Las ciberestafas se disparan en Extremadura

«Podemos llevar de 60 a 70 consultas atendidas entre la semana pasada y lo que llevamos de esta», comentaban en UCE el pasado miércoles por la mañana. Una mayoría de esos casos son clientes de Unicaja, el banco en el que se ha integrado Liberbank, que a su vez absorbió hace años a Caja de Extremadura, una entidad presente en toda la región pero más arraigada en Cáceres. Por eso los afectados de esta provincia son mayoría tanto en los teléfonos de las asociaciones de consumidores como en las denuncias ante la Benemérita y la Policía Nacional.

«A mí me dejaron sin un euro, no tenía ni para comprar el pan», cuenta M., que tiene 33 años y trabaja como limpiadora en Cáceres. «Lo que me pasó a mí –cuenta la joven, que pide no ser identificada– fue que de pronto, dejó de funcionarme el servicio de banca online. Me acerqué a la oficina, lo comenté y me dieron unas claves nuevas, y al día siguiente recibí un mensaje en el que me decían que un dispositivo ajeno al habitual estaba intentando acceder a mi cuenta de la banca online, y que debía pinchar en un enlace para verificar si era mi teléfono. Este mensaje me llegó desde el mismo servidor que el banco utiliza siempre para enviarme las claves para las operaciones, así que me fié y pinché. Ocho minutos después, no solo me habían quitado los 1.545 euros que tenía en la cuenta, sino que además me habían dejado un descubierto de 185 euros».

«Normalmente, estas cosas las ves en la tele o en la prensa, y no piensas que te pueda pasar a ti, pero sí, te pasa», reflexiona la joven, cuyo caso es calcado al de decenas de extremeños que han sido estafados en los últimos días.

La Guardia Civil tiene más que analizados los mensajes que están recibiendo personas de cualquier edad, y aunque hay tanta casuística como delincuentes, sí hay dos tipos de sms fraudulentos que se han repetido en las últimas semanas. El primero que está corriendo por los móviles extremeños dice así, en su reproducción literal, faltas de ortografía incluidas: 'Se ha iniciado sesion desde un nuevo dispositivo, si no has sido tu verifica inmediatamente'. Y justo después, un enlace web. El segundo modelo dice lo siguiente: 'Lamentamos informarle que su cuenta ha sido bloqueada por actividades sospechosas, complete la verificacion para activarla'.

Tanto en un modelo como en otro, hay dos claves que pueden ayudar a percatarse de que no es el banco quien nos escribe. La primera son las faltas de ortografía, en particular la ausencia de tildes. En el primer sms, faltan en sesión y en tú. En el segundo, ocurre lo mismo con verificación.

En otro sms que está circulando estos días, los malos suplantan la identidad de la Agencia Tributaria con un texto que dice literalmente lo siguiente: 'Te califico para un reembolso de impuestos. Encuentre su formulario de reembolso en el sitio web'. Una lectura lenta del mensaje permitirá advertir lo extraño e incorrecto de la expresión 'Te califico' y el uso primero del tú y luego del usted ('encuentre').

Otra clave que debe hacer sospechar es la dirección url, que con frecuencia es una sucesión de letras y números y no el nombre comercial de la empresa a la que se intenta suplantar.

«La mayoría de los casos que atendemos son estafas, y ahora que se acerca el verano probablemente aumentarán los relacionados con alquileres vacacionales», previene uno de los integrantes del EDITE (Equipo de Investigación Tecnológica) de la comandancia de la Guardia Civil de Cáceres, cuyas cifras dejan claro el auge de la ciberdelincuencia.

Entre abril, mayo y junio del año 2020 atendió 383 denuncias. En el mismo periodo del ejercicio siguiente, ya con la covid dejando hacer más vida en la calle y menos en casa , fueron 258. Y entre abril, mayo y junio de este año van ya 420 denuncias interpuestas. Es previsible que junio concluya con unas 450, lo que equivaldrá a un incremento del 74% respecto al mismo periodo del ejercicio pasado.

Las cifras de la Policía Nacional están menos actualizadas, pero son igualmente llamativas. Entre las estafas bancarias y las consumadas a través de tarjetas de crédito o débito o cheques de viaje, el año 2017 concluyó con 457 denuncias en Extremadura, según los datos del Ministerio de Interior. Al ejercicio siguiente fueron 1.020, en 2019 se alcanzaron las 1.550, y 2020 concluyó con 2.443. O sea, un incremento exponencial y sostenido en el tiempo.

«La ciberdelincuencia es la delincuencia del presente y sobre todo del futuro», ilustra otro de los agentes del EDITE cacereño, creado hace 17 años y que trabaja conjuntamente con el Equipo @, fundado el pasado 1 de octubre. Cada una de estas unidades de la Guardia Civil está integrada por cinco agentes con formación específica para intentar esclarecer este tipo de delitos. Hay desde un ingeniero informático o uno de telecomunicaciones hasta licenciados en Derecho. El Equipo @ es un escalón intermedio entre las unidades de seguridad ciudadana y el EDITE, este último dedicado a los casos más complejos.

