Generalmente cuando una lee sobre estafas o robos por Internet siempre piensa que son cosas que le ocurren a los demás, que las posibilidades de que te ocurran son muy pequeñas y que si lo intentan contigo no tendrán suerte ya que tomas muchas precauciones.
Os voy a contar una historia que he vivido de primera mano ya que le ha pasado a un familiar mío, una persona bastante cauta, con poca presencia en redes sociales, pocas compras online y que no hace cosas raras por Internet (esas cosas me las encarga a mi). Digamos que es el perfil de alguien al que no le pueden ocurrir estas cosas.
Un día se despierta y el móvil no tiene señal. Estas cosas pasan, así que no le da importancia y se va a trabajar. Por la tarde seguía sin señal, así que decide llamar a su operador y le indican que se debe a que ha pedido un duplicado de su tarjeta SIM. Un error, pensó. Así que pidió que enviasen otro. Me lo contó y yo pensé lo mismo. Se han equivocado. Alguien ha cambiado un número…
Por la noche se le enciende la bombilla y decide meterse en su banco online (reconozco que yo no lo habría hecho, seguía pensando que era un simple error) la app del banco no le reconoce las claves. Warning. Llama al servicio de atención telefónica y después de varias preguntas de seguridad le dicen que envían las claves por SMS, responde que no tiene SMS porque está sin SIM. Entramos en bucle… Así que simplemente pregunta a quien le atiende del banco que si observa algún movimiento raro, que no hace falta que le indique cuáles ni cuánto hay. La chica del banco se queda muda, le pasa con el departamento de seguridad y bloquean todas las operaciones. Han vaciado su cuenta corriente con todos los ahorros de su vida (miles de euros). Desde el banco dicen que no se preocupen, que se ve claramente que es un fraude y se lo devolverán. Chapeau por el banco.
¿Qué es lo que ha pasado?
Alguien entorno a las 22:00 recogió un duplicado de su tarjeta SIM en algún comercio (fallo ENORME de la operadora que da un duplicado de la SIM a cualquiera), con el SIM de la víctima en su poder y alguna información que habrá recopilado de Internet (como el DNI y lugar de nacimiento) llamó al banco diciendo que no le funcionaba el password y tras pasar las preguntas de seguridad enviaron la contraseña a su móvil.
Desde ahí se movieron a gusto en la banca online, haciendo transferencias entre cuentas, cargando tarjetas de crédito y enviando el dinero a un cajero de Barcelona. Esta parte, francamente no sé como la hicieron, pero empezaron a sacar dinero (varias decenas de veces y por lo máximo, desconozco si pudieron cancelar online los límites de las tarjetas) desde las 23:30 de la noche hasta las 0:30, con lo que entiendo que sacaron lo máximo permitido en dos días, en menos de una hora. Entiendo que todo esto lo hacen a última hora del día para pillar dormida a la víctima, que en ese momento ya está sin línea. Por cierto, una de las tarjetas de crédito usadas (la VISA) no se había usado nunca antes y seguía en un cajón de su casa.
Algunos pensaréis, ya pero en mi caso cada vez que hay un movimiento de más de X euros me envían un SMS al móvil…. Os recuerdo que no tenía móvil. ¿Y si ese mensaje lo envían por email? como tienen acceso total al banco online, lo desactivan.
¿Qué ha fallado aquí?
Primero hay que dar la enhorabuena a los ladrones. Lo han hecho muy bien y no les han pillado. Lo tienen todo pensado, cierto es que es un trabajo bastante bien pagado. Han conseguido mucho dinero en billetes, espero se lo gasten en tabaco.
Por otro lado, ha habido habido un triple fallo.
En primer lugar y más clamoroso el de la compañía de telefonía que da un duplicado de la tarjeta SIM, por la noche, a cualquiera sin la documentación original. MUY MAL. FATAL.
En segundo lugar, el banco terminó dando la contraseña a alguien que no era quien decía que era. Al final todo se resume en una confianza ciega en que quien tiene el móvil es su titular. MAL, pero hasta cierto punto comprensible.
