Que levante la mano quien haya recibido un mensaje de un príncipe nigeriano. ¿Quizás un SMS de tu banco para informarte de un pago de 1000€ a las 12 de la madrugada que no has hecho? Ya palabras mayores. Un mensaje de tu jefe desde Hong Kong para que le ingreses urgentemente un dinero a un cliente sin decírselo a nadie porque es un secreto.
Estos tres ejemplos son tan ridículos que nadie caería ¿verdad?
La estafa del príncipe nigeriano es una estafa que lleva literalmente siglos en funcionamiento. Internet sólo ha conseguido extender el alcance, pero pasó por la historia como la estafa del prisionero español en el siglo XIX y desde entonces ha llegado hasta nosotros con distintos nombres. Vale Sami, ¿a dónde quieres llegar? Si lleva siglos en funcionamiento es que más de uno y más de dos caen.
La segunda parece también muy estúpida ¿verdad? Pues un servidor casi cae. Se libró de meter el código del banco porque el enlace abrió una página web en lugar de la app del móvil, y esa clave me hizo sospechar. En mi defensa debo decir que estaba durmiendo plácidamente y me despertó el mensaje. En general intento no caer.
La última estafa la he cogido porque es muy reciente. En el 2022 se condenó a la Jefa de contabilidad de una gran empresa por hacer exactamente eso. Según la noticia, siguió las instrucciones de quienes pensaba que eran el Presidente y otros puestos de confianza, saltándose protocolos de seguridad, sin saber que en realidad estaba siendo engañada por unos criminales.
Todo esto viene a decir que sí, las estafas por internet (y en la vida diaria) están a la orden del día, y con las nuevas tecnologías hay más y más creativas formas de engañar a la gente.
¿Cómo las identificamos? ¿Cómo nos protegemos?
Hay una serie de principios comunes a todas las estafas, aunque el principio fundamental es:
Si es demasiado bueno para ser cierto, muy probablemente no lo sea.
Principios básicos:
- Urgencia. Un caso muy común es transmitir la sensación de urgencia. En el ejemplo del SMS, es una cantidad de dinero tan importante que la urgencia de arreglar el problema se interpone frente a otras consideraciones. El objetivo del estafador es no darte tiempo a pensar, y a la vez ofrecerte la solución al alcance de la mano. Lo habitual es que el anzuelo lo pongan en forma de un enlace a una página que es idéntica a la del banco, de modo que metas tus credenciales sin sospechar nada, pero en su web, no en el banco, y una vez tienen tus credenciales olvídate de tu dinero. Y ahora ya hay variantes. Desde los enlaces con mensajes del tipo «si quieres cancelar el pago pulsa aquí» o lo que ocurrió en mi caso, más sutil… ofrecen un enlace a la web del banco sin más explicaciones. De este modo no levantan sospechas con mensajes demasiado agresivos que llevan a encender las alarmas. Recuerda. Ante la urgencia, responde con calma. Date tiempo para pensar. Si no conoces la fuente o no tienes forma de verificar que sea la fuente real, no tomes decisiones de las que te puedas arrepentir.
- Oportunidad perdida. Es semejante al anterior, pero en este caso no juegan con la urgencia. Juegan con las expectativas y necesidades de la víctima. Es el mismo principio que el cartel de «liquidación» pintado al oleo en el escaparate de una tienda (que ni liquida ni tiene intención de liquidar), pero el mensaje que transmite es «si no compras esto ahora, mañana puede que no esté». Es muy típico el caso de estafadores que insisten en una oferta por tiempo limitado, teleoperadores estafadores que llaman ofreciendo un descuento del tipo «me sobran dos bonos descuento para familia, pero como me has caído bien, te puedo aplicar uno a tí si te decides a contratar este servicio» (por supuesto dándole tu número de cuenta y todos tus datos). Recomendación. Si no estas muy seguro de que la oferta sea real y es por tiempo limitado, fíate de tus instintos. Mi consejo es el siguiente. No te lamentes por lo que no has ganado, porque te podrías estar lamentando por lo que has perdido.
