“Fue en ese momento cuando pensé: ¿y si no es mi hijo? Revisé toda la conversación y me quedé helada. Se ve en todos los mensajes. Mi hijo nunca pone corazones...”, cuenta Begoña, desde España. Ese momento de lucidez es muy habitual en las víctimas de ciberestafas. De repente, queda muy claro que todo fue un engaño. Toda la estrategia de los estafadores que las perpetran se basa en inhibir esa señal de alerta el máximo tiempo posible. Una de las tácticas más efectivas para ello es transmitir una sensación de urgencia: en el engaño del celular roto que se reproduce por España, la urgencia de ayudar a un hijo.
La estafa no es nueva, al contrario, corre el riesgo de enquistarse como la del técnico de Windows. Desde el Instituto Nacional de Ciberseguridad (Incibe) español explican a elDiario.es que su teléfono de ayuda 017 sigue recibiendo “bastantes consultas” sobre este tipo de ataque. Funciona y los ciberestafadores lo explotan fijando como objetivo a los más mayores, por lo que para reconocerlo es clave conocer su estrategia de ataque e impedir que activen la sensación de urgencia en la víctima para engañarla.
La maniobra es simple pero efectiva. “El usuario candidato a ser estafado recibe un WhatsApp de alguien que se hace pasar por su hijo/a y le pide dinero bajo alguna excusa”, detallan desde el Incibe. El truco es que la exigencia económica no se produce de inmediato, sino que primero el ciberestafador intentará desarrollar confianza con la víctima. “En algunos casos, incluso se le solicitan fotos y videos”, desgrana el organismo de ciberseguridad.
El engaño utiliza varios ganchos pero el más repetido por su efectividad es el del teléfono roto. El falso hijo o hija se pone en contacto e informa de que su antiguo móvil ha quedado inoperativo por algún motivo, por lo que pide a su padre o madre que guarde el nuevo número. “Como mi hijo siempre tiene la pantalla rota, pensé que le habría entrado agua o algo así y se le habría estropeado del todo. No me extrañó”, cuenta Begoña.
En su caso los atacantes le pidieron fotos, pero también contactos. “Es algo que hace que no te plantees que no estás hablando con tu hijo. Quién va a querer los contactos de la familia...”, continúa la afectada.
El truco del teléfono roto proporciona también una excusa ante posibles intentos de hacer una llamada telefónica por parte del usuario que está sufriendo el timo. La realidad es que los contactos que utilizan los atacantes son números virtuales y no están asociados físicamente a una línea telefónica tradicional, sino que están enrutados a través de Internet. Las empresas suelen utilizarlos para programar robots de contestación automática para atención al cliente o para comunicar las distintas extensiones de cada departamento. A los ciberdelincuentes les sirve para ocultar sus actividades, ya que algunas empresas que proporcionan números virtuales ofrecen la posibilidad de configurarlos de manera completamente anónima.
Cuando Begoña intentó comunicarse con su atacante, el número virtual dio el tono de “ocupado”, como había configurado el ciberestafador. “Mi teléfono no funciona muy bien”, justifica entonces el atacante: “Intenté llamar antes, pero no funciona. Mi conexión se cae de vez en cuando”.
Una vez establecido que la comunicación se va a dar por WhatsApp y generada la confianza a través de las peticiones de fotos, videos o contactos, llega el ataque definitivo. El estafador pedirá ayuda a la víctima con varias excusas. En el caso de Begoña fue con unas facturas sin pagar. El Incibe destaca que también se han detectado excusas como estar en medio de un viaje y haber sufrido la pérdida de una valija, la propia rotura del teléfono y la necesidad de adquirir uno nuevo o problemas para hacer unos pagos debido a los problemas para hacerlo desde el dispositivo averiado.
En el caso de Begoña, ante sus reticencias a hacer la transferencia por el celular y las peticiones de verse en persona, el ciberdelincuente recurre a otra estrategia: “Si no podés ayudarme, buscaré otra solución”. “En ese momento dejás de pensar porque, ¿cómo no vas a ayudar a tu hijo y obligarle a pedírselo a otro? Lo hacés y ya está”, cuenta la víctima.
Pese a haber mordido el anzuelo, el caso de Begoña acaba bien. Su banco le impidió hacer la transferencia que le solicitaba el estafador, de 1.980,36 euros. A veces las entidades bloquean el movimiento si el cliente erra algún numero de la cuenta bancaria de destino. “También puede que ya tuvieran fichado al canalla y por eso no me dejara hacerla”, propone ella.
Ese veto por parte del banco fue su alarma. Al contarle los problemas al estafador, este le propuso dividirla en dos pagos distintos y volver a intentarlo. Esa persistencia fue lo que la sacó del engaño.
“Si recibiste un mensaje de estas características y procediste a realizar una transferencia o pago, contactá lo antes posible con tu entidad bancaria para intentar cancelar la operación”, recomienda el Incibe para los casos en los que la víctima llega a realizar la transferencia con éxito. “Del mismo modo, si facilitaste datos de tu tarjeta de crédito, cancelá o bloqueá la misma con tu banco para que no puedan hacer un uso indebido de ella”, continúa.
Además de bloquear el contacto del atacante, el organismo aconseja que se denuncien los hechos ante la Policía. En el caso de Begoña, los agentes la advirtieron que al no haberse llegado a consumar el delito, la denuncia tenía pocos visos de llegar a buen puerto. Sin embargo, esta puede llegar a resultar fundamental para la reclamación en caso de que se la transferencia a los cibertimadores se realice con éxito.
Este tipo de estafas, que son cada vez más habituales, suelen ser una consecuencia directa de las brechas de seguridad que sufren instituciones y empresas privadas. A través de ellas los atacantes se apoderan de bases de datos con información personal que luego usan con este propósito. En ocasiones, un simple “mamá” o “papá” de un número desconocido puede hacer que la víctima baje sus defensas.