Fundado en 1910

Cajero automáticoGTRES

Spoofing

La 'estafa perfecta' con la que un cliente ha perdido todos sus ahorros tras una supuesta llamada del banco

La llamada y los SMS desde un número de la propia entidad no le hicieron dudar a la hora de transferir el dinero a una supuesta cuenta segura

El año 2023 no acabó bien para Miguel Ángel Sánchez. Este usuario de X contó el pasado 30 de diciembre cómo había sido víctima de una estafa perfecta que le llevó a perder todos sus ahorros.

En un hilo que han visto más de cinco millones de personas, explica todo el proceso que llevaron a cabo los ladrones para llevarse su dinero de ING haciéndole creer que era el propio banco el que le avisaba y velaba por sus seguridad.

El drama de este usuario comienza con la llamada de alguien que dice formar parte del equipo de seguridad de ING. Le asegura que alguien se ha metido en sus cuentas desde un iPhone 7 desde la provincia de Cádiz. Con estos datos, es fácil desconfiar y hasta colgar el móvil, pero los «detalles de mis cuentas» que le facilitó a Miguel Ángel le llevaron a confiar en esta persona.

Cuenta «segura»

El siguiente paso fue meterle miedo y anunciarle que su dinero «estaba en peligro» por lo que podía acudir a una oficina de ING o hacer una transferencia a una cuenta segura hasta que se solventase la incidencia.

Como ING no tiene demasiadas oficinas en Madrid y ante la premura de poner a salvo el dinero, el estafado decidió hacer el proceso online, pero antes decidió pedir al interlocutor que se identificase como empleado de ING.

El fraude estaba preparado al milímetro y el timador volvió a ofrecerle que acudiera a una oficina de la entidad

El fraude estaba preparado al milímetro y el timador volvió a ofrecerle que acudiera a una oficina de la entidad o «mirar en internet el teléfono desde el que le estoy llamando». Aquí esta la clave del delito, algo que se escapa del control de los bancos y que se llama spoofing (suplantación de identidad).

Sucursal

En el momento en el que Miguel Ángel comprueba que el teléfono pertenece a la sucursal de la calle O'Donnell, 46 de Madrid, no tiene dudas de que la llamada es veraz y se abre completamente al estafador. El siguiente paso fue hacer una serie de transferencia a una «supuesta cuenta segura de ING para proteger mi dinero».

Por si quedaba alguna duda, Miguel Ángel recibía los SMS que validaban las transferencias desde un número de ING por lo que el proceso era creíble cien por cien. «En 25 minutos lo habíamos perdido todo», explica en uno de sus tuits y añade que en la oficina de ING de la calle Costa Rica le preguntaron si el ladrón tenía acento extranjero a lo que el protagonista de la historia respondió negativamente, añadió que hasta los tonos de espera estaban perfectamente imitados y que no le dejaron hacer transferencias a las cuentas de su mujer porque «seguramente las cuentas de las personas a las que habitualmente hago transferencias podían estar también en peligro».

Hasta los tonos de espera estaban perfectamente imitados y que no le dejaron hacer transferencias a las cuentas de su mujer

ING respondió a este usuario en X que le darían asesoramiento mediante un mensaje privado aunque es muy probable que no la entidad no tenga responsabilidad en esta estafa a no ser que se demuestre cómo pudieron acceder al móvil de este cliente o por qué sabían esos datos de sus cuentas corrientes que le llevaron a empezar a confiar en la llamada.

Las habituales estafas mediante phising o smishing se une ahora el spoofing. El problema no es la variedad ni los nombres, la gravedad es que los bancos van un paso por detrás de estas mafias que son capaces de hacerse pasar por empleados con un altísimo nivel de engaño y arruinar a una persona en media hora.

¿Cómo funciona el spoofing?

El spoofing es una técnica utilizada en ciberseguridad que se refiere a la falsificación o manipulación de información con el objetivo de engañar a sistemas, usuarios o programas. Este término se aplica en diversos contextos, como el correo electrónico, la identificación de llamadas, direcciones IP, entre otros.

El spoofing puede referirse a diferentes tipos de ataques:

  • Spoofing de correo electrónico: se refiere a la falsificación de la dirección de correo electrónico para que parezca que el mensaje proviene de una fuente confiable cuando, en realidad, es malicioso. Los atacantes pueden utilizar esta técnica para realizar estafas de phishing o distribuir malware.
  • Spoofing de identificación de llamadas: en este caso, los atacantes manipulan el identificador de llamadas para mostrar un número diferente al real. Esto se utiliza a menudo en estafas telefónicas donde los delincuentes intentan engañar a las personas haciéndoles creer que la llamada proviene de una fuente legítima.
  • Spoofing de dirección IP: los atacantes pueden falsificar direcciones IP para ocultar su identidad o para hacer que el tráfico de red parezca provenir de una fuente confiable. Esto puede utilizarse en ataques de denegación de servicio (DDoS) u otros intentos de comprometer la seguridad de una red.