"DOBLE LLAMADA"

Alerta por la nueva estafa para robar datos de cuentas bancarias

El último informe de Defensa Digital anual de Microsoft advirtió que mientras los ciberataques y estafas virtuales cayeron en Estados Unidos y Europa, en América Latina están en franco aumento.

El famoso "cuento del tío" se acomodó a los nuevos tiempo y ya es 100% digital. Los ciberataques se perfeccionan cada vez más y apenas una "técnica" de estafa no funciona más ya hay una nueva buscando nuevas víctimas.

La última que se conoció es la denominada "doble llamada" que combina dos estafas ya conocidas el smishing y el vishing.

El smishing consiste en el envío de un SMS haciéndose pasar por una entidad legítima, como un banco, una institución o una red social, con el objetivo de robar información confidencial o realizar un cargo económico. Generalmente estos mensajes incluyen un enlace a un sitio web falso o invitan a llamar a un número de tarificación especial.

El vishing, por otro lado, es un método de estafa que consiste en realizar una llamada durante la cual el estafador se hace pasar por una empresa, persona de confianza u organización. Durante la conversación, los estafadores tratan de obtener información personal y sensible de la víctima.

Ahora los estafadores perfeccionaron su técnica y ahora apelan a la “doble llamada”

¿Cómo funciona la estafa?

A diferencia de otro tipo de estafas, esta nueva técnica requiere dos llamadas telefónicas.

Suele ser frecuente que la víctima reciba un SMS supuestamente enviado por su entidad bancaria o una empresa de reparto. En el mensaje, le informan de cambios en la entrega del paquete o movimientos extraños en su cuenta, instándole a acceder a un enlace para modificar las claves de acceso por motivos de seguridad.

Minutos después, la víctima recibe una llamada telefónica en la que se hacen pasar por la entidad y le piden sus claves de acceso a la banca online para cancelar las tarjetas.

Después, la víctima accede al sitio web del banco desde el navegador, donde verá un cuadro emergente en el que una vez más le piden las claves de acceso. En ese momento recibe un SMS con las claves, que realmente son las claves de confirmación para la operación fraudulenta.

Con esta técnica de ingeniería social obtienen datos sensibles y el control de las cuentas bancarias de sus víctimas.

Cuando suplantan a empresas de paquetería, algo muy frecuente, el ciberataque se lleva a cabo a través de un SMS en el que solicitan completar la dirección de entrega del paquete. Este tipo de mensajes siempre incluyen un enlace para instalar aplicaciones apk que aparentan ser las oficiales de las entidades a las que suplantan.

Cuando la víctima acepta la descarga, además de la aplicación también se instalará en el dispositivo un software de acceso remoto que solicitará recibir, leer y modificar SMS.

El contenido de los mensajes suele ser similar al siguiente: "A partir de (fecha) no podrá utilizar su cuenta. Tiene que verificarse en el sistema desde el siguiente enlace...", "Un equipo no autorizado está conectado a su cuenta online. Si no lo reconoce, verifique en el siguiente enlace" o "Su cuenta o tarjeta bancaria quedó temporalmente bloqueada".

Si los clientes acceden al enlace e introducen las claves de acceso que solicita la supuesta entidad, deberán ponerse en contacto rápidamente con su banco para bloquear todo tipo de operaciones y modificar la contraseña de acceso a la banca online.

En todos los casos de ciberestafa se recibe un link - una línea subrayada y el texto en azul - con el pretexto de solucionar un problema ficticio. Los datos que suelen solicitar los ciberdelincuentes son: número de cuenta bancaria, nombre y apellidos, DNI, claves de home banking, numeración, fecha de caducidad y código CVV de tarjetas de crédito o débito.