"En 20 minutos me robaron 11.000 €": la ola de estafas que obliga al Gobierno a ponerse las pilas

"Era todo superprofesional. Al otro lado había una persona española que controlaba la jerga bancaria perfectamente. Se oía el ruido clásico de un call center y tenían información de mis cuentas, con detalles muy precisos como que en algunas había una cotitular. En fin, tenían todo muy medido", relata Miguel Ángel Sánchez, un joven madrileño que hace unas semanas sufrió una estafa telefónica y vio cómo en un abrir y cerrar de ojos se esfumaban los ahorros que había podido juntar con su mujer en los últimos años.

"En apenas 20 minutos me robaron 11.000 euros", lamenta. A finales de diciembre, salieron a comprar un regalo junto con su hija por Navidad. Recibieron una llamada en la que un estafador se hizo pasar por un trabajador de ING. Se le avisó de que se había detectado un acceso ilícito a su cuenta y de que se habían bloqueado varios movimientos que intentaban vaciarla. El estafador le ofreció entonces un supuesto servicio de cuenta segura en la que podía poner su dinero a salvo durante 24 horas mientras neutralizaban los accesos ilícitos y aseguraban que no corría peligro.

"Me sonó raro y cuando pregunté por qué debía fiarme, me dio tres opciones: acudir a una sucursal, colgar y llamar a atención al cliente o comprobar que el número del que le llamaba era el de la oficina que la entidad tiene en O’Donnell", recuerda. Efectivamente, tras una comprobación en Google, vio que coincidían. "Aquello eliminó mi desconfianza, así que hice tres transferencias a la cuenta segura. Todo parecía normal, incluso los mensajes me entraban al mismo hilo de SMS de ING que tenía en el móvil", recuerda. Cuando pasó el plazo que le dieron y no recibió noticias, devolvió la llamada al número del que había recibido el aviso el día anterior.

Le contestaron en atención al cliente, pero no tenían constancia de nada. Había sido víctima de un engaño realizado con spoofing, una técnica por la que los ciberdelincuentes usurpan un teléfono gracias a un programa informático. Luego se apoyan en datos personales de los usuarios que se hayan filtrado para intentar ganarse su confianza y empujarlos a que tomen decisiones así.

TE PUEDE INTERESAR

La estafa que llega por WhatsApp: "Le pasa a mucha gente, pero no lo cuentan por vergüenza"

Antonio Villarreal Michael Mcloughlin

De los 11.000 euros que perdió, Miguel Ángel ha conseguido recuperar poco más de 1.000 que le transfirió la entidad sin dar explicaciones demasiado claras. "Primero me dijeron que era el dinero correspondiente a la tercera transferencia, pero no coincidía y, tras insistir, me dijeron que era lo que podían recuperar de todos los movimientos", cuenta. Tras varias semanas de pelea y reclamación, sigue convencido de que esto ha sido posible por un mal manejo de sus datos personales por parte de la compañía.

"Para hablar con ellos y que nos atendieran, incluso fuimos a sus oficinas. No nos hicieron mucho caso, pero me dejaron claro que ni la app ni mi cuenta de usuario fueron hackeadas", explica el afectado, quien cuenta que el banco ha descargado la responsabilidad en él. Como la entidad no se ha hecho cargo, el asunto ya está en manos de un bufete para intentar recuperar el dinero por la vía judicial, ya que la empresa entiende que la responsabilidad es de este cliente.

El caso se ha hecho bastante viral y ha puesto en primera línea el problema de la suplantación de identidad en llamadas y mensajes de texto en España. Cuando ha sido preguntado por este extremo en las ultimas semanas, la respuesta de ING siempre ha sido la misma. Subrayan que trabajan para "detectar y combatir ciberfraudes" e insisten en "que en ningún caso piden datos sensibles" como DNI o claves "por teléfono o WhatsApp", además de recordar que no hay que dar ninguna información personal o financiera fuera "de los canales habituales".

Aunque suele ser difícil demostrarlo, si se prueba que el banco no contaba con protecciones lo suficientemente robustas, los tribunales suelen dar la razón a los afectados. Esta misma semana, Caja Rural Central ha sido condenada por parte de la Audiencia Provincial de Alicante a devolver los casi 5.000 euros que perdió una clienta víctima de un ataque de phishing al considerar que había una brecha en su prestación de servicio de pago, por lo que no se puede achacar exclusivamente la responsabilidad a la afectada. Esta es la vía, la judicial, a la que se agarra ahora Patricia Garralda, también víctima de una estafa con la que consiguieron robarle 24.000 euros de una cuenta de ING hace casi un año.