Y en tercer lugar, probablemente el estafado en algún momento ha cometido alguna imprudencia. Me comentó que hace tiempo recibió emails del banco muy raros, que no hizo click en ninguno porque eran sospechosos, pero quién sabe… Le daré el beneficio de la duda.
Resumen. El dinero se lo reintegró el banco (de nuevo, bien por ellos que nunca dudaron de su palabra) pero el tiempo perdido y la ansiedad provocada no se lo devolverá nadie. A partir de ahí, cambio de passwords, cambio de operadora telefónica y una sospecha constante de todo.
Este fraude es conocido como el “Sim Swapping”, cada vez es más común y te puede pasar a tí. Así que ya sabes, si te quedas sin móvil: sospecha y actúa.
15 comentarios
Sólo 3 países del mundo no adoptan el sistema métrico como el oficial https://droblopuntocom.blogspot.com/2019/07/solo-3-paises-del-mundo-no-adoptan-el.html?spref=tw
–
Banco Mundial avisa que la reducción de la pobreza está en riesgo por la guerra comercial https://www.euribor.com.es/foro/index.php?threads/banco-mundial-avisa-que-la-reducci%C3%B3n-de-la-pobreza-est%C3%A1-en-riesgo-por-la-guerra-comercial.60142/
–
EUA: Los más ricos prefieren acciones y los menos ricos, vivienda como sus principales activos https://www.euribor.com.es/foro/index.php?threads/eua-los-m%C3%A1s-ricos-prefieren-acciones-y-los-menos-ricos-vivienda-como-sus-principales-activos.60153/
Muy interesante y es verdad que uno tiende a creer que esas cosas solo ocurren a los demás…
A Juanito no le pasa que es un ente superior, el resto de mortales incultos firmamos hipotecas y dejamos que nos roben la cuenta, pero es culpa nuestra.
jeje… me ha pasado… Al crear la cuenta de publicidad en Google, como por arte de magia un dia cercano aparecieron 48 operaciones realizadas por ! Facebook! a quienes nunca les di
mi tarjeta, y en moneda de Dongs de Vietnam, jeje… Los retrocedieron en el acto y ya esta…
—
Ahora bien, lo que he dicho yo por aqui es que no se confie en los pagos rapidos por movil… y creo con razon…
Mi cuenta tiene doble confirmacion, por SMS y por tarjeta de coordenadas fisica que no esta digitalizada, es fisica… me hackean el movil y veran lo que tengo en la cuenta. pero no podran hacer ninguna operacion… Hay un cortafuegos que no es del mundo digital y por lo tanto no es tan facil …
Si animo que la gente se forme y se informe, no es porque soy ente superior, es porque en el mundo que vivimos no se puede ser ignorante en esas materias… Pero bueno, Pablito os dira que teneis derecho de ser ignorantes y que no os pase nada, hasta recibir algun premio Nobel, que es discriminatorio que se lo den siempre a los estudiosos…
Y el limite diario y mensual de tarjetas y eso: hay un limite que se pone solo en el banco que es el techo… ese no se puede mover desde el banco online y es aconsejable que sea razonable, no muy alto… luego del banco online ya puedes limitar aun mas, que ayuda si solo te roban la tarjeta y en el mismo tiempo, si quieres alguna vez gastar mas, facilmente te lo amplias del banco online, siempre dentro del limite fijado en el banco…
No se… pensaba que aporto información util, pero resulta que he molestado a foreros… mis disculpas..
No dejeís que os roben.
Echad aceite de girasol a vuestro coche diesel. En este enlace teneís todo lo que necesitaís saber.
https://monacatorevolusionario.files.wordpress.com/2013/10/rodar-con-aceite.pdf
jejeje venga espabilado suerte en la vida. Activista de sillón
Eso del SIM swapping es cada vez más popular. Ojo con soluciones de sólo móvil (p.ej. Revolut) porque te despluman fácilmente.
Hay países donde las operadoras hacen más controles y están implementando estándares para ello, pero ya veremos.
