Guía de San Pedro Alcántara
Comentarios
Agentes de la Policía Nacional de Jaén adscritos a la Unidad de Delincuencia Especializada y Fiscal (U.D.E.F.) de la Comisaría Provincial de Jaén han identificado a dos hombres, ambos de nacionalidad española y brasileña, respectivamente, como presuntos autores de un delito de estafa y otro de blanqueo de capitales. En este tipo de estafa los ciberdelincuentes suelen utilizar la ingeniería social para acceder de forma más rápida y fácil a nuestra intimidad, para ello, buscan la manera de influir en la persona que está al otro lado del dispositivo electrónico utilizando normalmente las emociones; infundiendo miedo, urgencia o curiosidad para lograr que tomen una decisión que, normalmente, no es la mejor para la víctima, que accede a la pretensión sin ser conocedor de que en realidad, le está entregando la "llave de acceso" a su información. El término "smishing" significa "sms" y "phising", en español "pesca mediante sms", es decir, mensajes fraudulentos enviados a un dispositivo electrónico. En este caso la víctima,se encontraba operando en la banca online desde su domicilio cuando le apareció una ventana emergente de, al parecer su banco, indicándole que tenía que actualizar el sistema o se produciría un bloqueo en su ordenador. Tras realizar la actualización requerida, esta se percató de dos transferencias realizadas desde su cuenta sin su consentimiento ni autorización por valor de 15.000€. Gracias a la rápida intervención policial, los agentes consiguieron que las cuentas de destino fueran bloqueadas de forma preventiva sin que los autores del delito consiguieran disponer de los fraudulentos ingresos. La víctima reconoció la labor desarrollada por los agentes en una carta manuscrita en la que agradecía el trabajo realizado toda vez que hizo posible que recuperara la totalidad del dinero sustraído.
Un cuadro de diálogo aparentemente de su entidad bancaria, indicándole que tenía que actualizar el sistema
La investigación tuvo su origen tras la interposición de una denuncia en la Comisaría Provincial de Jaén, donde la víctima relató que cuando se encontraba operando desde el ordenador personal de sobremesa en su vivienda realizando una trasferencia desde su cuenta bancaria, en mitad del proceso apareció un cuadro de diálogo, aparentemente de su entidad bancaria, en el que le indicaba que tenía que actualizar el sistema de seguridad o en caso contrario, se produciría un bloqueo del ratón y teclado. La víctima, no sospechando nada extraño, esperó a que dicha actualización se llevara a cabo, reiniciándose el ordenador cuando terminó la supuesta actualización.
La sorpresa fue cuando el denunciante accedió de nuevo a su entidad, observando cómo se habían realizado dos transferencias bancarias sin su consentimiento ni autorización por valor de 15.000€.
"Smishing" o pesca mediante sms, mandar de forma masiva mensajes fraudulentos como si fueran anzuelos esperando a que alguien pique
Actualmente, el "phising" es la forma más sencilla de ciberataque, y al mismo tiempo, la más peligrosa y efectiva. El ciberdelincuente, ya no trata de explotar la vulnerabilidad técnica en el sistema operativo del dispositivo de la víctima, ha escalado un escalón para acceder a él de forma más fácil y rápida atacando al eslabón más débil: el usuario y para ello se sirve de la llamada "ingeniería social".
La ingeniería social es una herramienta que el cibercriminal utiliza aprovechando las emociones que hoy en día tanto impacto producen, como el miedo, la urgencia, o la curiosidad para influir en la futura víctima al objeto de hacerla tomar una decisión que finalmente, iría en contra de sus intereses, es decir, una técnica usada por el ciberdelincuente para obtener la información personal que le interesa para llevar a cabo la estafa. De forma más explícita y a colación de este hecho, la variante que utiliza el autor es el "smishing", mediante la cual el autor ataca a la víctima enviando mensajes fraudulentos de forma masiva como si fueran anzuelos, esperando, entre los miles de personas a la que se los manda, alguna pique en el engaño y de esta forma la víctima le entregue la llave de acceso a su información personal.
