Eusebio Nieva, director técnico de Check Point Software en España y Portugal. "Los intentos que vamos percibiendo hacen pensar que el timo del hijo en apuros se está acercando en volumen a estafas más habituales como puede ser la del SMS de Correos diciendo que no se ha podido entregar un paquete que nadie ha pedido y te ponen un enlace para gestionarlo", comenta. Su ascenso es notable y tanto el Incibe como la Policía Nacional se han visto obligados a alertar en varias ocasiones y crear guías de actuación.

TE PUEDE INTERESAR

"Mamá, mi móvil se ha estropeado": la última estafa vía WhatsApp para hacerse con tu dinero

El Confidencial

La estafa del hijo en apuros no deja de ser una nueva práctica dentro de la ingeniera social, esa que lo que intenta hacer es aprovecharse de un error o de la inocencia del usuario en el uso de una aplicación o un dispositivo para obtener de forma ilícita información privilegiada. "No atacan una brecha o un fallo en la tecnología, atacan al usuario", detalla este experto. Este punto hace tremendamente difícil hallar una protección desde el punto de vista técnico, más allá de la posible implementación de algún tipo de filtro de spam.

"La mejor protección que te queda es la de descartar todos estos mensajes de primeras", dice Nieva. Si uno cree que un hijo o una persona cercana puede experimentar algún tipo de dificultad, este experto recomienda pactar algún tipo de palabra o pregunta de seguridad para estas situaciones. "Pero para eso se te tiene que ocurrir que puedes ser víctima de algo así".

Este experto dice que suele ser extremadamente raro que esto sea un ataque dirigido. "Esto es pesca de arrastre", resume. Los ciberdelincuentes empiezan a lanzar mensajes a chorro a miles de destinatarios, con la esperanza de que alguno surta efecto. Se suelen hacer desde números virtuales, que no permiten contactar mediante llamadas.

El timo del hijo en apuros no es un ataque dirigido, sino masivo: "Es pesca de arrastre"

"Fabrican excusas como que es el móvil de un amigo o que es una nueva línea y que no tiene dados de alta más que los datos de momento y por eso no se puede hablar. Eso ya debería darte pistas, porque para activar WhatsApp necesitas recibir un código por mensaje de texto", añade Nieva. Una vez hacen blanco y rompen la primera línea, buscan explotar los nervios del objetivo y que actúe impulsivamente para que revele credenciales o para que haga una transferencia a determinada cuenta.

Pero si se envía dinero a una cuenta bancaria, ¿no sería tremendamente fácil rastrear esa operación y tener los nombres y apellidos del responsable? "No es tan fácil. Suelen utilizar algo así como testaferros que no conocen realmente a qué se están prestando. De esa cuenta trasladan el dinero a otra, que vete a saber en qué país está, si se ha creado con documentación falsa o si se ha hecho a través de alguna plataforma digital que les permita borrarla rápido, dificultando mucho la investigación", argumenta este experto. "Además, una práctica habitual es la de convertir ese botín en criptomonedas, que siempre son más difíciles de rastrear".

Cada vez más común en España

El 14 de octubre de este año, la Guardia Civil detuvo en Sevilla a tres personas —en el marco de la operación Helpboy— que lograron apropiarse de más de 26.000 euros con la estafa del hijo en apuros. Su actividad delictiva logró encontrar víctimas en lugares tan dispares como Valladolid, Ibiza o Coruña.

Una semana más tarde, nuevas detenciones: ocho personas lograron estafar a 44 familias de Granada un total de 180.000 euros con el mismo timo, informó El País.

Pero las últimas detenciones, realizadas esta semana en Vélez-Málaga, parecen indicar que el asunto es mucho más complejo. Dos mujeres (de 22 y 25 años) fueron apresadas en la ciudad malagueña por su participación en esta estafa: eran las titulares de las cuentas donde los incautos familiares hacían los ingresos. Sin embargo, solo actuaban como mulas bancarias. Inmediatamente, el dinero era retirado de esas cuentas, que recibieron envíos desde Madrid, Valencia, Toledo o Las Palmas, uno de ellos superior a 14.000 euros.

"Desde la Policía Nacional, nos han dicho que son intermediarios", explica la víctima a este periódico. "Cogen a personas sin recursos, les ofrecen una comisión por traspasar el dinero a su cuenta y retirarlo instantáneamente. Así, cuando las autoridades logran dar con ellos, algo sencillo, encuentran que solo son personas insolventes con una cuenta bancaria. La Policía maneja varios sospechosos, como una banda del norte de Europa que actúa por la Costa Blanca, pero encontrar a los autores resulta increíblemente difícil".

"Es más común de lo que parece, solo que a la gente le da vergüenza admitir que le ha pasado", dice Moreno.