El timo del iPhone nuevo: así funciona la estafa que suplanta a las operadoras para cambiar de móvil
El primer objetivo de los ciberdelincuentes al lanzar una estafa es ganarse la confianza de la víctima, para lo que pueden recurrir a múltiples artimañas. La más habitual es la sensación de urgencia: una multa sin pagar que va a subir de precio, el último día para recoger un paquete, una alerta del banco sobre problemas en la cuenta. La necesidad de actuar rápido sirve para que su objetivo baje sus defensas, pero no es el único método para conseguirlo. Un objeto de deseo, como un iPhone nuevo, también puede hacer esa función.
Varias bandas de ciberdelincuentes están utilizando actualmente este gancho para sus estafas. Recurren a diversos modus operandi y en algunas variantes del timo los dispositivos llegan incluso a ser recibidos por las víctimas, pero la operación siempre acaba en robo, ya sea del teléfono o en la cuenta bancaria.
Lo que tienen en común es la suplantación de la operadora y la utilización de bases de datos filtradas en ciberataques, cuya información utilizan para personalizar la estafa. “Roban tus datos a la compañía y lo saben todo de ti. Te llaman por teléfono haciéndose pasar por la operadora, te leen tu contrato, te piden que confirmes tus datos para darle mayor verosimilitud, y al final lo que hacen es pedirte autorización para hacer un cargo”, explica Rafa López, experto en ciberseguridad.
Aquí es donde las estrategias de los diferentes grupos se bifurcan. En algunos casos, ese cargo es directamente fraudulento. Suele ser de pequeña cuantía para intentar que la víctima no se dé cuenta de que es un cobro irregular y no llamar la atención de los sistemas de seguridad del banco. Pero es el primero de muchos, que se van repitiendo y subiendo su importe hasta que la persona estafada o la entidad saltan las alarmas, según ha podido comprobar este medio.
Cargos fraudulentos realizados en la tarjeta de una de las víctimas del timo.
Este es uno de los casos que analiza López. El rastreo de los cargos ha llevado al experto hasta una supuesta tienda de telefonía localizada en las afueras de Lima, Perú.
El país latinoamericano es origen de algunas de las campañas de estafas más activas en España en los últimos tiempos. En diciembre, la Policía Nacional anunció la desarticulación de un grupo altamente profesionalizado que operaba tres call center desde los que lanzaban ataques como el del falso agente bancario. Hubo más de 80 detenidos entre las operaciones de ambos países.
“En Perú se encontraba también el líder de la organización, que tenía bajo su mando a tres personas que controlaban cada uno de los centros de llamadas. Estos contaban con carteles de frases motivacionales para animar a los empleados, llegando a celebrar las primeras estafas de los trabajadores de reciente incorporación”, detallaron los agentes.
Cuando el iPhone sí llega
El ejemplo anterior sigue los patrones típicos del phishing, las suplantaciones de identidad a una empresa o institución reconocida para averiguar datos bancarios o distribuir software malicioso. Sin embargo, una de las variantes del timo es algo más elaborada e incluye la adquisición del propio teléfono y su envío a la víctima.
De esta variante ha tenido noticia el Instituto Nacional de Ciberseguridad (Incibe) a través del 017, su teléfono gratuito para consultas sobre protección informática. “En este caso la llamada la recibió una persona con cinco líneas de teléfono. Al principio le contactaron para, supuestamente, mejorarle las condiciones. Días más tarde le volvieron a contactar para ofrecerle dos iPhone, y ahí ya sí aceptó”, relata a elDiario.es Ángela García Valdés, técnico del 017.
Al aceptar, los ciberdelincuentes preguntaron por los números de la tarjeta y le pidieron que transmitiera “un código de verificación” que le había llegado al teléfono por SMS. Era una trampa, puesto que se trataba del sistema antifraude del banco que sirve para acreditar que la persona que está realizando la compra es realmente la propietaria de la cuenta. Los atacantes estaban comprando los teléfonos en su nombre.
“Como él había aceptado la oferta, que no la compra, cuando los recibe en su casa no sospecha nada”, continúa García Valdés. “Pero en seguida le volvieron a llamar para explicarle que había habido un problema y que debía devolver los terminales. Incluso le enviaron una empresa de paquetería para que fuera a por ellos”.
En este caso la estrategia concluye con un robo, ya que cuando la víctima se pone en contacto con la operadora para preguntar por el reemplazo del teléfono, descubre que en realidad nunca hubo tal contacto con la compañía y se trató de una simple compra. Rafa López avisa de que también ha tenido noticias de este tipo de operación, que fructifican gracias que los ciberdelincuentes “te dan un montón de datos sobre ti que te hacen confiar, provenientes de robos de bases de datos de las compañías”.
Como método para evitar este tipo de ataques, la especialista del Incibe recomienda “ponerse en contacto y llamar a la compañía mediante sus teléfonos oficiales”, especialmente “ante las ofertas especialmente llamativas o que se salgan de lo habitual del mercado”. Es decir, no confiar en comunicaciones establecidas por terceros, ya que podrían tratarse de suplantaciones.
En este sentido, el Gobierno ha aprobado una nueva regulación para combatir las estafas telefónicas que obligará a las operadoras a bloquear llamadas y SMS provenientes de números no asignados en el Plan Nacional de Numeración, esto es, números “sin nadie detrás”, así como los números nacionales falsificados. Además, se prohibirán las llamadas comerciales desde números de teléfono móvil, permitiendo únicamente el uso de números con prefijos 800, 900 o geográficos nacionales para este tipo de comunicaciones. También se creará un registro gestionado por la Comisión Nacional de los Mercados y la Competencia (CNMC) para controlar los códigos alfanuméricos utilizados en los SMS enviados por organismos y empresas, con el objetivo de evitar fraudes mediante mensajes falsos.
2