vía Xataka.
Mi teléfono suena. El identificador reconoce la llamada y el número y me indica que quien marca es un amigo agregado entre mis contactos. Pero eso no puede ser cierto: mi amigo está en la habitación contigua, con su teléfono sobre el escritorio, sin ser tocado por él.
En realidad quien hace la llamada ha disfrazado su número, como una muestra de que el spoofing es completamente realizable y, todavía más preocupante, para nada complejo de hacer.
El verdadero autor de la llamada es el especialista en ciberseguridad Eliot Eggers, quien me ha prometido que puede disfrazar su número y hacerse pasar por cualquier persona que yo tenga agregada en mis contactos. Previo a la llamada, me ha pedido el número de mi amigo, así que he sido yo el que se lo ha facilitado para corroborar su punto. Solo unos segundos después recibo la llamada que yo sé que es falsa, pero el identificador de mi smartphone no.
Como prueba educativa es inocua, como una de las estafas tendencia en México, no.
Spoofing, o como cuando quien te llama parece el banco pero no lo es
Alejandra recibió una llamada a medio día de un martes cualquiera. Su teléfono le indicó que se trató de su banco y, al responder, la operadora del otro lado de la línea le explicó que fue recibido un movimiento inusual en su cuenta bancaria. Alejandra no dudó ni por un momento. Toda su confianza estuvo en el identificador de llamadas de su teléfono que le ha dicho que la comunicación es legítima y proviene de su banco dado que el número está guardado en su agenda.
Los siguientes minutos son cruciales para el defraudador. En ningún momento la víctima puede sospechar nada, así que, siempre con tono amable, cordial y seguro, la “operadora” le explicó que, para protección de su cuenta, era necesario enviarle un PIN a su teléfono y luego ella debe proporcionarlo en la llamada. Alejandra accede. La llamada no duró más de diez minutos, tiempo en el que le fue pedido a Alejandra que esperara en la línea mientras finaliza el proceso de configuración de la cuenta.
La llamada terminó. Alejandra entró a su banca móvil para certificar que la cuenta estuviera íntegra, pero su sorpresa es que, segundos antes, se ha hecho una transferencia electrónica desde su cuenta a otra, por un valor de más de 3,000 pesos.
Acto seguido, Alejandra devolvió la llamada al banco usando la misma entrada de llamada recibida de su teléfono, la generada por la llamada fraudulenta. Suena conmutador. Tras un menú repleto de opciones, Alejandra por fin consigue entablar conversación con un operador que le dice que la llamada, pese a parecer legítima en su identificador, tiene indicios de haber sido fraudulenta. Alejandra nunca había escuchado hablar de spoofing cuando me relata lo que le pasó.
Cómo funciona el spoofing
El spoofing consiste en la suplantación de identidad y aplica tanto para suplantación de IP, correo electrónico, sitios web y, desde luego, número telefónico. Esencialmente el estafador hace lo que Eggers me ha hecho a mí: falsificar deliberadamente la información enviada al identificador de llamadas. Eggers lo ha hecho con un número telefónico de un amigo que yo mismo le di; a Alejandra se le han hecho pasar por su banco.
Para este tipo de fraudes, el defraudador debe imprescindiblemente conocer cuál es el banco del cliente, así como su nombre completo y, en ocasiones, puede conocer también los últimos dígitos de su tarjeta. El problema con ese modus operandi es que no hay forma de certificar la autenticidad de la llamada mientras se esté en ella. Algunas aplicaciones contra spam podrían funcionar, pero con ellas siempre hay matices en cuanto a cuál es la información que les es compartida. La única forma de garantizar no ser objeto de una estafa así es no confiar de las llamadas que se reciben, no importando si el identificador del smartphone indica que es del banco, la aseguradora, o cualquier otra empresa que brinde servicio financiero al usuario.
La regla es sencilla: el usuario no debe dar ningún tipo de información personal en llamadas que recibe, no importando si el identificador reconoce que la llamada proviene del banco.
Uno de los problemas con el spoofing es que, me dice Eggers, es un tipo de estafa relativamente desconocido en México, pese a no ser nuevo. El especialista en ciberseguridad me relata que una gran proporción de su abanico de clientes en realidad nunca había escuchado el término hasta que llegan con él, lo que es relevante si se considera que sus clientes son grandes empresas, normalmente con equipos dedicados a ciberseguridad.
Los esfuerzos han estado ahí desde hace tiempo pero simplemente no han resonado. La Asociación de Bancos continuamente tiene comunicación sobre el tema y no es difícil encontrar otros mensajes por parte de los bancos dirigidos especialmente a sus cuentahabientes.
Las recomendaciones para evitar spoofing no son distintas a las que suelen darse para evitar cualquier tipo de fraude telefónico, siendo la principal no otorgar ningún dato sensible en una llamada, incluso si el identificador del smartphone nos indica que la llamada tiene todo para parecer legítima. Esa es una indicación ligeramente distinta a las que existen para contrarrestar el tradicional phishing o vishing, pues para esos tipos de fraude bastaba con no confiar de llamadas o mensajes entrantes desde números sospechosos, según las recomendaciones de la Condusef.
Los datos que nunca se deben compartir en una llamada recibida, sin importar si el identificador de llamadas distingue que se trata de una llamada proveniente del banco o de cualquier institución financiera de la que se es cliente, son:
- Contraseñas, puede ser de servicio o de cuenta en banca en línea
- Claves
- NIP
- Código de seguridad de tarjeta
- Token, que son los números enviados usualmente a smartphone, para validar una transacción en línea
- Datos personales como nombre o domicilio
El mismo día en que Alejandra fue estafada, levantó un procedimiento para solicitar una devolución a su banco. Poco más de un mes más tarde, la petición fue confirmada como rechazada.