Recibió un Bizum por valor de 1000 euros como pago instantáneo y posteriormente un mensaje del banco diciéndole que el movimiento se trataba de un error. El Bizum no le corresponde, debe devolver la cantidad inmediatamente. El mensaje es igual que el habitual del banco, nada hace sospechar que detrás está un ciberdelincuente. Esta una variante más de la ciberestafa más habitual, el phishing.
Operación recibida. Nada extraño. Pasan los días. Para sorpresa de la víctima, llega una acusación de estafa por las autoridades. Aquellos 1000 euros han sido sustraídos de la cuenta de otra persona. Otro que recibió un mensaje, quizás aparentando ser de la Agencia Tributaria y al que le robaron su contraseña y accedieron a su cuenta bancaria. Esta vez, sí, para robarle 1000 euros.
¿Puede probar la primera y presunta víctima qué no tuvo nada que ver? ¿Cómo garantiza que el dinero fue ingresado en su cuenta contra su voluntad? Bizum no requiere de autorización para que el dinero haya llegue. La persona devolvió los 1000 euros como le pedía el SMS, no podía saber que se trataba de un delincuente.
Esto es lo que le ha pasado a una mujer de Zamora, tal y como cuenta La opinión de Zamora, un caso que ya está en manos de las autoridades que tratarás de encontrar al causante del delito, un proceso en el que la presunta víctima tendrá que demostrar que ella no tuvo nada que ver en la sustracción de los 1000 euros robados.
El método criminal suele ser el siguiente: el ladrón envía un mensaje SMS o mail alertando a la primera víctima de un problema con su banco, que hace clic en el enlace e introduce su DNI y contraseña para acceder a entidad bancaria. No parece que la aplicación funcione, y el afectado desiste tras varios intentos. Con esta técnica de phishing acaba de entregarle los datos de acceso al banco a un ciberdelincuente.
El estafador saca el dinero de la cuenta de la primera víctima y transfiere, desde el propio banco del afectado 1000 euros mediante Bizum a la cuenta de la segunda víctima.
A continuación, el estafador manda un segundo mensaje SMS a esta haciéndose pasar por su banco para alertarle de que se han equivocado y que por favor le envíe el dinero de vuelta, aunque donde realmente se devuelve el dinero es al estafador vía Bizum.
Tres rutas o pasos que complican la investigación y que ponen la diana en a la persona que ha recibido y devuelto el Bizum, ya que puede ser denunciado de haberse apropiado del dinero de la cuenta de la primera de las víctimas.
Así, el presunto delincuente, trata de cubrir su rastro, complica a las autoridades que rastreen sus movimientos. Quién sabe cuantos más son los saltos que han dado aquellos 1000 euros y cuántas víctimas ha dejado por el camino hasta llegar al autor de la estafa. Puede que incluso algunos de los afectados no se hayan dado cuenta. También puede que alguno se haya quedado con el dinero, pero se haga pasar por víctima.
Los ataques como este son cada vez más comunes, y la propia Agencia Tributaria ya ha alertado de posibles ciberestafas en el ejercicio de declaración de la renta 2023. Además, ha puesto una página a disposición de los usuarios para comprobar la veracidad de los mensajes que reciben.
Consejos de seguridad ante el phishing
Si recibes un correo o SMS, verifica que se trate de uno oficial en el caso de recibir una notificación. Evita responder a mensajes con datos personales como tu nombre o DNI. Los ciberdelincuentes aprovecharán esto.
Revisa con cautela el remitente y sospecha de cualquier símbolo extraño que encuentres. Lo mismo ocurre con el contenido del mensaje. Si encuentras faltas de ortografía o no tiene demasiado sentido bórralo.
Nunca pinches en cualquier enlace que te proporcione el correo o SMS. Si ves que este lleva adjunta alguna imagen o documento, no la descargues. Recuerda que estos enlaces suelen llevar a páginas fraudulentas que solicitarán tus credenciales.
Activa siempre que sea posible la autenticación en dos pasos en todos los accesos a aplicaciones y adopta políticas de contraseñas seguras que incluyan cambios de las mismas de manera frecuente y sin compartirlas entre diferentes aplicaciones.