Phising, smishing, vishing, pharming... cómo evitar todas las versiones del fraude financiero

Estos fraudes toman muy diferentes modalidades a las que la jerga financiera se refiere con unos términos difícilmente comprensibles para el ciudadano medio, pero que conviene tener en mente para evitar sorpresas desagradables.

El 'phising' se comete a través de correos electrónicos que aparentemente proceden de entidades financieras u otras fuentes solventes, comercios electrónicos, administraciones públicas... que por supuestos motivos de seguridad solicitan al destinatario hacer 'click' en algún enlace o hipervínculo que le redirige a una página web falsa que simula ser la verdadera, donde le piden que introduzca sus claves de acceso u otros datos personales. A veces, los mensajes fraudulentos utilizan artimañas para dar una falsa sensación de urgencia y forzar así al usuario a que tome una decisión rápida para evitar supuestas consecuencias negativas (la cuenta bancaria puede ser bloqueada de forma inminente...). Son cebos para pescar al cliente (de ahí el término, 'phising', de 'pescar', en inglés) y sacarle dinero de la cuenta u operar en su nombre con su tarjeta de débito o crédito.

El Instituto Nacional de Ciberseguridad (Incibe) ha alertado recientemente de un intento de estafa a través de la técnica del 'phising' que suplanta a Endesa para lograr datos personales y bancarios de los usuarios. Las víctimas reciben un correo electrónico en el que se les informa de un supuesto fallo de facturación y que la compañía les abonará 200 euros en la cuenta para subasanar el error. Para ello, han de introducir sus datos personales en una web que aparentemente es la de la empresa eléctrica, pero que en realidad es una plataforma falsa creada para desarrollar la estafa.

Cuando la vía para cometer el fraude no es un correo electrónico, sino que es un sms convencional, a la técnica para el engaño se la conoce como 'smishing'. Pero el objeto es el mismo.

Mientras tanto, el 'vishing', cuyo nombre deriva de la combinación de las palabras 'voz' y 'phising', es un fraude que busca conseguir datos personales y bancarios a través de una llamada telefónica, engañando a la víctima mediante la suplantación de la identidad de un tercero de confianza. El Banco de España advierte, por ejemplo, de que a veces el estafador toma la forma de un comercial de una compañía telefónica que comunica que al cliente le han cobrado de más por error en la factura y le solicita sus datos bancarios para abonar la diferencia; y también puede hacerse pasar por un empleado de una entidad bancaria que avisa de que se está realizando una operación fraudulenta -y falsa- con su tarjeta y le solicitan datos de ésta, con la que, en tiempo real, los 'cacos' operan gracias a la información que va dando la víctima.

Tal y como advierten desde la Comisión Nacional del Mercado de Valores (CNMV), en cuya página web se pueden encontrar varios audios advirtiendo contra el fraude y desgranando casos reales, «ninguna entidad financiera autorizada pedirá jamás a sus clientes información personal ni claves completas; ellos ya disponen de esos datos y bajo ningún concepto necesitan pedirlos y menos aún por medios tan poco confidenciales como el correo electrónico o el teléfono».

Y hay una cuarta modalidad más de estafa: aunque menos habitual, el 'pharming' también está creciendo en España. ¿En qué consiste? Los delincuentes infectan el equipo con algún virus, con algún 'malware', con el objetivo de recabar datos confidenciales para poder operar con ellos. Aunque es un tipo de fraude más incontrolable por parte de la víctima, hay algunas recomendaciones que da la Comisión Nacional del Mercado de Valores que sí puede seguir: por ejemplo, verificar que la conexión a internet es segura -hay veces que se infectan móviles al conectarse a redes wifi extrañas-, que la versión del navegador esté actualizado, utilizar un correo electrónico seguro y no hacer 'click' en enlaces que nos resulten sospechosos.