Las distintas medidas de confinamiento para prevenir la pandemia del Covid19 y la vigencia del estado de alarma decretado por el Gobierno, deriva en que los ciudadanos inviertan cada vez más tiempo en Internet. Ya sea para ocio, mantenerse informado o realizar sus compras mediante la modalidad online. De ello también son conscientes los estafadores que han intensificado sus campañas en búsqueda de aquellas víctimas que puedan caer en su maraña de webs falsas que ofrecen productos de telefonía móvil a un precio muy tentador.
En la mayor parte de los casos se trata de páginas web que exhiben terminales de alta gama a un precio muy por debajo de la comercialización habitual en tiendas autorizadas. Las ofertan van acompañadas de grandes descuentos, promociones por tiempo limitado o “últimas unidades”. Es la fórmula utilizada para ganarse la confianza de los usuarios que navegan en internet, un mensaje de correo electrónico, de texto o que acceden a través de “publicidad con gancho” distribuida a través de redes sociales.
Nos encontramos ante un tipo de fraude denominado “phishing” que consiste en atrapar a las víctimas derivándolas a un web no oficial donde mediante técnicas de persuasión se les incita a que compartan información confidencial como números de tarjetas bancarias con su correspondiente CVV para poder acceder al producto y así robar datos sensibles haciéndole creer que está en un sitio web de confianza.
Esta información personal puede ser inmediatamente utilizada para cometer un fraude o incluso vendida en el mercado negro a través de la Deep Web, el lado más oscuro de Internet.
En este tipo de estafas son tan peligrosas como efectivas ya que se trata de un ataque que no está dirigido a vulnerar la seguridad de un sistema operativo, ni franquear el escudo de protección de un antivirus, sino quebrantar el propio subconsciente del ser humano.
Repunte de las campañas de phishing relacionadas con la pandemia COVID-19
Una de las operaciones policiales más destacadas en la lucha contra los ciberdelincuentes se concluyó en julio de 2019 cuando agentes de la Policía Nacional desarticularon uno de los mayores entramados criminales más activos en España de fraudes por internet. La operación se saldó con 45 detenidos especializados en cometer este tipo de delitos con el que lograron estafar cerca de 900.000 euros a unas 2.400 víctimas.
Una de estas webs bloqueadas llegó a reportarles en apenas cinco días 35.000 euros.
Dado el elevado número de estafados, la cuantía media por persona es de 375 euros. Se trataba de una organización criminal que cometía estafas masivas on line mediante 39 páginas web fraudulentas y a través de la banca electrónica, utilizando la técnica del phishing telefónico, que consiste en engañar a los clientes de una entidad bancaria para que suministren información sobre sus cuentas y datos personales.
Para no caer en este tipo de estafas conviene tener en cuenta una serie de consejos para realizar una compra segura y no caer en la red de los estafadores:
- Falta de identificación
La tienda online no facilita información de la empresa: dirección, CIF/NIF… Nos remitimos a la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico que en su artículo 10 dice:
1. Sin perjuicio de los requisitos que en materia de información se establecen en la normativa vigente, el prestador de servicios de la sociedad de la información estará obligado a disponer de los medios que permitan, tanto a los destinatarios del servicio como a los órganos competentes, acceder por medios electrónicos, de forma permanente, fácil, directa y gratuita, a la siguiente información:
a) Su nombre o denominación social; su residencia o domicilio o, en su defecto, la dirección de uno de sus establecimientos permanentes en España; su dirección de correo electrónico y cualquier otro dato que permita establecer con él una comunicación directa y efectiva.
b) Los datos de su inscripción en el Registro Mercantil en el que, en su caso, se encuentren inscritos o de aquel otro registro público en el que lo estuvieran para la adquisición de personalidad jurídica o a los solos efectos de publicidad.
c) En el caso de que su actividad estuviese sujeta a un régimen de autorización administrativa previa, los datos relativos a dicha autorización y los identificativos del órgano competente encargado de su supervisión.
d) Si ejerce una profesión regulada deberá indicar:
1.º Los datos del Colegio profesional al que, en su caso, pertenezca y número de colegiado.
2.º El título académico oficial o profesional con el que cuente.
