Alarma ante el 'spoofing': El ciberataque que puede llegar a vaciar la cuenta bancaria

Las ciberestafas son una modalidad delictiva cada vez más integrada en la vida cotidiana. Y es que en los últimos años han surgido diversas tendencias de estafa que se han ido adaptando a las plataformas y a los hábitos de consumo de las personas. Así mismo, también se han puesto en marcha mecanismos para identificar estos delitos y protegerse de ellos. Entre los más habituales, el phising, el smishing o el bluesnarfing, y el spoofing.

Este último es el más habitual en las ciberestafas. Como explica Panda Security, una empresa española especializada en la creación de soluciones de seguridad informática, el spoofing, también conocido como suplantación de identidad, es un ciberataque que se produce cuando un estafador se hace pasar por un remitente de confianza para acceder a datos personales o información privada importante.

De este modo, el spoofing puede producirse a través de sitios web, correos electrónicos, llamadas telefónicas, textos, direcciones IP y servidores. El objetivo principal de los delincuentes que lo llevan a cabo es suplantar la identidad de algún organismo o persona de confianza para acceder a información personal y sustraer alguna cantidad de dinero, saltarse los controles de acceso a una red o propagar malware a través de archivos adjuntos o enlaces infectados.

El spoofing puede producirse a través de sitios web, correos electrónicos, llamadas telefónicas, textos, etc.

El término inglés spoof hace referencia a cualquier forma de engaño. Sin embargo, hoy en día se utiliza de manera generalizada en el sector de la ciberdelincuencia para describir los intentos de un estafador de disfrazar su identidad con otra. Por su parte, la Oficina Española de Seguridad del Internauta (OSI) lo define como el conjunto de "técnicas de hacking utilizadas de forma maliciosa para suplantar la identidad de una web, entidad o una persona en la red, con el objetivo de obtener información privada sobre nosotros".

El spoofing cuenta con una gran base de ingeniería social, es decir, para que los estafadores consigan engañar a la víctima, utilizan la manipulación de las características humanas más vulnerables, tales como la codicia, el miedo ante un peligro inminente, el desconocimiento o la ingenuidad. Una vez conseguida la confianza del usuario, se procede a pedirle que realice movimientos bancarios, telefónicos o en sus cuentas personales de mensajería, lo que pone en peligro su privacidad y sus datos.

Estafa del "hijo en apuros"

Este tipo de ingeniería social se produce cuando el estafador apela a los sentimientos familiares y al de miedo de la víctima. Un ejemplo de ello son la estafa del "hijo en apuros" o de los "nietos en apuros", que se producen cuando un estafador se hace pasar por un miembro de la familia y afirma que está en una situación peligrosa y necesita dinero lo antes posible.

En estos casos, los estafadores suelen dirigirse a la población más mayor, debido a la idea preconcebida de que tienen menos conocimientos sobre tecnología. Estos delitos son muy frecuentes en la actualidad, y es que el pasado mes la Guardia Civil y la Ertzaintza detuvieron a seis personas y procedieron con la investigación de otras cuatro que conformaban una red criminal dedicada a estafar a centenares de víctimas por todo el territorio nacional por este método.

Los ciberdelincuentes contaban con un sistema de envío masivo capaz de mandar unos 8.000 mensajes de texto diarios. En los registros realizados en las provincias de Madrid y Guadalajara se encontraron 350 módulos de telefonía, 800 tarjetas SIM de distintas operadoras, cinco dispositivos inalámbricos de telecomunicación, cinco ordenadores y siete discos duros, como indicó la Guardia Civil.

Los delincuentes contaban con un sistema que enviaba unos 8.000 mensajes de texto diarios / Foto: Guardia Civil.

El origen de la operación, conocida con el nombre “Rosbunk”, fue una denuncia interpuesta en una localidad de la provincia de Ávila por valor de 11.000 euros. Su modus operandi consistía en enviar a las víctimas varios mensajes de texto a su dispositivo móvil con números desconocidos. En ellos alguien que afirma ser su hijo explica que se ha quedado sin teléfono móvil, que se encuentra en apuros y necesita de forma urgente una transferencia económica para volver a casa.

A través del número desde donde recibe el mensaje, el estafador logra convencer a la víctima para que acceda a realizar transferencias bancarias. En el caso la denuncia en Ávila, la víctima transfirió un total de 11.000 euros a tres cuentas distintas y envíos de dinero por un sistema de pagos rápidos e instantáneos.

Las víctimas realizaban las transferencias a terceras personas, denominadas "mulas", que dificultaban el rastreo de dinero. Estas se quedaban con una pequeña cantidad ya pactada y el dinero restante se lo entregaban a los líderes. Estos invertían parte de lo estafado en criptomonedas, con el fin de eludir el control bancario.

¿Qué hacer en caso de estafa?

Para evitar posibles estafas, la Policía Nacional siempre recomienda que se verifique la legitimidad del mensaje o la llamada a través de los propios canales oficiales de las empresas, que no se faciliten los datos personales, y que se revisen los enlaces antes de usarlos.

Es recomendable desconfiar de mensajes que te solicitan reaccionar de inmediato. Así mismo, ninguna institución financiera o estatal te enviará mensajes de texto o correos electrónicos pidiéndote datos con un simple enlace o por medio de fotografías.

Es recomendable desconfiar de mensajes que te solicitan reaccionar de inmediato.

Por su parte, la Oficina de de Seguridad del Internauta explica que en caso de haber recibido el mensaje fraudulento, pero no haber facilitado ninguna información, este se debe marcar como spam y borrar de la bandeja de entrada.

Sin embargo, si se han introducido o enviado datos personales por algún canal, es necesario recopilar las evidencias del fraude (correos y capturas de pantalla del proceso); ponerse en contacto con las Fuerzas y Cuerpos de Seguridad del Estado, aportando las evidencias, y denunciar los hechos.

Es importante desconfiar de correos electrónicos, mensajes SMS y llamadas que no aporten las pruebas suficientes de veracidad ya que, sobre todo en la actualidad, la ciberdelincuencia supone una amenaza activa y muy frecuente que puede acarrear desde pequeños quebraderos de cabeza a auténticos robos de datos personales y grandes sumas de dinero.