Mensajes más sofisticados y diseñados para hacer creer a la víctima que proviene de una fuente legítima
En este tipo de ataque, el cibercriminal se hizo pasar por la entidad bancaria de la que, - en este caso acertó -, coincidió que era cliente la víctima, y como es normal en la estrategia de esta estafa, le puso en bandeja un peligro inminente a la víctima que ocurriría en el caso de que hiciera caso omiso a las indicaciones que describían el cuadro de diálogo que le apareció durante la operación. – ingeniería social -, no hay que olvidar que el mensaje está manipulado para que parezca lo más real posible y creamos que su origen es verdaderamente de nuestra entidad bancaria.
Infundir miedo o temor, actuar de forma inmediata o consecuencia negativa
La víctima, ante el temor de que se le bloqueara el ratón y el teclado, y ante la seguridad de que la fuente del mensaje era de su banco, aceptó las condiciones. Momentos después se percató de la elevada cantidad de dinero que habían transferido a otras cuentas.
Los investigadores comenzaron a realizar diferentes gestiones en aras a identificar a los receptores de las transferencias, para lo cual solicitaron información relacionada con datos bancarios de las cuentas beneficiarias del dinero.
Los días pasaban en contra de la víctima, quién realmente dudaba de que volviera a recuperar el dinero sustraído de su cuenta, por lo que para los agentes, que no vacilaron en desarrollar su labor de investigación con la mayor premura y exactitud posible para no dejar ningún cabo suelto, consiguieron averiguar, de una parte, que una de las transferencias tenía como destino una cuenta en España y la otra, en cambio, había sido enviada a un banco en Bélgica y de otra parte habían logrado identificar a los titulares de ambas cuentas, ciudadanos español y brasileño respectivamente.
Llegados a este punto y gracias a la rápida intervención de los investigadores, estos consiguieron bloquear ambas cuentas de forma preventiva, evitando de esta forma que los presuntos autores de la estafa consiguieran disponer de los fraudulentos ingresos.
La víctima remitió a los agentes destinados en la Unidad una carta manuscrita reconociendo la labor desarrollada y agradeciendo el trabajo realizado, el cual hizo posible que recuperara la totalidad del dinero sustraído.
La Policía Nacional recuerda que la prevención es la piedra angular en una cultura de autoprotección entre los ciudadanos frente a los peligros y amenazas de entornos en la sociedad en la que vive.
Consejos de la Policía Nacional para no ser víctima de los ciberdelincuentes
- No aportar nunca datos personales, nuestro banco ya dispone de estos datos, por tanto, nunca nos los va a pedir.
- Nuestra entidad bancaria nunca nos va a adjuntar un enlace para realizar una gestión. Desconfía de un mensaje con un enlace que te incite a realizar una gestión y si el enlace usa un acortador de direcciones, menos.
- En el caso de tener pendiente alguna gestión con nuestro banco o estar a la espera de alguna comunicación, optar por acceder manualmente a su página web y buscar en notificaciones para comprobar si tenemos ese mensaje, acceder mediante la aplicación o llamar por teléfono a la entidad.
- No aceptar, en ningún caso, las condiciones que ofrezcan en una misma llamada o comunicación. Solicitar que nos remitan la documentación para su estudio o emplazar a que nos realicen una segunda llamada para que podamos hacer comprobaciones. Las prisas nunca auguran nada bueno.
- No asuma que los hiperenlaces incluidos llevan a donde aparece. En su lugar, pase el cursor por encima del enlace para ver la URL real. Esté especialmente atento a sutiles errores ortográficos en un sitio web que le sea familiar, porque indica una falsificación. Siempre es mejor escribir directamente la URL en lugar de hacer clic en el enlace incorporado.
Comentarios
Aviso