- Confianza. Enlazando con el ejemplo anterior, el teleoperador comienza con una charla amigable para ganarse la confianza de la víctima. Esto es aplicable en prácticamente todas las estafas que implican interacción personal. Desde simular una amistad (en casos de víctimas con un alto perfil incluso de meses, como por ejemplo administradores de sistemas de grandes empresas) para conseguir información hasta el caso del ejemplo anterior, ganarse la amistad para bajar las alarmas mentales. Debo insistir muchísimo en esto: Nunca se deben revelar datos personales, ni siquiera a amistades, que tengan relación con información sensible, como contraseñas o protocolos de acceso al puesto de trabajo. Y nunca se deben rellenar preguntas de seguridad con datos reales. Para eso usa un gestor de contraseñas como indiqué en el post anterior y guarda respuestas absurdas a preguntas de seguridad.
- Autoridad. Siempre que usan esta estratagema suelen unir la urgencia (hay que hacer esto ya), secretismo (no se puede enterar nadie), datos que «sólo la figura de autoridad y la víctima pueden conocer» (en el ejemplo de arriba, quién va a saber que el Presidente estaba en Hong Kong, aparte de cualquiera que entre en su facebook a ver las fotos del hotel) y por lo general una orden para saltarse el protocolo. Desgraciadamente en más de una empresa, sobre todo las chapadas a la antigua (donde el dueño habitualmente se salta el protocolo porque es el dueño), lo normal es que las órdenes autoritarias sean habituales. El hecho de que siempre venga a la oficina a dar la orden o en esta ocasión «llame por teléfono acatarrado» (siendo en realidad el estafador quien llama), para la víctima no supone diferencia alguna habida cuenta de que el origen del problema es el mismo. «El jefe se puede saltar el protocolo de seguridad». En ocasiones se envía un email desde una dirección semejante, de modo que a simple vista parece la correcta pero en realidad cambia una letra. Por ejemplo, Ignacio@ejemplo.ej o lgnacio@ejempIo.ej. Voy a cambiar mayúsculas por minúsculas: ignacio@ejempLo.ej o Lgnacio@ejempio.ej. El primer email es el correcto. El segundo parece el mismo, y quien lo recibe piensa que lo manda Ignacio desde la web de la empresa. Sin embargo, los criminales han registrado el dominio ejempio.ej y han mandado un email simulando ser el verdadero Ignacio. Para prevenir esto, dos recomendaciones. Primero, nunca saltarse el protocolo, ni por el jefe ni por la jefa, y si te obligan, por escrito o con pruebas de que te ha ordenado saltártelo. Dentro de las posibilidades de cada cual. Es muy fácil recomendarte enfrentarte a tu jefe cuando las consecuencias las llevas tú… Segundo. Siempre, y para esto no hay excusas, confirmar el origen de la orden estableciendo yo la comunicación con el jefe. Le escribo yo al email que yo conozco para confirmar la orden (no respondiendo, escribiéndole yo un email nuevo), llamándole a su teléfono que yo conozco, no devolviendo la llamada, etc. Incluso cuando indique que no tiene acceso al teléfono ni al email más que de forma esporádica, esta medida no se puede saltar nunca. Mejor quedar de estúpido por preguntar que de estúpido por no preguntar.
- Defensas bajas. Te pilla dormido, a la hora de la siesta, en una fiesta con amigos, distraído concentrado en algo, celebrando algo… Las mejores oportunidades de estafa ocurren cuando la víctima no se lo espera o el estafador se ha ganado su confianza. En ocasiones es hasta imprescindible para llevar a cabo la estafa. Desgraciadamente son muy habituales las estafas amorosas. Personas que por distintos motivos establecen contacto con «el amor de su vida» (tanto de forma virtual como en persona) y en realidad se trata de estafadores que, además de hacer daño económico, hacen daño psicológico por jugar con los sentimientos de la otra persona. En otras ocasiones se trata de acercamientos a nivel amistoso, tanto en persona como por internet, con el objetivo de ganar información acerca de esa persona. Cuanto mayor es el botín esperado, más riesgo suelen correr. En el caso de multinacionales con un botín jugoso (ya sea información, dinero o datos de acceso), los estafadores pueden llegar a quedar en persona con la víctima para conseguir información, siendo incluso organizaciones criminales o países los que están detrás de la estafa. En el caso de cientos de euros, lo habitual es no establecer un contacto en persona salvo que sea sencillo para el criminal, limitándose a hacer contactos por internet. En este caso es muy complicado protegerse. Somos seres sociales y establecer amistades es parte de nuestra vida. Si te pillan recién levantado tus neuronas aun no han llegado a encenderse. Una persona de la que te enamoras no esperas que vaya a engañarte… En este caso, mi consejo es no tomar decisiones hasta que no estés seguro de que tus neuronas están al 100% de funcionamiento, nunca desveles información que la otra persona no necesite saber y en casos del corazón… escucha a alguien de confianza que no esté enamorado como tú… No necesariamente para hacerle caso a pies juntillas, pero al menos escuchar lo que tenga que decir.
