«Estás navidades están siendo duras. Nos han estafado y nos hemos quedado sin ahorros». Así comienza uno de los hilos de X más terroríficos que he leído nunca. Las novelas de Stephen King se quedan en nada ante esta situación que nos puede pasar a todos. A toro pasado, cuando leemos la historia al completo y conocemos el desenlace, es inevitable que caigamos en un «pues yo no habría picado». Creeme: las ciberestafas, combinadas con ingeniería social, cada vez son más sofisticadas. Y nadie estamos exentos de caer en la trampa. Hoy quiero ayudarte a entender mejor el concepto de spoofing telefónico y otros temas de ciberseguridad que hacen que los peligros digitales estén a la vuelta de la esquina.
Estás navidades están siendo duras. Nos han estafado y nos hemos quedado sin ahorros. Cuento esto públicamente, por si alguien ha pasado por lo mismo y por si sirve para que @ING_es asuma su gran parte de culpa. pic.twitter.com/cDdUzHTveL
— Miguel Ángel Sánchez (@mangelsanchez) December 30, 2023
Explicada la trampa del spoofing telefónico: cuando te llama tu banco… pero no es tu banco
Te acabo de dejar el hilo de X en el que la víctima de este ciberataque (en este caso, ataque telefónico), Miguel Ángel Sánchez, explica cómo sucedió todo y lanza un grito de ayuda desesperada. Lo ha perdido todo, afirma. Te recomiendo encarecidamente que lo leas para que puedas estar prevenido y que reconozcas este tipo de situaciones. A modo de resumen, te adelanto que Sánchez recibió una llamada de teléfono explicándole que su cuenta había sufrido un problema de seguridad y que debía transferir todos sus fondos a otra cuenta, de manera temporal. Sánchez, en un primer momento, se mostró algo incrédulo, pero el interlocutor le dio la falsa tranquilidad al decirle que podía hacer la misma operación en una oficina (ING, su banco, no tiene oficinas en todas las ciudades) o comprobar en Google que el número de teléfono que le estaba llamando era efectivamente de ING. Hizo lo segundo. Y aquí comenzó la pesadilla.
Pensando que era su banco quien le estaba llamando, siguió todas las indicaciones y en menos de media hora había perdido todo su dinero. Un dinero que, al momento de publicar este artículo, todavía no ha sido devuelto. Aunque las entidades bancarias cuentan con seguros para afrontar ciertas situaciones y garantizar nuestros ahorros, en este caso, su banco no se hace responsable ya que se considera una negligencia por parte del usuario.
Y en cierto modo es así. Fue el propio usuario el que transfirió el dinero, pero hubo un componente de involuntariedad que debería ser tenido en cuenta. Sufrió un ataque llamado spoofing telefónico.
Pero, ¿qué es el spoofing telefónico? Se trata de un tipo de suplantación de identidad en el que «los atacantes consiguen falsificar el número de teléfono que aparece en la pantalla del receptor, haciéndole creer que la llamada proviene de una fuente legítima», según explica el INCIBE.
Esto es bastante peligroso, ya que los usuarios confiamos a ciegas en el número de teléfono que nos está llamando. Por eso es de vital importancia que entre todos nos hagamos eco de casos como el de Sánchez y es el motivo por el que he querido tomar este caso real para explicar una de las ciberestafas más peligrosas. Alertar a la población de este tipo de peligros es la mejor red que podemos construir entre todos para acabar con esto.
Pero, ¿cómo se lleva a cabo un ataque por Caller ID spoofing? Vamos a ver qué hay detrás. Para realizar las llamadas, las operadoras emplean el sistema de señalización SS7. Tú marcas un número de teléfono y la central de origen realiza el envío de un mensaje IAM (Initial Address Message) en el que se contiene el dato CPN (Calling Party Number), es decir, el número de teléfono que está haciendo la llamada. Este mensaje pasa por el sistema SS7, que a su vez se lanza hasta la central de destino, donde la información llega, finalmente, al dispositivo al que se está llamando. Todo este proceso parece muy complejo, pero en la práctica es casi inmediato.
