(+34) 910 42 42 93 [email protected]

Llevamos unas semanas en las que hay activas por España varias campañas de phishing muy efectivas.

El modus operandi de estos cibercriminales es el siguiente:

  1. Te llaman o te envían un SMS haciéndose pasar por tu banco.
  2. Demuestran «supuestamente» que son agentes del banco ya que saben tus datos personales (nombre y apellidos, documento de identidad…).
  3. Una vez convencida la víctima, y por alguna de las típicas excusas de este tipo de timos (queremos arreglar un cargo fraudulento que te han hecho a tu cuenta bancaria y que aún no está reflejado) te piden que les devuelvas el código que te acaban de enviar.

Por supuesto, si lo haces, ya te habrán robado el dinero, ya que realmente ese cargo fraudulento es el que estás tú ahora mismo confirmando (con la entrega de ese código que rápidamente el cibercriminal usará para confirmar la transferencia) que permites hacer.

Como decía, ni el gancho ni la forma de actuar es nueva.

Lo que sí puede llamar la atención es que:

  • Tengan tanta información veraz tuya.
  • El número desde el que te llaman o mandan el SMS aparece marcado como, en efecto, el oficial de la compañía a la que están usurpando la identidad.

Vamos a ver por separado cómo consiguen esto.

¿Cómo han obtenido nuestros datos los cibercriminales?

Esta es la más fácil de responder.

Básicamente, el ataque ya empezó hace unas semanas o meses, y mediante el filtrado de datos obtenidos fraudulentamente de nuestro banco.

Los cibercriminales simplemente recopilan esta información, que a veces está expuesta públicamente en documentos de internet, y la aprovechan para aumentar la tasa de éxito de la campaña de fraude.

A fin de cuentas, no es lo mismo que te llamen de un banco que no es el tuyo, a que lo haga alguien que sabe todos tus datos y que además, supuestamente, pertenece al banco donde tienes tu dinero.

¿Cómo usurpan la identidad del teléfono desde el que llaman o envían SMS?

Esto sin lugar a dudas puede ser lo más llamativo del ataque.

Llegan hasta el punto de que si tenías mensajes anteriores enviados por el banco, puede que en tu aplicación de SMS el mensaje fraudulento te aparezca en el mismo hilo que los oficiales.

¿Por qué ocurre esto?

Pues porque a ojos de sistema de identificación de llamadas, en efecto, quien envía ese mensaje es el número original del banco o la empresa a la que usurpan la identidad.

¿Y cómo es esto posible?

Pues exactamente igual que cualquier otro ataque de usurpación técnica de identidad, como puede ser el email spoofing.

Con la democratización de las llamadas VoIP, no es muy difícil encontrar operadores que ofrecen el servicio y que no tienen reparos en ofrecernos números de teléfono que ya están siendo utilizados en el mercado.

Para ellos, es cuestión de modificar las cabeceras para aparentar que desde ese número VoIP se llama en nombre de otro «tradicional». Algo que antiguamente solo podían hacer agentes de las fuerzas del orden (y también agencias de inteligencia…), pero que hoy en día ya está al acceso de prácticamente cualquiera que esté dispuesto a pagar por el servicio.

Unes este hecho, al que para colmo los comerciales saben todos tus datos, y tienes como conclusión una serie de campañas de phishing que están teniendo, lamentablemente, mucho éxito.

Por supuesto, para reconocerlas, bastaría con darse cuenta que NINGÚN AGENTE DE BANCO TE PEDIRÁ QUE LE ENVÍES EL CÓDIGO DE CONFIRMACIÓN QUE TE ACABA DE ENVIAR.

Pero claro…

Otros timos que deberías conocer:

En CyberBrainers ayudamos a empresas y usuarios a prevenir, monitorizar y minimizar los daños de un ataque informático o una crisis reputacional. Si estás en esta situación, o si quieres evitar estarlo el día de mañana, escríbenos y te preparamos una serie de acciones para remediarlo.

Pablo F. Iglesias
Pablo F. Iglesias

Pablo F. Iglesias es Consultor de Presencia Digital y Reputación Online, director de la Consultora CyberBrainers, escritor del libro de ciencia ficción «25+1 Relatos Distópicos» y la colección de fantasía épica «Memorias de Árganon», un hacker peligroso, y un comilón nato 🙂