- Miedo. En este caso puede ser tanto miedo directo (intimidación por ejemplo, aunque ya nos empezamos a alejar del concepto de estafa) como indirecto (si no te operas hoy mismo en mi clínica vas a quedarte paraplégico, aunque ahora estés perfectamente). Ojo… no confundir con señales de alarma claras. El miedo está para reaccionar inmediatamente ante un peligro. Si te gritan «sal de la vía que viene el tren», no te pares a llamar a tu abogado. No hay mucho más que decir. En estos casos, recurrir a la policía o pedir ayuda a gritos en el caso de la intimidación. En el caso del miedo indirecto, pensar con calma. Analizar si el riesgo es real con sentido común, consultar con otras fuentes…
- Desinformación. Voy a repetir lo que he leído mil veces por internet (y leeré otras mil). Parece mentira que en una época que tenemos la información al alcance de la mano esté creciendo más que nunca la desinformación. Pero supongo que matemáticamente se puede demostrar que van de la mano (alguien podrá, yo sólo alcanzo a intuirlo). Que hoy en día digan que la tierra es plana, en términos absolutos (no como una aproximación local a menos de 100m ni nada parecido), y de verdad se lo crean, parece absurdo, pero ocurre. En otras ocasiones se trata de convencer a la gente de que una realidad es distinta mirándola desde otro lado. Y eso no es necesariamente verdad ni mentira, bueno ni malo. Por ejemplo, «con la abolición de los fueros, Felipe 5 marcó el fin de la edad media y la transición a la edad moderna» o «con la abolición de los fueros, Felipe 5 eliminó derechos históricos de varias comunidades». Ambas afirmaciones, así, sin matices, narran un mismo hecho dándole características de bondad o maldad, y ambas pueden ser perfectamente ciertas y hasta compatibles. Vale Sami. ¿Para qué te has metido en este jardín? La estafa viene porque a nadie le llegan de repente estas ideas de forma espontanea. Siempre hay alguien que saca algo de todo esto, y por lo general no eres tú, aunque te hagan creer que sí. En ambos casos, los promotores de esas ideas necesitan seguidores par sacar rédito. Unos lo sacan mediante cuotas de poder. Otros ingresos por congresos en los que demuestran la planitud del PLANETA (el chiste se hace sólo). La forma de protegerse… Siempre la misma. Leyendo de todo y escuchando a ambas partes. No dejarse llevar por lo que creemos saber pero sin dudar de lo que objetivamente sabemos. Que Felipe 5 abolió los fueros es un hecho. Para concluir si fue bueno o malo habrá que escuchar (a ambas partes), debatir (con la parte contraria, con la tuya no hay nada que debatir) y dejar de lado sentimientos y prejuicios. Que la tierra es un geoide (y ese geoide no es plano) está más allá de toda duda, y si no lo tienes claro, haz la prueba igual que hizo Eratóstenes, o vete al museo de ciencias de tu ciudad que seguramente te puedan hacer una demostración sencilla. Y recuerda siempre. En una estafa, alguien saca algo de todo esto y ese alguien no eres tú.
Habrá más medidas de seguridad y más estafas, pero volvemos a la frase del principio. Si es demasiado bueno para ser verdad, probablemente no lo sea.
El tema da mucho de sí, de modo que haré una segunda entrada en otro momento con más medidas.
Si alguien ha visto la película «atrápame si puedes», que sepa que está basada en hechos reales. El estafador se llamaba Frank Abagnale, y cuando le cogieron se pasó al lado el bien como asesor del FBI. Escribió un par de libros. «Scam me if you can» (en inglés) es muy bueno y ameno, y describe muchas técnicas de estafas.
Hasta la próxima entrada.
Deja una respuesta