¿Dónde está el problema en todo este proceso? Pues residen en la llegada de la telefonía VoIP. Si anteriormente este sistema estaba controlado por unos pocos agentes, ahora, el sistema SS7 está al alcance de otros participantes… y como se trata de una tecnología que tiene ya más de 40 años y se diseñó en un momento en el que la seguridad no era tan importante, es fácilmente manipulable. Y es precisamente lo que está sucediendo.
Cambiar el identificador de llamada es muy sencillo. Basta usar una centralita virtual y contratar un servicio SIP (Session Initiation Protocol) para poder hacer este tipo de manipulación.
Por supuesto, el spoofing telefónico en España esto no es legal, pero hay lagunas. En el extranjero no aplica esta regulación, por lo que si la llamada llega desde fuera de nuestros límites nos quedamos en pañales. Las operadoras están obligadas a mostrar el número que se ha indicado desde origen. A la vista de lo sencillo que es manipularlo, es urgente que esto se modifique para protegernos.
No todo es spoofing telefónico: ¿qué otros peligros digitales nos acechan?
Lo más importante de todo es que por fin entendamos que nuestra vida digital es tan importante como la vida física. Igual que no irías por la calle con la mochila abierta ni dejarías la puerta de tu casa de par en par, tampoco debes descuidarte en internet o por teléfono. Déjame que te resuma algunas de las ciberestafas más habituales.
Phishing: Es una de las más conocidas y de las que más se habla. Y qué importante es hacerlo para dar la visibilidad que se necesita para que la población esté más alerta. El phishing es una técnica de ingeniería social mediante la cual se suplanta la identidad de otra persona, empresa u organismo, con el fin de robar información o dinero. Es decir, imagina ese correo electrónico que te llega de parte de una tienda. Puede que simplemente quieran tus datos personales a través de una encuesta o que te presenten un gran ofertón para comprar el último iPhone y tú, confiado porque la tienda la conoces, lo compras… y te quedas sin tu dinero y sin el iPhone. Te puede parecer que el segundo caso es el más grave, y a corto plazo sí lo es, pero ofrecer tus datos personales a un tercero no es una cosa baladí. Con estos datos pueden hacer contrataciones en tu nombre o incluso utilizarlos para más adelante hacerte un ataque mayor (como el caso que hemos visto del spoofing telefónico).
Vishing: Esta palabra proviene de la unión de voice y phishing. Es decir, es la suplantación de identidad a través de una llamada telefónica fraudulenta. El objetivo siempre es el mismo: robar tu información o tu dinero. Puede ser que «solo» te pidan tus datos o, una técnica más elaborada, es que recibas dos llamadas. En la primera, se hacen pasar por tu operador y te avisan un excesivo cambio de precio. Tú te quedas cabreado y un rato después recibes una llamada de otra compañía telefónica dándote una súper oferta… Y aquí sin duda es cuando estás más receptivo para aceptarla.
Smishing: Como diría el refranero español (qué sabio es), es el mismo perro con diferente collar. El smishing es una suplantación de identidad mediante un mensaje de texto. Por ejemplo, un método habitual es que este sms incluya un enlace que contiene malware o que te lleva a una página fraudulenta. Otra opción es que se hagan pasar por tu banco (por seguir con el ejemplo de los peligros bancarios) y que te pidan que llames a un número de teléfono para resolver un problema de seguridad. Por supuesto, este número de teléfono es falso.
Fraude del sicario o proxeneta: Es una de las nuevas alertas del INCIBE, nos lo explican en su web: «Uno de los principales modus operandi identificados es el siguiente. Los ciberdelincuentes insertan anuncios falsos con fotos y un número de contacto en sitios web de citas de pornografía o que facilitan encuentros sexuales, manteniéndose a la espera de que algún usuario pique. Una vez que obtienen su número de teléfono, lo utilizan para asustarle y extorsionarle […] Imagina recibir un mensaje de WhatsApp de un número desconocido. El remitente se presenta como alguien que supervisa a mujeres de compañía y te acusa de haber molestado a una de ellas. A partir de aquí, comienza un escalofriante juego de extorsión que puede llevar a las víctimas a un estado de pánico extremo. Los ciberdelincuentes afirman que, debido a esa supuesta molestia, la víctima debe pagar grandes sumas de dinero para evitar consecuencias graves».
