Estafa a través de Bizum utilizando ingeniería social

Recientemente se ha descubierto que un buen número de personas han sido estafadas a través de engaños telefónicos, siendo Bizum el medio escogido por los ciberdelincuentes para consumar el robo por transferencia.

Robo tarjeta

Recientemente la Policía ha descubierto una trama de ciberdelincuentes que han conseguido estafar por valor total de al menos 100.000 euros a un buen número de víctimas en España. Aunque, al parecer operaban desde Perú, focalizaban sus objetivos en nuestro país, por lo que las investigaciones han requerido de un buen tiempo y de colaboración internacional.

Aunque los primeros hechos se remontan a más de medio año, ha sido ahora cuando se ha logrado detener a cuatro personas. No obstante, parece que todavía no se han terminado las labores de investigación porque hay más personas implicadas.

En qué consistía la estafa

El primer paso consistía en contactar vía telefónica con sus posibles víctimas. Mediante técnicas de “ingeniería social” los engañaban con cualquier excusa para sonsacarles la operadora de telefonía a la que pertenecían.

Días más tarde, volvían a llamarles haciéndose pasar por comerciales de esa operadora y les anunciaban alguna oferta puntual para reducir la factura mensual o para conseguir algún dispositivo nuevo como obsequio. Con esta gestión lograban obtener el número de la cuenta bancaria o el de alguna tarjeta de crédito.

Para conseguir el timo y consumar el robo, utilizaban la herramienta telefónica de pagos inmediatos Bizum. Se trata de una aplicación que nos permite pagar o recibir dinero solo usando el teléfono móvil. Los ingresos o los cobros se realizan de inmediato en las cuentas bancarias asociadas para cada uno de los usuarios. Los ciberdelincuentes conseguían hacerse con el control del Bizum de sus víctimas y realizaban transferencias que, en última instancia, recibían ellos.

No obstante, para poder realizar la vinculación entre la herramienta Bizum y nuestra cuenta bancaria, así como para realizar cada pago, debemos escribir un código de seguridad que recibimos vía SMS y que por tanto, solo llega a nuestro teléfono. Entonces, ¿cómo hacían los estafadores para apropiarse de los Bizum de sus víctimas?

Los ciberdelincuentes volvían a utilizar la estrategia del engaño a través de su llamada telefónica a la víctima y les hacían creer que ese código recibido por SMS era necesario para activar la oferta. La víctima facilitaba ese código a los estafadores pensando que con él iban a activar la oferta de la operadora. Pero lo que realmente estaban haciendo era facilitando el código de seguridad que necesitaban los ciberdelincuentes para utilizar Bizum con la cuenta bancaria de la víctima.

Cómo obtenían el dinero

Una vez que los delincuentes tenían bajo control el Bizum de su víctima, hacían trasferencias desde sus cuentas a las de unos intermediarios, figura conocida habitualmente como “mulas”. Éstos finalmente transferían el dinero a través de sistemas poco transparentes, a cambio de algún tipo de comisión, a los responsables de la organización delictiva.

Por lo que ha trascendido, se sabe que la estafa ha afectado a un buen número de personas y ha alcanzado al menos los 100.000 euros.

Consejos para evitar los timos por ingeniería social

Como en la vida diaria, el sentido común y la prudencia puede ayudarnos a evitar ser víctimas de timos y engaños que siempre acechan.

Recordemos:

  • Debemos mantener una desconfianza razonable ante llamadas, correos electrónicos, mensajes de Whatsapp, SMS, etc. que nos anuncien regalos u ofertas “demasiado buenas”.
  • Nunca debemos dar, por ningún medio, (llamada de voz, SMS, correo, etc) las claves secretas que tenemos para acceder a nuestras cuentas o los códigos de seguridad que recibimos para completar algún proceso seguro. Si alguna empresa seria contacta con nosotros para alguna gestión lícita, los interlocutores nunca nos pedirán esas claves o datos sensibles, ellos ya tienen el modo de acceder a nuestros datos.
  • Asimismo, debemos evitar seguir enlaces que nos lleguen a nuestro correo o por cualquier otro medio si resultan sospechosos, podríamos ser víctimas del phishing. Pueden proceder de desconocidos, pero incluso podrían llegar desde la cuenta de algún conocido. Para acceder a las páginas de nuestros bancos u otros servicios comprometidos, siempre es mejor utilizar nuestros marcadores o buscarlos en Internet directamente.
  • Tampoco debemos abrir archivos que lleguen a través de cualquier medio si desconocemos con claridad su origen, aunque procedan de amigos. Podrían haber sido víctimas de algún virus que se dedica a propagar esos mensajes con la finalidad de infectar a todos los destinatarios.