Banco Santander, Telefónica, Iberdrola, Decathlon, Ticketmaster… En las últimas semanas varias grandes compañías han sido víctimas de ciberataques para hacerse con los datos de miles de clientes. Lamentablemente, este tipo de hackeos suele anticipar intentos de estafas masivas, donde se suplanta la identidad de empresas bien conocidas para conseguir los datos bancarios del cliente y realizar cargos a su costa, advierte la Organización de Consumidores y Usuarios (OCU).
El modus operandi de estas estafas online es muy parecido: aprovechando la filtración del nombre, los datos de contacto y la vinculación del usuario con la empresa hackeada, el ciberdelincuente envía un falso email (así se inicia el phishing) o un falso SMS (el smishing) haciéndose pasar por personal de esa misma empresa.
Esta comunicación urge a clicar en un link que simula ser el de la web oficial con alguna importante excusa, como la detección de un problema de seguridad o el bloqueo de la cuenta corriente. Una vez dentro de la web, se solicitará a la víctima sus datos y claves bancarias como la única forma de solucionar ese supuesto problema.
La técnica de vishing es muy similar, solo cambia el canal. En vez de mandar un falso email o un falso SMS, el ciberdelincuente llamará a la víctima haciéndose pasar por personal de la empresa hackeada para pedirle sus datos bancarios con excusas parecidas.
Hay casos en los que los suplantadores están realmente bien preparados y utilizan un lenguaje perfectamente elaborado, con todo tipo de tecnicismos y aclaraciones, lo que aumenta sus probabilidades de éxito. A esta técnica tan elaborada se la conoce como spoofing.
OCU también aclara que es posible prevenir buena parte de estas estafas siguiendo cuatro recomendaciones básicas.
La primera, no abrir emails o SMS de origen desconocido.
Si el emisor del mensaje parece conocido, pero al abrirlo le urge a pinchar en un link, desconfíe. Llame a la empresa remitente para comprobar su veracidad utilizando el número de teléfono que tenga grabado o aparezca en Internet, nunca el que se indique en el email o el SMS.
Si lo que recibe es una llamada pidiendo sus datos bancarios, sepa que es falsa, ninguna empresa o banco pide esa información por teléfono.
Por último, practique el egosurfing: teclee su nombre en Internet y asegúrese que no hay información suya que considere privada, porque revelaría una posible filtración de datos.
Lo que dice la Ley
No obstante, OCU recuerda que ningún pago que realice un usuario bajo los efectos de un engaño podrá ser considerado como autorizado y por lo tanto deberá ser reembolsado de forma automática por la entidad bancaria. La Autoridad Bancaria Europea no solo define como fraudulentas las transacciones de pago no autorizadas, también aquellas en las que se manipuló al pagador para admitir una orden de pago. Es más, el propio Código Civil, en su artículo 1.265 considera que el consentimiento es nulo si se presta por error.