La estafa del hijo: También está siendo bastante habitual recibir un mensaje en el que se escribe a una persona haciéndose pasar por su hijo. «Hola, mamá. Mi teléfono está roto». A continuación, se le pide dinero para algo… Y claro, una madre es una madre. Con el tiempo, este método se ha ido sofisticando y ahora incluso, mediante la IA, es posible emular la voz del hijo y enviar un audio con esta petición. Escalofriante.
¿Qué podemos hacer para protegernos? ¿Y si ya hemos sido víctimas?
Lo decimos siempre: es sumamente importante mantener el sentido común en todo momento. Aquí te damos algunos consejos para protegerte:
- Desconfía: De base, desconfía siempre. Volvemos al ejemplo de la «vida real». No le darías tu dirección, tu número de cuenta y hasta la talla de tu calzado a cualquier desconocido que te encuentres por la calle. No lo hagas online. Es igual de peligroso… o incluso más.
- No pinches en enlaces desconocidos: Si te llega un email o un sms con un enlace, no pinches en él a no ser que estés 100% seguro de hacia dónde apunta. Lo mejor es que, si quieres algo de esa empresa o marca, seas tú quien la busque.
- No digas SÍ por teléfono: Es muy habitual contestar una llamada de teléfono con un «Sí» o incluso que te pregunten algo y respondas de esta manera. Este es uno de los últimos peligros desvelados y es que pueden grabarlo y utilizar este Sí para falsear tu confirmación a la hora de contratar un producto o servicio, entre otros. Evita esta palabra.
- Jamás desveles tus contraseñas: Nunca, bajo ningún concepto, ni aunque venga el mismísimo Felipe VI a pedírtelo, jamás des tu contraseña por teléfono y tampoco la envíes por email. Nunca escribas tus contraseñas en texto plano… y empieza a pensar en usar una aplicación de doble factor de autenticación. Aquí puedes descubrir una guía para crear contraseñas seguras.
- Sé más crítico a la hora de dar tus datos: Sé que es muy jugoso participar en ese sorteo (el que organizan en la panadería de tu barrio y que te piden tu nombre, email y teléfono para participar, pero también por supuesto los de internet), pero sé crítico y valora dónde estás dejando tus datos y, sobre todo, a quién. La ingeniería social puede hacer que, con estos datos, consigan hacerte mucho daño. Y no solo se trata de sorteos: esa newsletter en la que te has registrado, esa app con juegos que te has descargado, esa tienda en la que te registras para ver los descuentos pero nunca llegas a comprar (o hace años que no compras en ella)… Controla un poco mejor dónde das tus datos y, de vez en cuando, haz limpieza y borra laas cuentas que ya no utilizas.
Si ya has sido víctima de una ciberestafa o sospechas haberlo sido, recuerda que el anonimato de la red no le da impunidad a los ciberatacantes. Puedes (y debes) denunciarlo. Donde más y mejor te van a poder ayudar es en el INCIBE (Instituto Nacional de Ciberseguridad). En su página web encontrarás información actualizada para protegerte, organizan cursos, además también existe un teléfono para que preguntes dudas, expongas tus denuncias y te guíen paso a paso para resolver la situación. Guarda en tu agenda de contactos el 017 (disponible de lunes a domingo de 09:00h a 23:00h). Nunca sabes cuándo te va a poder hacer falta.
El caso real del spoofing telefónico que nos ha servido de hilo conductor para este análisis a fondo de la situación de la ciberseguridad en 2024 es solo la punta del iceberg. No se trata de vivir con miedo, pero sí de hacerlo de una forma más segura. Plantéatelo como uno de los propósitos para este nuevo año.