"Recibí un correo electrónico en el que se me advertía de un acceso inusual a mi aplicación desde un iPhone 7 desde Cádiz", cuenta esta mujer. Poco después, recibía una llamada en la que un hombre se identificaba como miembro del departamento de ciberseguridad de la entidad bancaria. Al igual que en el anterior caso, Garralda destaca la preparación, el tono, el lenguaje empleado y la cantidad de información que tenían sobre ella.

"Tenían hasta un domicilio antiguo de una hipoteca que pedí hace años. Conocían hasta el número de identificación de mi tarjeta de coordenadas de ING. Es algo muy convincente, con datos que solo podría tener el banco", añade. En su caso, los estafadores consiguieron que desvinculara la app de su teléfono. "Me daban excusas de seguridad y en realidad estaban vaciando la cuenta". Algo de lo que fue consciente cuando acudió a una oficina física a preguntar. Empezó entonces una peregrinación y reclamaciones ante el Banco de España o la Agencia Española de Protección de Datos y que ahora seguirá en los tribunales, al no haber podido encontrar todavía una vía para recuperar los fondos sustraídos.

Una auténtica plaga de llamadas 'truchas'

"Esto es pesca de arrastre. Nos puede pasar a cualquiera", explicaba a El Confidencial Eusebio Nieva, director técnico de Check Point Software en España y Portugal, respecto a este tipo de estafas bancarias y otras como puede ser el timo del hijo en apuros.

La cuestión es que los casos de Miguel Ángel y Patricia son solo dos de una larga lista que empieza a ser preocupante y que no solo afecta a los bancos. El asunto de la suplantación de identidad en llamadas ha alcanzado tal nivel que hasta el Gobierno se ha visto obligado a mover ficha y ponerse las pilas para intentar poner freno y reducir los riesgos para los consumidores. El Ministerio de Transición Digital ha convocado una consulta pública con el fin de poder recopilar posibles cambios normativos y mecanismos técnicos que ayuden a acabar con estas prácticas.

"Estas estafas usan llamadas y mensajes de texto alarmantes en los que los delincuentes se hacen pasar por supuestos agentes de una empresa de servicios u organismo público engañando al consumidor para que proporcione información personal y financiera confidencial, facilite sus claves personas o realice alguna acción", ha asegurado el departamento dirigido por José Luis Escrivá en un comunicado.

Las llamadas fraudulentas de banca son las más llamativas por lo que conllevan, pero es un mal que afecta a operadoras o energéticas

Este proceso de escucha permanecerá abierto hasta el 8 de marzo y está dirigido a operadores, bancos, aseguradoras, cuerpos y fuerzas de seguridad, asociaciones de consumidores, administraciones públicas y otros agentes económicos. El ministerio ha dado este paso al comprobar, tras una serie de reuniones con diferentes actores, que se ha producido una explosión de estos fraudes, que pueden conllevar un importante daño económico para empresas e individuos.

"Las estafas bancarias son las que más escandalizan y las que más llaman la atención, porque son las que más impacto financiero tienen, pero esto ya es un problema mucho más general", comentan fuentes conocedoras de los encuentros entre el ministerio y los diversos sectores implicados. "Cada mes, se producen decenas de millones de llamadas en España en nombre de operadores o de empresas energéticas avisando de un posible incremento de precio con el fin de que te cambies de tarifa, intentando colar un producto que no tienes compartido o de que te vayas a otra compañía", añaden.

Esto es lo que se conoce como vishing o timo de la doble llamada. "Muchas veces, en un primer contacto engañan al usuario, le explican la oferta en cuestión para embaucarlo. Cuando lo tienen trabajado, dicen que le contactarán de nuevo en un breve plazo. Eso les sirve para derivar la llamada a un canal autorizado por las empresas para cerrar estos acuerdos con los clientes", añaden estas voces, que puntualizan que se ha generado "una auténtica industria" de individuos y plataformas que operan ilegalmente con el fin de cazar a estas personas. "Estas personas o empresas muchas veces actúan desde fuera de España con el fin de eludir la normativa sobre telemarketing que hay en nuestro país y así poder, por ejemplo, contactar con gente que está en la lista Robinson".

