En esta publicación un tanto particular, te voy a explicar cómo casi me roban 2000€ en una estafa de Phishing. Pero antes que nada…
Índice de contenidos
¿Qué és el Phising?
El Phishing es un tipo de ciberdelicuencia que consiste en obtener datos privados de una víctima para, posteriormente, robarle alguna cosa de valor tanto a nivel personal como empresarial.
Un ataque de phishing normalmente costa de tres partes:
- Se realiza un primer ataque mediante una comunicación electrónica. Normalmente, un correo electrónico, un SMS, mensaje de WhatsApp, Telegram, llamada telefónica, etc…
- En esta comunicación el atacante tratará de persuadirte haciéndose pasar por alguien de confianza como tu banco, una agencia de transporte o incluso alguien de tu propia red de contactos.
- Su objetivo consiste que hagas clic en el enlace que adjunta el mensaje y (descargues una aplicación en tu teléfono, insertes unas credenciales en una página web…)
Si el atacante consigue la información que desea el problema para si se puede presentar en formas muy distintas.
- Compras NO deseadas en portales de internet.
- Suscripciones a servicios online.
- Transferencias desde tu cuenta bancaria.
- Robos de identidad para la realización de operaciones fraudulentas.
- Robo de los archivos de tu teléfono, ordenador o empresa y solicitar un rescate
- …
Si quieres saber más sobre phishing te recomiendo este artículo de la empresa Avast.
Mi ataque de Phishing
Estaba trabajando en casa tranquilamente cuando llegó un mensaje en mi móvil (en nombre de mi entidad bancaria) alertándome que un dispositivo desconocido estaba tratando de conectarse a mi cuenta y que hiciera clic para verificar.
(PRIMER ENGAÑO): El mensaje SMS de mí «entidad bancaria»
Al hacer clic me llevó a una página de login idéntica a la de mi entidad bancaria. Y cómo estaba nervioso por saber qué estaba pasando con mi cuenta y estar metido en demasiadas cosas a la vez introducí mis datos de acceso.
¡¡¡ERROR!!!
Sin pensarlo acababa de entregar las llaves de mi cuenta bancaria a los estafadores.
Traté de detener el proceso, pero ya era demasiado tarde. Así que procedí a acceder a mi cuenta bancaria inmediatamente para verificar que todo estuviera bien.
Por suerte estaba bien aparentemente
… y pensé…
«Cuando termine de hacer esto que estoy haciendo cambiaré mi contraseña por si acaso».
(SEGUNDO ENGAÑO): La llamada telefónica
Poco más de una hora después me llaman a mi teléfono. Supuestamente el teléfono era el de atención al cliente de mi Entidad Bancaria.
Hablé con un hombre que supuestamente me llamaba desde las oficinas de ciberseguridad del banco. Me avisaba que un dispositivo NO AUTORIZADO intentaba hacer una operación con una de mis tarjetas por un importe de 1.973€ con el concepto REVOLUT.
Me dijeron que les había saltado la anomalia en su sistema y desconocían por qué no me había avisado a mi teléfono. Pero que estaban para ayudarme a cancelarlo y que no se me cobrara.
Como se trataba de una operación desconocida para mí les dije que lo cancelaran inmediatamente.
Para hacerlo todo más creíble me informó que la operación quedaría registrada, y que se enviaría un mensaje a mi gestora (también me dijo su nombre) y las conversaciones que había tenido con ella.
También me dijeron el número de mi tarjeta y otros datos de mi cuenta que solo podía saber yo o el Banco.
El primer paso será cancelar la tarjeta de crédito me dijo. También me avisó que me llegaría un mensaje al móvil y que se lo tenía que decir para confirmar la operación de cancelación.
¡¡¡Y VOLVÍ A PICAR!!!
Lo que realmente estaba haciendo el señor era introducir mi tarjeta de crédito en una cuenta de REVOLUT para muy amablemente robarme el dinero. Pero en ese momento todavía no lo sabía y le dije el número de confirmación que me estaba pidiendo.
(TERCER y ÚLTIMO ENGAÑO): Cuando realmente me intentaron COBRAR.
El señor que estaba al otro lado del teléfono me indicaba que acababa de solicitar la operación y que estaba en curso. Estaba tardando un poco más de lo habitual por lo que me pidió un poco de paciencia.