En la ciberdelincuencia no hay cámaras grabando al presunto infractor ni testimonios que puedan detallar cómo le vieron cometer el delito. Y sin embargo, la investigación consigue poner nombre a quien envía el mail o el sms fraudulentos. «Es que en Internet queda todo registrado, cualquier cosa que hacemos deja un rastro», explica uno de los agentes del EDITE cacereño.

En esta labor de investigación confían estafados como M., la limpiadora a la que dejaron la cuenta corriente al descubierto mediante 'smishing'. Es el nombre dado a la técnica ilegal consistente en hacerse con información sensible (nombres de usuario y contraseñas, claves bancarias o números de tarjetas, entre lo más común) mediante un sms fraudulento. También existen el 'phishing' (en esencia, lo mismo pero mediante correo electrónico) y el 'vishing' (a través de llamada telefónica).

También 'smishing' es lo que le hicieron hace unos días a M., vecino de Montijo. «Recibí un sms diciéndome que la aplicación para el móvil de Liberbank iba a dejar de estar operativa y que me tenía que descargar la app de Unicaja –relata–. Me la instalé e intenté hacer un 'bizum' pero no me dejó. Llamé al teléfono de atención al cliente y me dijeron que ese fin de semana no funcionaba ese servicio, que lo restablecerían el lunes. Pero llegó el lunes y la app de Unicaja no funcionaba. Estuvo así hasta el jueves, y el domingo recibí un mensaje que me decía que mi cuenta había sido bloqueada por motivos de seguridad, y que debía pinchar en una dirección web que era de Unicaja. La primera vez no le hice caso, pero a la segunda que me llegó, sí. Pinché en el enlace, se abrió una página con el logotipo de Unicaja, no vi nada raro y di la información que me pedían, que era DNI, número de teléfono y número secreto. Automáticamente, el navegador del teléfono dejó de funcionar. Me pareció raro, así que cuando me dejó, entré en la aplicación y vi que desde mi cuenta se habían hecho dos transferencias inmediatas, una de 8.900 euros y otra de 5.000, una a España y otra al extranjero».

A él no le robaron más «porque tengo puesto un tope de 15.000 euros», cuenta el joven de Montijo, donde según cuenta «sé que hay seis o siete vecinos a los que también han estafado».

La entidad financiera afectada explica que «se trata de una campaña que suplanta a Unicaja Banco a través de sms fraudulentos que los ciberdelincuentes y no el banco envían directamente a particulares, como reconoce el propio Instituto Nacional de Ciberdelincuencia». «Estas campañas –continúa– afectan de manera frecuente no solo a clientes de entidades financieras, sino también de otras empresas, y por tanto, no se puede hablar de fallos en los sistemas de seguridad de Unicaja Banco». Por último, recuerda que «la entidad nunca pide al cliente por teléfono, sms o correo electrónico las claves de acceso a la banca digital». En los últimos meses ha habido campañas similares haciéndose pasar por Movistar, Banco Santander, BBVA, Dropbox o Correos Exprés.

En este asunto hay una pregunta clave: ¿Debe el banco devolver el dinero que le han robado a su cliente? La respuesta remite a otra pregunta: ¿La estafa se debe a una falla en los sistemas de seguridad del banco o a una conducta negligente del usuario por no verificar la autenticidad del enlace y proporcionar información a quien no debía?

«Esa es la pregunta clave», sitúa Roberto Serrano, abogado de UCE. «La ley de medios de pago –explica el experto– dice que cuando una operación es reclamada por el cliente, es el banco quien debe demostrar que ha habido fraude o negligencia grave en la actuación del cliente». «Pero esto –añade Serrano– es un concepto abierto, que no todos los juzgados interpretan igual».

El de primera instancia e instrucción número uno de Mérida ordenó el pasado enero a un banco devolver a su cliente los 2.925 euros que le habían ciberestafado, más los intereses. El razonamiento jurídico en el que basó su fallo fue que el banco no había «acreditado el fallo o negligencia por parte del demandante». Pero también existe jurisprudencia en sentido contrario, o sea, juzgados que absuelven al banco al considerar que la culpa fue del cliente.

«Depende de cada caso», deja claro el abogado de UCE. «Hemos tenido varios –amplía– en los que el mensaje fraudulento le llega al cliente en el mismo hilo de mensajes en el que recibe habitualmente códigos para autorizar compras y otras comunicaciones habituales de su banco. Esto significa que el delincuente ha sido capaz de entrar en esos canales de comunicación del banco, y es comprensible que el cliente se fíe del mensaje que recibe». «Y otra falla de seguridad del banco –concluye Serrano– se da cuando sus sistemas de alerta no saltan después de que se hayan comprado criptomonedas en webs lituanas o irlandesas desde una cuenta de un cliente cuyo perfil no casa con esos movimientos».