Fuentes de uno de los grandes operadores españoles explican a este periódico que han llegado a detectar y cerciorarse de que solo entre su base se producen hasta 1,5 millones de llamadas de este tipo cada mes. Estas voces explican que esta cifra solo corresponde a casos comprobados, pero que hay sospechas de que "sean muchas más". Si se extrapola la cifra y se presupone un nivel similar, cuando no mayor, a las cuatro grandes operadoras españolas, estaríamos hablando de unos seis millones. "Si añadimos empresas de energía, banca o aseguradoras, esto es un auténtico drama". Ocurre más de lo mismo con los SMS. "Nosotros somos los primeros interesados en que todo esto se solucione, porque tener a todo el mundo utilizando mensajes de texto como doble verificación supone un negocio importante para nosotros. Si el sistema no es seguro, perdemos nosotros".

¿Por qué las operadoras no bloquean por norma estas comunicaciones? En muchos casos, los que pretenden hacer este telemarketing fraudulento utilizan números temporales de usar y tirar que queman rápidamente, así que cuando son detectados ya están desechados. Son teléfonos que se compran en lotes con terminaciones seguidas y que se utilizan de forma automática. Por esa razón, aunque uno de estos contactos se bloquee en el teléfono, es probable que tarde o temprano se pueda recibir una llamada del mismo origen.

Por otra parte, como explican desde el sector, la principal barrera es que tienen que velar y cumplir por "el secreto de las telecomunicaciones", lo que les impide escrutar qué va en cada mensaje de texto y en cada llamada. ¿Cuál sería la solución? Ellos plantean algún "mecanismo alfanumérico" que les sirviera para crear una base de datos de números autenticados de cada entidad. "Si no están en ese listado y se reporta alguna llamada irregular, se procedería a bloquearlos". También puntualizan que a nivel europeo la problemática es similar y que en algunos países están empezando a experimentar con posibles soluciones.

Un problema antiguo

"Esto no es un problema nuevo. Es algo asociado a los protocolos que persiste desde hace décadas", explica Román Ramírez, experto en ciberseguridad y coorganizador de la RooterCON, una de las conferencias más conocidas en España sobre la materia, que señala que cualquier usuario puede alterar "metainformación de los mensajes o llamadas" con relativa facilidad desde su dispositivo. Incluso, explica, la técnica del spoofing no es complicada para "cualquier usuario que tenga los conocimientos o sepa usar algunas herramientas". "Yo he tenido conocidos que me llegaron a spoofear el número de mi expareja en su momento porque nunca les cogía el teléfono", recuerda Ramírez.

Explica que esta vía "no siempre sale a cuenta" en términos de tiempo y dedicación, a excepción de que se pretenda conseguir "una cantidad de dinero importante" y que, por eso, es tan habitual el uso de esos números temporales que comercializan empresas "perfectamente identificadas". "En el caso concreto de estas estafas bancarias, no creo que haya sido un agujero técnico de la entidad, por el que le hayan robado datos, porque tienen todo muy compartimentado. Es más probable, en todo caso, que haya accedido una persona concreta bien en un call center u otro departamento y haya copiado datos o algo similar".

Este experto cree que del proceso de consulta debe salir una serie de medidas que empujen a las operadoras a poner fin a este asunto. "Herramientas técnicas para bloquear cosas ilícitas tienen. Ha quedado demostrado cuando han tumbado o aislado páginas de torrents y contenidos con derechos de autor", remacha, subrayando que tiene "que haber voluntad de solucionar" un problema "bastante antiguo".

De todas formas, Ramírez cree que el SMS es algo obsoleto como medida de seguridad, ya que ya hay muchas maneras de manipularlo y aprovecharse de personas incautas o despistadas. "Normativas como el SCA y el PSD2 están empujando en la buena dirección, en que todo esto se haga a través de las apps de los bancos. Es cierto que esto genera algún problema de adaptación para personas más mayores", añade.

"La carta a los Reyes Magos sería que se generalizasen esos sistemas de identificación de llamadas que algunos modelos de teléfono ya ofrecen y que marcan como spam en la pantalla cuando llama alguien desde un número reportado".