¿Confía en un correo electrónico aparentemente genuino que nos pide que hagamos clic para confirmar los datos y códigos bancarios? Ahora solo caen en él unos cuantos tontos incurables. Pero la tecnología del phishing (pesca de víctimas más o menos inocentes de trampas basadas en la web) está avanzando. La nueva frontera de las estafas telemáticas se llama "suplantación de identidad de llamadas". El tramposo nos envía un mensaje de texto, WhatsApp o simplemente nos llama por teléfono. En nuestro display aparece el número del banco, de nuestra entidad financiera, de una entidad benéfica o de una empresa que conocemos muy bien y con la que tenemos relaciones consolidadas. Nosotros contestamos, confiamos, ejecutamos. Puede ser una estafa. Se lleva a cabo con un procedimiento realmente refinado, que en ocasiones se combina con otro truco tecnológico de última generación: la clonación de nuestro número de teléfono móvil (o más precisamente, su transferencia, quizás momentánea y solo por el tiempo necesario para hacer trampa) en un Sim. en manos del defraudador, que podrá así sustituirnos incluso en el ok final de una operación bancaria, simulando los ya difundidos procedimientos de seguridad que prevén la generación de un pasador desechable. Pero, ¿cómo funciona en detalle la nueva técnica fraudulenta? ¿Cómo reconocerlo? ¿Cómo defenderse?
Suplantación de identidad y cambio de sim
Para cambiar el número de teléfono que aparece en nuestra pantalla haciéndose pasar por nuestro banco que necesita verificación, o tal vez una organización benéfica que nos pide una contribución, los tramposos recurren a los procedimientos permitidos por los sistemas de centralita IP-VoIP (los que solo usan Internet y no los antiguos sistemas telefónicos también para llamadas de voz) manipulado con aplicaciones normales accesible también para no profesionales: cualquiera puede verificar esto haciendo una búsqueda normal en las tiendas de Internet. El procedimiento es relativamente fácil, tanto que incluso los tramposos que no son particularmente expertos en tecnología, e incluso un poco desordenados, están comenzando a usarlo.
Un ejemplo: una empresa que vende electrodomésticos para la depuración del agua se ha estado enmascarando en las últimas semanas tras el número de teléfono de un restaurante-pizzería de la provincia de Nápoles. Se desconoce qué conexión había entre los dos. Más preocupantes son otros dos ejemplos de estafas de "suplantación de identidad" implementadas en los últimos meses. La primera se refiere a un robo de credenciales para conectarse a los sitios de la Oficina de Correos italiana, en particular aquellos conectados a PostePay (servicios bancarios). En un SMS, los tramposos de guardia informan a los usuarios de un problema con los datos personales de su cuenta, invitándolos a repetirlos o corregirlos haciendo clic en un enlace que muestra una pantalla aparentemente probable. Para tener tiempo de actuar, los delincuentes invitan a no acceder a la cuenta, que permanecería bloqueada durante unas horas hasta que se corrigiera el error. Muy similar en su dinámica al engaño realizado bajo el pretexto de la Agencia Tributaria a través de elusiva "oficina de cobro de deudas", que invita (otra vez enmascarado detrás de un número de teléfono más que probable que aparece en la pantalla) a liquidar una deuda tributaria atrasada de manera facilitada comunicando nuestros datos financieros confidenciales o haciendo clic en un enlace específico que nos habrá sido enviado en la dirección postal electrónica que habremos indicado imprudentemente a nuestro interlocutor.
En todos estos casos también existe el segundo truco, el "cambio de sim", que es el reemplazo quizás temporal de nuestro Sim, permitiendo al tramposo validar directamente nuestros pagos a su favor. Una práctica que afortunadamente solo es posible si el estafador está en posesión del código de serie de la SIM a clonar, que teóricamente debería ser celosamente guardado por nuestro operador de telecomunicaciones. Teóricamente, porque en los últimos meses más de una filtración de estas listas ha sido noticia, que luego caía en manos de delincuentes. En algunos casos, los operadores telefónicos más escrupulosos informaron inmediatamente a los clientes, regenerando remotamente el código de serie de la SIM o reemplazándolo físicamente. Pero nadie descarta que todavía puedan estar en circulación algunas listas, a disposición de los tramposos.