Hasta aquí en realidad era todo «bastante» normal.
Pero pasados unos minutos me dice que ha tenido que solicitar otra comprobación y que me llegará otro mensaje al teléfono para que se lo indique.
La cosa empezaba a oler mal. – ¡Y cuando revisé el teléfono lo tuve claro!
El último mensaje decía lo siguiente:
XXXX: Para confirmar el pago de 1.973 EUR realizado con tu tarjeta ****1274 en REVOLUT, utilice el código xxxxxx.
Abrí mi aplicación del banco y efectivamente allí estaba la operación. Un pago a REVOLUT que yo NO había ordenado y que supuestamente lo estaban cancelando.
Seguí interactuando con el supuesto agente del banco, me dijo que eso era normal. Que ese era el mensaje que les había aparecido a ellos y que ahora había forzado para que me llegara a y lo aceptara.
Durante un momento no entendía nada
¿Cómo podía ser que para cancelar una operación fraudulenta, primero la tuviera que aceptar? – Era como darle el dinero al ladrón con la fe que me lo devolvería después.
Además, en ese momento me saltó el aviso de confirmación o denegación del pago en la aplicación del banco de mi móvil.
NO TENÍA SENTIDO...
Finalmente, recobré el sentido de lo lógico, cancelé la operación desde mi teléfono y se lo dije.
Se puso a la defensiva y me dijo que ahora la orden se quedaría bloqueada y no la podrían quitar del sistema y que lo volvería a solicitar.
Le pedí que no lo hiciera. ¡Que se detuviera inmediatamente! Que llamaría yo al banco para solicitar que cancelaran la operación.
Me respondió que era una tontería, que estaba perdiendo el tiempo, que él estaba en el departamento de seguridad y que probablemente me volverían a pasar con él.
¡Le contesté que vale! Que si me volvían a pasar con él volveríamos a empezar.
Añadí muy amablemente que no me fiaba de él ni de quién decía ser y colgué el teléfono.
La llamada al banco
Llamé al banco (al mismo número del que, supuestamente, me estaba llamando el estafador) e informé que creía estar siendo una víctima de phishing y le expliqué brevemente el caso.
Inmediatamente me pasaron con seguridad, ¡Pero el de verdad!
Les comenté que por error, despiste, baja de guardia o el motivo que fuera… Había introducido mis claves en una página web y que habían accedido a mi cuenta.
Le expliqué toda mi conversación anterior y finalmente procedieron a bloquear mi cuenta y anular mis tarjetas.
… Me sentía faltal… ¡Cómo podía ser que casi me hubiesen engañado a mi! … Que siempre estoy atento a estos temas y le digo a la gente que cuidado con los links que tocan.
La persona del banco con quién hablaba me tranquilizó, me informó que aquello es mucho más habitual (por desgracia) de lo que les gustaría, y que en un momento de despiste le puede pillar al más preparado.
En definitiva… Ahora mismo tengo mi cuenta bancaria bloqueada y no tengo tarjetas. Pero no me han estafado casi 2.000€.
Conclusión
En un mundo cómo el que vivimos, más digitalizado cada día y, en el que la ciberdelicuencia está a la orden del día, tenemos que estar preparados para lo que pueda pasar.
Yo sabía y conocía muy bien esta clase de delincuencia llamada Phishing, pero nunca antes había picado. Y piqué por exceso de confianza… Por pensar que eso a mí nunca me podría pasar.
Por suerte todo ha acabado en una anécdota que te puedo explicar para que no sufras una experiencia desagradable como esta.
Los ciberdelincuentes están por aquí, y en una sociedad en la que todo está digitalizado, ¡tienen más oportunidades para estafar personas que nunca!
RECUERDA, (también para mi)
Tu banco NUNCA te pedirá que introduzcas datos personales de acceso, ni usuarios, ni contraseñas, ni datos de tarjetas de crédito… NADA,
Si este mensaje sirve de ayuda para que tan solo 1 persona evite ser estafada como yo estuve a punto, ya tendrá sentido.
¡¡¡Gracias por estar ahí y cuidado con la ciberdelincuencia!!!
¿Te ha pasado alguna vez algo parecido?
Estaré encantado de leerte en los comentarios.
0 comentarios