En las últimas semanas,
hemos visto cómo grandes empresas han sido hackeadas y sus datos vulnerados. Banco
Santander,
Iberdrola, Decathlon
y Ticketmaster
son algunas de ellas. Con estos datos, los ciberdelincuentes ya tienen cómo
contactar con nosotros y parte de nuestra información personal. De acuerdo con
la OCU (Organización de Consumidores y Usuarios), este tipo de hackeos suele
anticipar intentos de estafas masivas, donde se suplanta la identidad de
empresas bien conocidas para conseguir los datos bancarios del cliente y
realizar cargos a su costa.
El modus operandi de
estas estafas online es muy parecido: aprovechando la filtración del nombre,
los datos de contacto y la vinculación del usuario con la empresa hackeada, el
ciberdelincuente envía un falso email (así se inicia el phishing) o un falso SMS
(el smishing) haciéndose pasar por personal de esa misma empresa. Esta
comunicación insta a hacer clic en un enlace que simula ser el de la web
oficial con alguna excusa importante, como la detección de un problema de
seguridad o el bloqueo de la cuenta bancaria. Una vez dentro de la web, se
solicitará a la víctima sus datos y claves bancarias como la única forma de
solucionar ese supuesto problema. Estas son las dos primeras técnicas.
La tercera de ellas es
la conocida como vishing y es muy similar, solo cambia el canal. En lugar de
enviar un correo electrónico falso, el ciberdelincuente llamará a la víctima
haciéndose pasar por personal de la empresa hackeada para pedirle sus datos bancarios
con excusas parecidas. Hay casos en los que los suplantadores están realmente
bien preparados y utilizan un lenguaje perfectamente elaborado, con todo tipo
de tecnicismos y aclaraciones, lo que aumenta sus probabilidades de éxito. A
esta técnica tan elaborada se la conoce como spoofing.
Para evitar caer en
ellas, la OCU recomienda no abrir correos electrónicos o SMS de origen
desconocido. Si creemos conocer a quién envió el correo y lo abrimos, no abrir
el enlace que nos sugiere. Ante la duda, llame directamente a la empresa
correspondiente y consulte si es cierto lo que el correo señala. Si lo que
recibe es una llamada pidiendo sus datos bancarios, sepa que es falsa, ninguna
empresa o banco pide esa información por teléfono. Y finalmente se recomienda
darse cuenta de un “baño de multitudes” en las redes o lo que es lo mismo:
hacer egosurfing. Esto es buscarnos en redes y ver qué información aparece, en
qué redes estamos etiquetados y por quién, para saber si alguien más puede
tener información que consideramos privada.
Ante la duda hay que recordar que
la Autoridad Bancaria Europea no solo define como fraudulentas las
transacciones de pago no autorizadas, también aquellas en las que se manipuló
al pagador para admitir una orden de pago. Es más, el propio Código Civil, en
su artículo 1.265 considera que el consentimiento es nulo si se presta por
error. Pero, como siempre, más vale prevenir.
