Estas son las técnicas más comunes para estafar a través del teléfono móvil

Cuando la madre de Ana miró la pantalla de su teléfono móvil, leyó un mensaje de texto breve, directo. En el SMS, procedente de su banco, podía leer: “A partir de este día, no podrá utilizar su tarjeta bancaria debido a cambios en la política de seguridad. Acceda al siguiente link para proceder con la activación”. Tras pulsarlo, fue redirigida a una web falsa que simulaba ser la propia página de la entidad financiera. Confiada, introdujo todas sus credenciales personales.

Era un fraude. Y el ciberdelincuente, con esas claves robadas, tuvo tiempo de vaciar por completo la cuenta en la que la víctima ingresaba los ahorros con los que pensaba pagar la universidad de su hija. Para evitar que le pudieran rastrear, el estafador derivó el dinero a cuentas monedero de criptomonedas controladas por la organización criminal.

Esta historia real es uno de los cientos de casos que cada año atienden en el Instituto Nacional de Ciberseguridad (Incibe). Estafas cada vez más frecuentes que llegan a través de los teléfonos móviles en forma de SMS, a través de correos electrónicos o en aplicaciones de mensajería instantánea como WhatsApp. Solo en 2022, Incibe gestionó casi 120.000 incidentes relacionados con estos fraudes, un 9 % más que el año anterior.

El propio Centro Nacional de Inteligencia (CNI) reconoce que los dispositivos móviles y las aplicaciones son herramientas propicias para que se extiendan estos ataques, cada vez más complejos y sofisticados, que afectan a todos los sistemas operativos. Nadie está a salvo de caer en la trampa, porque los ciberataques pueden afectar desde instituciones oficiales a grandes corporaciones, pymes y, por supuesto, a cualquier internauta.

Por norma general, los ciberdelincuentes quieren conseguir el mayor número de víctimas, con la menor inversión posible. Para ello, recurren a métodos de ingeniería social. Este concepto se basa en una realidad: es más fácil manejar a las personas que a las máquinas.

Para llevar a cabo estas agresiones, utilizan técnicas de manipulación psicológica con el objetivo de conseguir que los usuarios revelen información confidencial o realicen cualquier tipo de acción que pueda beneficiar al agresor. “Se hacen pasar por alguien amable, digno de confianza o con autoridad y engañan a las personas para que confíen en ellos”, lamenta el portavoz de la asociación Pantallas Amigas, Rubén Domínguez.

Y los teléfonos son el medio más efectivo para llegar hasta las víctimas. “En los móviles consultamos el correo electrónico, navegamos por Internet, consultamos las redes sociales, nos comunicamos diariamente… Los delincuentes lo saben y se adaptan a esta nueva realidad”, explica el inspector jefe de la Unidad Central de Ciberdelincuencia de la Policía Nacional, Diego Alejandro.

Los agresores recurren a varios métodos para acceder a los smartphones. “Compran bases de datos que contienen información personal de usuarios, como los números de sus móviles, e-mails, direcciones postales… Además, cuando un servicio web sufre una brecha de seguridad, los datos de sus clientes quedan expuestos y los ciberdelincuentes pueden acceder a ellos”, advierte Domínguez.

Para cometer los delitos, los estafadores han desplegado una larga lista de técnicas fraudulentas que envían a las potenciales víctimas a través de las terminales móviles.

El phishing una de las técnicas más conocidas. Para perpetrar el ataque, suplantan una entidad legítima a través de un correo electrónico —se hacen pasar por un banco, una empresa, un servicio técnico, un organismo público…— y lanzan un anzuelo para lograr su meta.

La trampa tiene forma de mensaje de carácter urgente o atractivo. El objetivo es que, al leerlo, la víctima no tenga tiempo de aplicar el sentido común y pinche el enlace.

Una variante de la estafa anterior y muy habitual en estos últimos tiempos es el smishing. En este caso, el delincuente ejecuta el fraude a través del envío de SMS. Para ello, se suele hacer pasar por alguna entidad financiera u organismo público y lanza mensajes en tono de alerta: “Hemos identificado movimientos sospechosos en su cuenta, acceda aquí para revisar si lo ha realizado”, “se ha realizado un cargo en su cuenta, compruébelo en este enlace”…

“La banca ha lanzado campañas para avisar a sus clientes de estas amenazas. Les recuerdan que el banco jamás va a pedir claves o datos personales a través de un SMS, que nunca envía enlaces ni solicita información con llamadas telefónicas”, apunta Ruth García, técnico en Ciberseguridad del Incibe.

En otras ocasiones, el delincuente suplanta la identidad de un proveedor de servicios —la compañía de la luz, el gas o de telecomunicaciones, por ejemplo—, de un organismo público —como la Seguridad Social o la Agencia Tributaria— o de una entidad financiera mediante una llamada telefónica, con el fin de sonsacar información privada y sensible de la víctima.

El modus operandi suele seguir un mismo patrón. Por ejemplo, el ciberdelincuente se hace pasar por trabajador del servicio de Atención al Ciudadano para obtener datos personales o bancarios. “Incluso pueden manipular el CLI [call line identification], que es el número de teléfono que aparece en nuestra pantalla, a través de diversos softwares especializados. Así, nos hacen creer que realmente nos llaman de nuestro banco”, advierte Diego Alejandro.

Aunque parezca mentira, incluso pueden robarnos credenciales y contraseñas, contactos, códigos de desbloqueo —como el número PIN— y datos bancarios en situaciones tan cotidianas como un desplazamiento en transporte público, al utilizar un cajero automático o cuando mantenemos una conversación por teléfono en la calle. En eso consiste la técnica de shoulder surfing: mirar por encima del hombro de alguien que consulta su móvil para conseguir información.

En este caso, se promete un beneficio (por lo general, en forma de regalo, dinero o acceso gratuito a plataformas de descuentos) a cambio de información personal. “Son los típicos sorteos gratuitos que nos llegan al teléfono para ganar premios muy tentadores o para acceder a cupones con descuentos. La gente cree que participa en este tipo de rifas y rellena una encuesta. Esa información privada que ha facilitado se utiliza para luego cometer un fraude”, confirma Ruth García.

Otras trampas son algo más sofisticadas. Ocurre con el pharming. Los agresores redireccionan al usuario a webs fraudulentas mediante un malware que contiene un código malicioso.

O el baiting: mediante el uso de un cebo, los atacantes consiguen que la víctima infecte su equipo informático o que comparta sin saberlo información personal a través de un malware. El medio más utilizado son los dispositivos USB infectados que los delincuentes dejan abandonados en sitios estratégicos, como lugares públicos con mucha afluencia de personas, como aparcamientos, hospitales, centros comerciales, entre otros.