Aumentan estafas telefónicas: Del fraude de los seis dígitos a la grabación de llamadas

En las últimas semanas, la Jefatura Superior de Policía de La Rioja ha alertado sobre una estafa que suplanta a organismos del Estado para hacerse con datos personales de las víctimas e infectar sus dispositivos. Los ciberatacantes llevaban a cabo este fraude por medio de dos vías, ambas relacionadas con una supuesta dosis de refuerzo de la vacuna del coronavirus: mediante correos electrónicos y a través de llamadas telefónicas.

En el primero de los casos, los delincuentes enviaban mensajes por correo desde una dirección web fraudulenta, aunque similar a la página oficial del Ministerio de Sanidad. Dentro del texto se informaba a los usuarios que habían sido elegidos para recibir una dosis más de la vacuna del covid-19, bajo el asunto “¡Tenemos un anuncio urgente sobre la dosis extra de vacuna!”.

Los delincuentes se hacían pasar por organismos estatales que ofrecían una dosis de la vacuna.

Además, se anunciaba a los receptores del correo que podrían elegir entre las diferentes marcas de vacunas disponibles para recibir la suya. Este mensaje redirigía a las víctimas a la descarga de un archivo malicioso que podría infectar el dispositivo utilizado.

El segundo método para llevar a cabo la estafa consistía en una llamada telefónica que simulaba proceder de una oficina de Seguridad Social ofreciendo también una dosis de refuerzo de la vacuna. Es este caso, los estafadores aportaban datos personales de la víctima, para conseguir que confiara en que el proceso era legítimo y creíble.

A través de la llamada, los delincuentes explicaban a la víctima que tendría que recibir un código de verificación en su teléfono para comprobar la reserva para la dosis de refuerzo. Una vez el usuario desvelaba el código a los estafadores, estos se hacían con el control de la aplicación móvil WhatsApp de la víctimas.

Los ciberdelincuentes secuestran las cuentas de WhatsApp de sus víctimas.

Este proceso de estafa recibe el nombre de “estafa de los seis dígitos” y puede darse de diversas maneras. El código de seis dígitos que buscan los estafadores es el que envía WhatsApp a los usuarios que desean traspasar su cuenta a un nuevo dispositivo electrónico.

De este modo, el ciberdelincuente solicita recibir este código en el número de teléfono de la víctima y le pide a esta que se lo repita haciéndose pasar por una institución pública o por uno de sus contactos, que previamente haya caído en este fraude. Y es que la estafa resulta todavía más creíble cuando se trata de una cadena de contactos cercanos que van arrastrando a otros: “Hola. Lo siento, te envié un código de 6 dígitos por SMS por error, ¿me lo puedes pasar? Es urgente”.

Recibes un whatsapp en el que un contacto de tu agenda te dice que por error te ha mandado un código de 6 dígitos por sms y que si se lo puede pasar urgentemente...🤔

🧐¡¡Cuidado!! Seguramente se trata una nueva modalidad de estafa . Te explicamos 👇 pic.twitter.com/2v70RoR6PF

— Guardia Civil (@guardiacivil) November 19, 2023

“Alguna de las personas que tenemos en la agenda de nuestro teléfono, a la que previamente le han secuestrado su WhatsApp, nos enviará un mensaje solicitando 6 dígitos de verificación”, indica la Policía Nacional en un comunicado. De manera que si trasladamos esos dígitos para verificar la cuenta, “habremos perdido nuestra cuenta”.

El Instituto Nacional de Ciberseguridad (INCIBE) alerta de que, en algunos casos, los delincuentes intentan sobornar a la víctima, ofreciéndole recuperar su cuenta a cambio de una “pago económico”. Y es que, en momentos de preocupación, es posible caer en la trampa para intentar recuperar los datos privados a toda costa.

Resulta de gran importancia ignorar mensajes y llamadas de dudosa procedencia, que insistan en llevar a cabo acciones de manera urgente o que soliciten información personal.

Estafa de la respuesta afirmativa

Otra estafa telefónica muy habitual es la conocida como “fraude del sí”. Como ya alertó (INCIBE) es recomendable no contestar “sí” cuando se recibe una llamada. Y es que esta palabra puede acarrear grandes problemas al hacer al usuario vulnerable ante los ciberdelincuentes.

¿Conoces el #fraude del "sí" al contestar por teléfono ☎️? Antes de responder así en la próxima llamada 📞, toma nota 📝 de los consejos que te damos desde @osiseguridad.

➡️ Más detalles: https://t.co/zBbXzPPFeO#ProtecciónDigital pic.twitter.com/YWNGBjFNXX

— INCIBE (@INCIBE) September 20, 2023

Como señala la institución, al descolgar el teléfono es probable que los delincuentes estén grabando la conversación, pudiendo usar esa pista con nuestra voz para fines maliciosos. Esa afirmación puede emplearse para autorizar transacciones financieras, contratos o para falsificar nuestra identidad. De este modo, la grabación también puede manipularse y utilizarse en contextos en los que se dañe nuestra reputación o se nos sitúe en escenarios comprometidos.

Tras haber conseguido el “sí”, es frecuente que los estafadores cuelguen. Sin embargo, en caso de no haber conseguido su objetivo en un primer momento, pueden comenzar una conversación con preguntas como “¿está usted autorizando transacciones en este momento?” o “¿está de acuerdo con recibir actualizaciones de nuestros servicios?” para buscar una afirmación.

Qué hacer en caso de estafa

Para evitar posibles estafas, la Policía Nacional siempre recomienda que se verifique la legitimidad del mensaje a través de los propios canales oficiales de las empresas, que no se faciliten los datos bancarios y personales, y que se revisen los enlaces antes de usarlos. Es recomendable desconfiar de ofertas que te solicitan reaccionar de inmediato. Así mismo, ninguna institución financiera o estatal te enviará mensajes de texto pidiéndote datos con un simple enlace.

En caso de creer que el mensaje puede ser verdadero y que proviene, por ejemplo, de su banco o de la Seguridad Social, debe entrar al sitio web de la institución escribiendo la dirección directamente en la barra del navegador, para evitar hacerlo en alguna página web realizada por el atacante.

Por su parte, la Oficina de de Seguridad del Internauta explica que en caso de haber recibido el correo mencionado, pero no haber facilitado ninguna información, este se debe marcar como spam y borrar de la bandeja de entrada.

Sin embargo, si se han introducido los datos personales o de la tarjeta de crédito en el formulario del enlace o si se han aportado datos en una llamada telefónica, es necesario ponerse en contacto con la entidad bancaria implicada para exponer la situación y tomar las medidas necesarias, como la cancelación de la tarjeta introducida.

Otras pautas que la OSI recomienda seguir son revisar regularmente los movimientos de la cuenta para cancelar posibles cargos no autorizados; recopilar las evidencias del fraude (correos y capturas de pantalla del proceso); ponerse en contacto con las Fuerzas y Cuerpos de Seguridad del Estado, aportando las evidencias, y denunciar los hechos, o realizar egosurfing para comprobar si se han expuesto tus datos personales o bancarios y solicitar su eliminación por medio de la supresión al olvido, siguiendo el proceso que proporciona la Agencia Española de Protección de Datos (AEPD).

Es importante desconfiar de correos electrónicos y mensajes SMS que parezcan fraudulentos ya que, sobre todo en la actualidad, suponen una amenaza activa y abundante que puede acarrear desde pequeños quebraderos de cabeza a auténticos robos de datos personales.