El “Phishing” y otros métodos de estafa mediante la suplantación de identidad

Jorge el Hacker
|

Las estafas y engaños para agenciarse el dinero de otro son una práctica tan vieja como la humanidad misma. Sin embargo, la llegada y masiva expansión de Internet trajo consigo el nacimiento de nuevas formas de fraude, de las que una parte de la población, especialmente aquella menos familiarizada con la red de redes, es su objetivo potencial.

Una de estas prácticas, quizás la más extendida a día de hoy, es el “Phishing”. El término, que proviene de una deformación del inglés “fishing” –pescar–, se refiere a la búsqueda por Internet de víctimas para, por medio de engaños, hacerse con determinada información de las mismas. El objetivo de esta estafa, tal y como explica el sargento primero Alberto González, jefe del Equipo de Estafas Telemáticas de la Guardia Civil de A Coruña, no es apropiarse directamente del dinero de otro, sino “recabar sus datos”. “Muchos de estos ‘phishings’, que llegan como correos electrónicos o mensajes al móvil, usurpando la identidad de una empresa hacen que creas que tienes que introducir tus datos para, por ejemplo, recibir un importe o evitar que se te congele la cuenta que tienes con esa empresa”, explica González.

Modus operandi

Los correos y mensajes de texto, apunta el sargento primero, suelen “implicar una urgencia” para que la víctima caiga en el engaño sin pensar en ello –por ejemplo dando un plazo de 24 horas– e incluyen un enlace a un formulario en apariencia legítimo donde los usuarios, creyendo que están lidiando directamente con su empresa de confianza, facilitan sus datos a los criminales. “Si ese ‘phishing’ proviene de una entidad bancaria –señala el sargento González– lo que le están pidiendo [a la víctima] son sus claves”, lo que le daría al estafador acceso a su dinero. Llegados a este punto, los delincuentes comenzarán a realizar transferencias, generalmente a una red de cuentas para dificultar el rastreo por parte de las autoridades. Este fue el caso de un vecino de Fene que la Guardia Civil hizo público hace poco más de una semana. Los criminales –cinco vecinos de Madrid y uno de Albacete–, lograron mediante engaños sustraer 3.000 euros del fenés, para, tras realizar varias transferencias para difuminar su rastro, comprar “bitcoins”.

Pese a todo, apunta el sargento primero, “no tiene por qué ser directamente de una entidad bancaria; es posible que se produzca una captación de datos para saber información personal, como tu teléfono, tu nombre y DNI, o incluso una foto del mismo”. Esto se hace, por ejemplo, “con el fin de abrir cuentas con las que blanquear dinero”. “Estos enlaces [que aparecen en los mails] sirven además como seguimiento, alertando a los estafadores de que has accedido a ellos”, señala González. “Difícilmente cualquier mensaje que implique una urgencia va a ser verdadero”, concluye.

Otra modalidades

El “Phishing” clásico, tal y como expone el sargento primero, no es la única modalidad de esta estafa. Una forma de engaño que en la actualidad está proliferando mucho, especialmente entre la población de más edad, es el “Bishing”, que se sirve de las páginas de compra-venta. En estos casos, los criminales contactan telefónicamente con la víctima en relación a un producto que esta tiene a la venta, como muebles o televisores. Así, los estafadores fingen querer comprar el producto inmediatamente, pero una vez facilitados los datos bancarios afirman que estos no funcionan y que necesitan el número de la tarjeta –incluidos los tres dígitos de seguridad del reverso– para realizar el ingreso.

Una vez tienen esta información, los delincuentes se realizan pagos a sí mismos –en general por el mismo importe que dicen que van a pagar– y piden a la víctima el código de verificación que su banco le mandará al móvil. Esta, al ver un cargo por la cantidad de dinero que va a recibir, no desconfía, creyendo que en realidad está recibiendo una transferencia, y facilita a los estafadores dicha clave, “saltándose así la doble verificación”. En este sentido, González es rotundo advirtiendo que “nunca se debe dar los datos de la tarjeta a terceros”, especialmente los dígitos de seguridad, pues “no es normal recibir importes de dinero en una tarjeta”.

Otra forma de engaño, que el jefe de Estafas Informáticas destaca consiste en la “adquisición” de un producto en las mencionadas webs de segunda mano y el pago del mismo mediante una tercera empresa que, por lo general, no existe o hace tiempo que ha dejado de operar. En estos casos, el falso comprador afirma que realizará el pago, cubriendo los gastos de envío, a través de este servicio, que retiene el dinero hasta recibir el producto. Una vez ha sido enviado por el usuario, la compañía fraudulenta le alerta de que el comprador ha ingresado una cantidad superior al coste del producto, convenciendo así a la víctima de tener que abonar la diferencia. De este modo, si el artículo cuesta 500 euros, el comprador afirma haber ingresado 1.000, obteniendo al final el objeto a la venta de forma gratuita más otros 500 euros que el vendedor cree deberle.

Consejos

Para concluir, es importante señalar una serie de consejos para evitar sufrir esta clase de estafas. En primer lugar, nunca facilitar los datos de una tarjeta de crédito a un desconocido. Ninguna empresa, especialmente entidades bancarias, va a solicitar esta clase de datos de un cliente, especialmente por correo electrónico. Del mismo modo, una compañía nunca solicitará de este modo los datos personales de un usuario y, en ningún caso, “implicará una urgencia que no se pueda solucionar en persona durante los días posteriores”.

Alberto González recuerda también que toda web legítima debe detallar, generalmente en su parte inferior, los términos y condiciones de uso. Así, en caso de sospecha, “nunca abrir un enlace” y siempre entrar en las páginas legítimas o llamar a los números de teléfono de atención al cliente para comprobar que lo que pone en esos correos o mensajes es legítimo. l

El “Phishing” y otros métodos de estafa mediante la suplantación de identidad