“Nos hemos quedado sin ahorros” escribió Miguel Ángel Sánchez en su cuenta de X. “Cuento esto públicamente, por si alguien ha pasado por lo mismo y por si sirve para que @ING_es asuma su gran parte de culpa”, continúa la publicación en la red social.
El problema comenzó cuando Sánchez recibió una llamada de un supuesto empleado de su banco, el ING, informándole que estaba sufriendo una brecha de seguridad. Le proporcionó algunos datos personales, detalló que alguien había accedido a su cuenta desde un iPhone 7 en Cádiz y que su dinero peligraba. Lo siguiente fue darle algunos consejos de seguridad y le recomendó que asistiera a alguna sucursal del banco o moviera su dinero de manera telefónica a una cuenta segura para preservarlo de esos teóricos delincuentes.
Con más o menos detalles, la mayoría de las personas saben que este tipo de estafas suceden, y la sospecha de que se tratara de un engaño apareció. La víctima le preguntó al delincuente cómo podía asegurarse de que quien lo llamaba era efectivamente un empleado del banco ING, pero la estrategia estaba muy bien planeada. El interlocutor le aseguró que podía colgar e ir a una oficina o llamar nuevamente al mismo teléfono, que podía confirmar que coincidía con el oficial del banco. Efectivamente, Sánchez buscó en Internet y encontró que ese número correspondía a una sucursal de ING que se encuentra en la calle O'Donnel de Madrid. “Desde ese momento no dudé”, dijo la víctima.
Sánchez no tenía una oficina cercana, y ante la urgencia de proteger el dinero intentó enviarlo a la cuenta de su pareja, pero, audazmente, “el estafador (con acento español) me comentó que seguramente las cuentas de las personas a las que habitualmente hago transferencias podían estar también en peligro. Está muy bien montado”, relató en su perfil de X. Y lo convenció de transferirlo a una cuenta “segura” durante la resolución de la incidencia.
Así, la víctima terminó enviando todo su dinero. “Realicé una serie de transferencias a una supuesta cuenta segura de ING para proteger mi dinero. Para realizarlas, me llegaron SMS desde un teléfono de ING, con el número de cuenta y un código de seguridad. En 25 minutos lo habíamos perdido todo”.
Tras esperar una llamada de vuelta que no llegó, Sánchez se comunicó nuevamente con el mismo teléfono, y esta vez sí lo atendió un trabajador de ING, quien le informó que había sido estafado. El impacto fue doble, ya que después de enterarse de que le habían robado todo su dinero, el empleado le indicó que desde el banco “no se responsabilizan de que alguien esté usando su número de teléfono para engañar a los usuarios”.
Miguel Ángel Sánchez le dijo a Xataka que, una vez que el caso se hizo conocido, desde ING volvieron a comunicarse con él en mejores términos, pero aún no le han dado una solución ni logró recuperar el dinero robado.
Los métodos del engaño
Los ciberdelincuentes utilizaron varias técnicas para realizar esta estafa. Por un lado, la ingeniería social les permitió obtener datos personales e información financiera, ya sea por medio de búsquedas en línea, correos electrónicos que parecen confiables pero en realidad roban datos, SMS, o la misma llamada en la que manipularon a la víctima para que accediera a hacer lo que le pedían.
Una parte de este fraude, entonces, tiene que ver con aprovechar los errores o debilidades humanas en lugar de las vulnerabilidades técnicas o digitales de los sistemas. Pero hay más.
La estrategia más evidente es el vishing, o phishing telefónico, que la víctima llegó a detectar y le hizo sospechar de la veracidad de su interlocutor. Se basa en engañar al usuario suplantando la identidad de una empresa, entidad o plataforma de confianza o conocida para la víctima, en este caso el banco ING, para obtener información como datos personales, cuenta bancaria o tarjeta de crédito.
El remate fue el spoofing telefónico, técnica menos conocida masivamente, que logró sellar la confianza de la víctima, al verificar que el número de teléfono desde el que lo llamaban coincidía con la información oficial de su entidad bancaria. Lo que los ciberdelincuentes hacen es falsificar el remitente de llamada y son capaces de burlar incluso a los sistemas de reconocimiento de los teléfonos. Por eso, cuando Sánchez intentó verificar el número de ING los datos coincidían con los oficiales o los SMS que recibió tenían a su banco como remitente.
Ahora bien, ¿qué sucede con la responsabilidad del banco? Como estos casos suceden cada vez más, ya hay jurisprudencia en España al respecto, que indica que los bancos deben devolver el dinero extraído ilícitamente por terceros, aunque suele ocurrir que, en primera instancia, se niegan a hacerlo.
El Real Decreto-ley 19/2018 señala que las entidades tienen responsabilidad si alguien realizó una transferencia de dinero sin la autorización real del cliente, y deben devolverle los sustraído. La excepción es que pueda probarse que el usuario ha actuado fraudulentamente o con negligencia grave a la hora de aplicar los medios razonables de protección de seguridad personalizados de que haya sido provisto. Sin embargo, el hecho de caer en la estafa no es considerado negligencia.
Desde Xataka recuerdan que Facua, la ONG dedicada a la defensa de los derechos de los consumidores, logró que ING se hiciera cargo en 2022 de una sustracción a través de phishing, porque la organización demostró que el banco “no podía mostrar pruebas de haber llevado a cabo la doble autenticación de las operaciones que es preceptiva para las entidades bancarias”.
Evita caer en estas trampas
- Nunca proporciones datos sensibles, sean personales o bancarios, a través de llamadas telefónicas o SMS. Y recuerda que tu banco no los solicita por esas vías.
- Tampoco compartas tus contraseñas, ningún empleado del banco te las pedirá.
- Si recibes una llamada sospechosa, cuelga y comunícate directamente con la empresa o entidad en cuestión. También puedes pedirle los datos al supuesto trabajador que se ha comunicado contigo, verificar la identidad llamando a un teléfono seguro y comunicar lo que ha sucedido.
- Nunca llames al teléfono que te haya facilitado el interlocutor. Lo mismo con los enlaces que recibas por mail, SMS, u otra vía de mensajería: no accedas a ellos para hacer pagos o introducir contraseñas.
- Para evitar incidencias, utiliza las aplicaciones y canales oficiales de tus compañías bancarias o proveedoras para realizar tus gestiones.
- Si de todos modos han logrado sustraer tu dinero, realiza la denuncia en la Policía y en organizaciones de defensa del usuario, quienes tienen experiencia en estos casos y podrán ayudarte.