"Doble llamada", la nueva estafa que te vacía tu cuenta bancaria

El popular "cuento del tío" se modifica constantemente para poder perjudicarte. En el último tiempo, los ciberataques funcionan tan bien que te vacían casi de inmediato tus cuentas bancarias. La última, conocida como "doble llamada", combina dos estafas ya conocidas el smishing y el vishingy te dejan sin dinero y adeudado. Así funcionan. 

El smishing consiste en el envío de un SMS haciéndose pasar por una entidad legítima, como un banco, una institución o una red social, con el objetivo de robar información confidencial o realizar un cargo económico. Generalmente estos mensajes incluyen un enlace a un sitio web falso o invitan a llamar a un número de tarificación especial.

El vishing, por otro lado, es un método de estafa que consiste en realizar una llamada durante la cual el estafador se hace pasar por una empresa, persona de confianza u organización. Durante la conversación, los estafadores tratan de obtener información personal y sensible de la víctima.

Suele ser frecuente que la víctima reciba un SMS supuestamente enviado por su entidad bancaria o una empresa de reparto. En el mensaje, le informan de cambios en la entrega del paquete o movimientos extraños en su cuenta, instándole a acceder a un enlace para modificar las claves de acceso por motivos de seguridad.

Minutos después, la víctima recibe una llamada telefónica en la que se hacen pasar por la entidad y le piden sus claves de acceso a la banca online para cancelar las tarjetas.

Después, la víctima accede al sitio web del banco desde el navegador, donde verá un cuadro emergente en el que una vez más le piden las claves de acceso. En ese momento recibe un SMS con las claves, que realmente son las claves de confirmación para la operación fraudulenta.

Con esta técnica de ingeniería social obtienen datos sensibles y el control de las cuentas bancarias de sus víctimas.

Cuando suplantan a empresas de paquetería, algo muy frecuente, el ciberataque se lleva a cabo a través de un SMS en el que solicitan completar la dirección de entrega del paquete. Este tipo de mensajes siempre incluyen un enlace para instalar aplicaciones apk que aparentan ser las oficiales de las entidades a las que suplantan.

Cuando la víctima acepta la descarga, además de la aplicación también se instalará en el dispositivo un software de acceso remoto que solicitará recibir, leer y modificar SMS.

El contenido de los mensajes suele ser similar al siguiente: "A partir de (fecha) no podrá utilizar su cuenta. Tiene que verificarse en el sistema desde el siguiente enlace...", "Un equipo no autorizado está conectado a su cuenta online. Si no lo reconoce, verifique en el siguiente enlace" o "Su cuenta o tarjeta bancaria quedó temporalmente bloqueada".

Si los clientes acceden al enlace e introducen las claves de acceso que solicita la supuesta entidad, deberán ponerse en contacto rápidamente con su banco para bloquear todo tipo de operaciones y modificar la contraseña de acceso a la banca online.

En todos los casos de ciberestafa se recibe un link - una línea subrayada y el texto en azul - con el pretexto de solucionar un problema ficticio. Los datos que suelen solicitar los ciberdelincuentes son: número de cuenta bancaria, nombre y apellidos, DNI, claves de home banking, numeración, fecha de caducidad y código CVV de tarjetas de crédito o débito.