Cómo descubrir el truco y qué hacer.
Primera regla: nunca proporcionar nuestros datos personales respondiendo directamente a una solicitud, ya sea una llamada telefónica, un correo electrónico, un mensaje de texto, un mensaje de WhatsApp. Siendo consciente de las estafas que están circulando, ningún banco serio pediría en lo más mínimo confirmación de datos personales por teléfono. La contramedida en este caso es trivial y efectiva: vuelva a llamar a su banco pidiendo confirmaciones, explicaciones e indicaciones en caso de un intento de fraude confirmado. La misma cautela también es necesaria para hacer frente al aluvión de llamadas telefónicas que cada uno de nosotros recibimos para convencernos de cambiar de proveedor de servicios de telecomunicaciones o energía.
Segunda regla: en cualquier caso, verificamos con certeza la identidad de quienes nos contactan al tamizar la dirección desde la cual nos envían el correo electrónico, o más aún el número de teléfono que vemos aparecer en la pantalla. Para verificar la autenticidad del correo electrónico recibido, o del mensaje sms o whatsapp que contiene un enlace sospechoso, los expertos en informática tienen muchas armas a su disposición, empezando por la verificación de los certificados digitales que acompañan a los mensajes complejos. Los simples mortales a los que está dedicado este tutorial tienen que conformarse con procedimientos menos sofisticados. ¿Como?
En primer lugar, pueden realizar una verificación aproximada definiendo con el mouse la dirección de correo electrónico que aparece con el mouse y luego copiándola en un archivo de Word con el modo "conservar solo el texto": si la dirección que aparece después de la operación es diferente, dirá que es uno correo electrónico disfrazado y por lo tanto engañoso. Pero aunque parezca como es, no podemos estar tranquilos. En este caso enviamos un correo electrónico a la misma dirección, que cumplimentaremos cuidadosamente en su totalidad (nada de "cortar y pegar", especialmente en este caso) en nuestro programa de correo electrónico, solicitando confirmación del contacto recibido.
Para comprobar la autenticidad del número de teléfono que aparece en la pantalla, el procedimiento es fácil e inmediato: llamamos al mismo número, posiblemente desde un teléfono móvil (para evitar cualquier manipulación muy remota de nuestra línea fija por parte de la centralita de área). La respuesta revelará inmediatamente cómo son las cosas.
En caso de que nuestra primera línea de defensa no haya revelado inmediatamente una estafa, ¿queremos examinar la propuesta que nos quieren dar? Todavía te pedimos que vengas formulado por escrito a través de correo electrónico o correo ordinario, sin embargo, sin proporcionar ninguna referencia: si nos han llamado, también deben tener nuestra dirección o nuestra dirección de correo electrónico, de lo contrario es probable que sean estafadores o en cualquier caso la plétora de traficantes que trabajan a comisión utilizando con demasiada frecuencia prácticas desleales.
Una buena regla incluso impondría atención al pronunciar algunos términos durante una conversación con nuestro interlocutor no identificado: el simple la palabra "sí" se puede extrapolar (esto también sucede) para preparar un consentimiento verbal a la propuesta de un contrato para el envío de mercancías o para el cambio de gerente. Y mientras tanto, considere seriamente si desea suscribirse al registro de oposiciones a cualquier llamada comercial, que en días finalmente debería extenderse también a los celulares, según establece una disposición legislativa aprobada en enero pasado.
Última recomendación: si tienes indicios suficientes de una estafa o intento de estafa telemática, denuncialo directamente a las autoridades policiales. Puede también a través de la web.
