Las formas de spoofing (suplantación de identidad) son tantas y tan cambiantes que casi no da tiempo a aprenderse sus nombres y mucho menos sus significados: phising, vishing, smishing...Comienzan con un mensaje de texto, un correo electrónico o una llamada. En todos los casos, los cibercriminales emplean técnicas de maquillaje para crear un número de ilusionismo. ¿Quién no ha recibido aún un mensaje del banco notificando alguna incidencia? Pues bien, el inspector jefe de la Sección de Ciberdelincuencia de la Comisaría Provincial de Policía Nacional, Andrés Román, alerta de que toda nota de este tipo que lleve un enlace "es un timo".

"Estimado cliente. Hemos limitado la cuenta por un acceso inusual. Verifica tus datos con urgencia". "Se ha realizado un cargo de 1.055 euros en su cuenta. Si no reconoce esta actividad, verifique inmediatamente". A continuación, un link. En estos mensajes aparece como remitente la entidad bancaria de la víctima, a pesar de que no lo es; también se cuelan entre SMS veraces recibidos previamente. El inspector jefe Román explica que "el delincuente tiene la capacidad de aparecer en la pantalla, en el mensaje o en el email como quiere. Eso lo que la mayoría de gente desconoce".

Así son los mensajes fraudulentos que simulan ser del banco.

Pero, ¿qué se encuentra el usuario que click en el enlace fake? El responsable de la Sección de Ciberdelincuencia advierte de que encuentra una página web que simula ser la oficial de la entidad bancaria. Una vez dentro, se solicitan datos personales o financieros de la víctima. "Piden el usuario y la clave". En este punto, los delincuentes están tan solo a un paso de desvalijar la cuenta de su víctima con una llamada.

"Hola, le llamo de su banco, hemos detectado movimientos sospechosos". Al comprobar el número de teléfono, el cliente confía, se corresponde con el de su entidad. El supuesto operador, que se identifica como un trabajador de la sucursal, al otro lado de la línea, alerta de un peligro inexistente. La víctima, apurada y sin capacidad de reflexión ni comprobación, facilita más datos personas, incluida la firma digital. En apenas unos minutos, los ciberdelincuentes se han hecho con su botín. 

Con esta técnica, una banda que operaba también desde Málaga -entre otras muchas ciudades del territorio español- consiguió engañar a 45 personas a las que causaron un perjuicio económico de 75.000 euros. Tras un análisis técnico -llevado a cabo por la Policía Nacional- de las páginas web falsas, se pudo detectar que el código fuente con el que estaban creadas había dejado un rastro que indicaba que todos los ataques procedían de una única fuente, que a su vez lo compartía con los miembros de la misma organización para que los utilizaran a modo de gancho.

También se averiguó que el capital obtenido por medio de las estafas digitales era gestionado por todos los implicados al canalizarlo a través de empresas de intercambio de dinero Fiat y criptomonedas, así como a Neobancos y Challenger Banks.

Cada uno de los miembros tenía asignada una función dentro de la red criminal, y el eslabón mas bajo era la figura conocida en el argot policial como "mula", personas reclutadas a través de los captadores para que se encarguen de recibir el dinero sustraído a través de sus cuentas bancarias o bien facilitando sus datos a terceros, ayudando a los estafadores a ocultar su identidad y a mover dinero robado de una cuenta a otra. 

Consejos para evitar el fraude

El perfil de las víctimas no sigue un patrón definido, ya que las víctimas varían mucho entre sí en relación a la edad, sexo, ámbito geográfico… Las recomendaciones ofrecidas por la Policía son las siguientes: no acceder a ningún supuesto enlace remitido por entidades financieras y, menos aún, introducir datos personales como clave y contraseña en webs y enlace de extraña procedencia; en caso de duda, contactar directamente con la entidad bancaria.

También recomiendan que se contacte con la sucursal de confianza donde podrán comprobar los hechos, asesorarle y dar aviso a la policía en caso de estafa. Su entidad bancaria nunca le solicitará por teléfono, SMS o email sus datos de acceso a la banca digital.