En cuanto al password, hackean frecuentemente muchos sitios web con seguridad de m.ierda. Por ejemplo, LinkedIn filtró millones fácilmente desencriptables.
La web https://haveibeenpwned.con permite verificar si tu e-mail o password se encuentra en circulación en alguna de las bases de datos de passwords que circulan por internet. Es una buena práctica utilizar passwords diferentes para los distintos servicios.
https://haveibeenpwned.com con M al final
¿Puedes decir que banco?, mas que nada para no trabajar nunca con ellos. En los bancos que yo trabajo no dan absolutamente ninguna información por sms, si se bloquea la banca online tienes que ir a desbloquearlo a la sucursal bancaria. Me parece a mi que el problema de seguridad de esa cadena, sim, compañia telefonica, banco, etc, está en el banco. De hecho se ha hecho responsables sin rechistar…
Bastantes bancos hacen eso telefónicamente… otros piden ir a la sucursal, pero con eso de que la gente no vaya a las sucursales, se pasan de la raya y no piden que vayan ni cuando es necesario… haciendo eso, saben que asumen un riesgo y que si pasa algo, tienen que asumir las perdidas, pero o les sale a cuenta según ellos o es una cosa “ideologica” o sea, hacer lo que sea para que no vayan a las sucursales … Pero por lo menos la mitad de los bancos hacen telefónicamente cosas que no deberían…
Lo se, porque muchos clientes que al comprar le surge algún problema con la autenticacion, que tienen el telefono cambiado o la tarjeta sin dar de alta en CS o algo, se lo gestionan por telefono… es mucho mas rapido y comodo, porque a los 5 minutos ya llaman de vuelta y compran sin problemas, pero el riesgo de esa practica es evidente… Simplemente el banco no tiene 100% seguridad de haber autenticado el titular y esa obligacion es del banco, por eso si algo pasa no ponen problemas..
Ahora lo otro es mas incomodo, supone que el cliente tenga que ir al banco, esperar cola y que lo atienda un empleado… sumando todo esa a lo mejor cuesta mas hacerlo asi que de vez en cuando suportar el banco algun robo…. es hacer cuentas…
Tienes razón Juanito, hasta el momento si el timo no ha sido muy común, pues corren con los gastos sabiendo que hay un agujero de seguridad en su protocolo.
Hay servicios del banco que permiten enviar dinero a un cajero, solamente se necesita el móvil, de ahí que no les hiciera falta tener ninguna tarjeta. Para mí el error grave está en la compañía telefónica ya que para obtener un duplicado de la SIM es necesario que acuda el titular de la línea con su DNI original. Quizás el protocolo sea mejorable en muchos aspectos. Un método más seguro sería tener que entregar también una denuncia ante la policía para conseguir un duplicado de la SIM, por robo o pérdida. Otro punto que mejoraría la solución de estos casos sería enviar un SMS a la SIM que va a ser desactivada y de esta manera se podría actuar más rápido. También incluso que las compañías telefónicas usaran un código único de verificación como podría ser una clave o una tarjeta de coordenadas que solo podría tener el titular.
El banco piensa que la operadora hace su parte, pero aún así debe asegurarse de que quien realiza estas operaciones es el titular. Es más segura una verificación en sucursal, ya que las preguntas de seguridad que pueden hacer por teléfono a veces no sabe contestarlas ni el propio titular, y se quedan cortas muchas veces ya que el estafador podría acertarlas de una manera fácil porque son respuestas si/no. Con los años han añadido más protocolos de seguridad, añadiendo preguntas personales por ejemplo, pero si el titular no se ha preocupado de actualizar esos protocolos de nada sirve.
Cualquier paso en beneficio de la seguridad, bienvenido sea.
Para vaciarla, primero debería haber dinero… no me preocupa.
Recientemente en el canal de YouTube MUNDO SEGURIDAD JM, ha sacado un vídeo, donde explican el modo de actuar de los delincuentes y algunos consejos para denuncia,os paso el enlace https://youtu.be/MdlYX_XgJUE