Julia, víctima de una ciberestafa: «Me llamaron desde el mismo número de mi banco y me creí todo»

Juan Cano

Málaga

Miércoles, 2 de noviembre 2022, 00:29 | Actualizado 08:37h.

Comenta

Beep, beep. El tono del SMS atrajo su mirada hacia el móvil. «Vas a transferir 995,56 euros hacia la cuenta Caixa finalizada en 00038364». El texto se insertó en su terminal entre la lista de mensajes que Julia (es nombre ficticio, quiere preservar el anonimato) recibe de su banco, por lo que interpretó que se lo enviaban desde su entidad.

Dos minutos después, su teléfono volvió a sonar. Esta vez, una llamada. Reconoció el número: era el de su banco. «Soy Pedro López, asesor de Unicaja. Estoy viendo que está a punto de autorizar una transferencia. Esto es algo habitual, se trata de una estafa cibernética, pero no te preocupes que te voy a ayudar en todo», le dijo.

-¿Eres de Unicaja?, preguntó Julia.

-Hombre, por favor, señora...

El interlocutor continuó con el procedimiento. «Le va a llegar un SMS con un código. Por favor, démelo». Ella se lo proporcionó.

Entonces, la llamada se cortó.

«Yo llamé al mismo número de teléfono, que es el que figura en la web de Unicaja». Le cogió una operadora. «Un compañero suyo me está ayudando porque me están estafando. Espere, que me está llamando». Mientras ella hablaba con la chica, que sí que era de Unicaja, su primer interlocutor, el supuesto Pedro López, la llamaba con insistencia. «La operadora me dijo que colgara y le cogiera», asegura Julia, que es consultora en el sector inmobiliario y que está familiarizada en el uso de la banca online.

Sin saberlo, volvía a estar en manos del ciberdelincuente.

Su teléfono sonó. Otro SMS «encolado» entre la lista de mensajes de su banco: «Vas a transferir 500 euros por bizum al teléfono... ».

[Los 'hackers' usan las palabras clave necesarias en el texto para que el móvil lo clasifique en la misma lista de la entidad]

De nuevo, el supuesto asesor le reclamó el código que venía en el mensaje. Julia se lo proporcionó, pero no funcionaba. «Me salvó esa llamada intermedia, que fue la real (la que respondió la operadora), porque ella bloqueó la cuenta y eso impidió que se enviara el dinero del bizum», cuenta.

Para evitar que desconfiara, el interlocutor trató de tranquilizarla. «Si ha visto el cargo en la cuenta, no se preocupe, que ahora se lo devolvemos. Ya estamos acabando», le explico. Tras varios intentos de finalizar el bizum, viendo que el código no funcionaba, el individuo colgó.

Julia volvió a llamar al número y, claro, le respondieron los operadores de Unicaja. Efectivamente, tenía un cargo en la cuenta de 995, 56 euros. Pero, por ahora, nadie se los ha devuelto.

Acudió a la comisaría para presentar la denuncia y, entre eso y lo que leyó en Internet, descubrió que los ciberdelincuentes utilizan programas de Internet para camuflar el número de teléfono desde el que hacen la llamada y cambiarlo por otro. En este caso, el de Unicaja. Es la técnica del «call spoofing', o lo que es lo mismo, el maquillaje telefónico.

Después de poner la denuncia, se presentó en la oficina de Torremolinos donde tiene la cuenta para reclamar la cantidad estafada. Inicialmente, la entidad rehusó devolverle el dinero porque fue ella quien proporcionó el código al delincuente. «Está bien, es cierto, pero es que alguien está suplantando la identidad del banco. Yo no recibí una llamada de Estambul. A mí me llamaron desde el número de Unicaja», se queja Julia, que está molesta por el trato recibido tratándose de una clienta de toda la vida. «Y encima me cobran los cinco euros de la transferencia... ».

Este verano, clientes de Unicaja -al igual que de otras entidades financieras- empezaron a sufrir una campaña masiva con intentos de hackeo a sus clientes. El modus operandi era bastante similar y las víctimas se contaban por decenas, hasta el punto de que la Policía Nacional difundió un comunicado para alertar del repunte de casos.

En aquella ocasión, el fraude comenzaba con una suplantación de la web de la entidad. El cliente recibía un mensaje por SMS que se inserta entre los que habitualmente le llegan del banco. A ese envío masivo se le conoce como 'smishing'.

A continuación, el SMS le indica que, si no reconoce dicho acceso, verifique inmediatamente su identidad a través de la url https://unicaja.app-web.sa.com/

A ojos del profano, la dirección del SMS puede asemejarse a la web oficial. Pero el dominio sa.com ya debe indicarnos que es algo anormal tratándose de Unicaja, cuyo dominio es unicajabanco.es.

La url te conduce a una web fraudulenta que es casi idéntica a la original. Entonces, recibes una llamada que dice ser de atención al cliente del banco ('spoofing', el maquillaje de la operación). Como estás teniendo un problema, les das crédito a la llamada. Error.

A partir de ahí, empiezan a solicitarte datos personales o claves de confirmación que recibes en tu teléfono móvil. Ese es otro momento idóneo para darse cuenta del engaño: si recibes un código para confirmar una transferencia que obviamente no estás interesado en hacer, no se lo proporciones a nadie.

Otros usuarios afectados recibieron los cargos directamente mediante bizum, puesto que, al proporcionar las claves, los ciberdelincuentes operaron libremente con la cuenta hasta que el banco supo de la situación y ésta se bloqueó. Para entonces, ya habían desviado varios miles de euros.

Desde Unicaja Banco recalcaron que la entidad realiza «de forma periódica y con carácter general» una labor de alerta y de concienciación mediante la publicación de información referente a nuevas modalidades de fraude online, tanto en redes sociales como en otros soportes.

Para evitarlo, tanto la Policía como la entidad bancaria recalcan una serie de consejos:

- No confiar en los mensajes recibidos. Su banco nunca le solicitará por teléfono, SMS o email sus datos de acceso a la banca digital.

- No pinchar en el enlace adjunto de este tipo de mensajes.

- No facilitar por teléfono claves o datos que reciba en su propio móvil.

- Contactar con la entidad para comprobar los hechos, donde podrán asesorarle y dar aviso a la policía en caso de estafa.