3.º El Estado de la Unión Europea o del Espacio Económico Europeo en el que se expidió dicho título y, en su caso, la correspondiente homologación o reconocimiento.
4.º Las normas profesionales aplicables al ejercicio de su profesión y los medios a través de los cuales se puedan conocer, incluidos los electrónicos.
e) El número de identificación fiscal que le corresponda.
f) Cuando el servicio de la sociedad de la información haga referencia a precios, se facilitará información clara y exacta sobre el precio del producto o servicio, indicando si incluye o no los impuestos aplicables y, en su caso, sobre los gastos de envío.
g) Los códigos de conducta a los que, en su caso, esté adherido y la manera de consultarlos electrónicamente.
2. La obligación de facilitar esta información se dará por cumplida si el prestador la incluye en su página o sitio de Internet en las condiciones señaladas en el apartado 1.
3. Cuando se haya atribuido un rango de numeración telefónica a servicios de tarificación adicional en el que se permita el acceso a servicios de la sociedad de la información y se requiera su utilización por parte del prestador de servicios, esta utilización y la descarga de programas informáticos que efectúen funciones de marcación, deberán realizarse con el consentimiento previo, informado y expreso del usuario.
A tal efecto, el prestador del servicio deberá proporcionar al menos la siguiente información:
a) Las características del servicio que se va a proporcionar.
b) Las funciones que efectuarán los programas informáticos que se descarguen, incluyendo el número telefónico que se marcará.
c) El procedimiento para dar fin a la conexión de tarificación adicional, incluyendo una explicación del momento concreto en que se producirá dicho fin, y
d) El procedimiento necesario para restablecer el número de conexión previo a la conexión de tarificación adicional.
La información anterior deberá estar disponible de manera claramente visible e identificable.
Lo dispuesto en este apartado se entiende sin perjuicio de lo establecido en la normativa de telecomunicaciones, en especial, en relación con los requisitos aplicables para el acceso por parte de los usuarios a los rangos de numeración telefónica, en su caso, atribuidos a los servicios de tarificación adicional.
2. Deficiencias en el lenguaje: letra ñ
Una letra tan característica del castellano puede generar errores gramaticales de traducción a la hora de construir una web falsa donde dicha labor ha sido derivada al traductor de Google. En este caso es el propio instinto el que nos llevará a levantar sospechas.
3. Precios inusualmente bajos
En este apartado recurrimos al refranero como fuente de inspiración, que acumula siglos de sabiduría popular: “Nadie da duros a cuatro pesetas”. En este tipo de web se ofrecen terminales móviles a un precio extremadamente bajo y totalmente alejados de precios razonables o reales. También nos podemos encontrar con un modelo a un precio muy alto y otro con un gran descuento promocional.
4. Página web en español pero contestan en otro idioma
¿Por qué desde una web aparentemente española contestan en inglés o francés?, raro, raro, raro… ¿verdad?
5. Pedido a través de email y pago mediante transferencia
Cualquier web, por muy rudimentaria que sea, tiene una pasarela de pago para efectuar las compras a través de una cesta virtual. En todo caso, suelen ofrecer distintos métodos de pago pero no derivar a una dirección de correo y realizarse mediante transferencia bancaria, ni remisión de datos de tarjetas ni PayPal.
6. La web no cuenta con un certificado digital
La seguridad en Internet se ha convertido en una prioridad para la mayoría de las empresas. Los certificados HTTPS son estándares de seguridad que se utilizan para asegurar la transferencia y la gestión de la información corporativa interna, los datos de los clientes y cualquier tipo de información sensible.
7. No hay rastro de “textos legales”
El usuario no detecta rastro alguno sobre términos y condiciones, política de privacidad… o en caso de hallarlos están mal redactados o con errores gramaticales.
8. ¿Esa web existe o hay alguna referencia?
Al detectar una web sospechosa no encontraremos comentarios en ningún foro ni referencias en ningún otro lugar en la Red. Aunque no es determinante, es aconsejable consultar Internet y preguntar por la tienda a fin de tenerlo en cuenta en caso de encontrar posibles quejas o comentarios negativos.
Autor: Jose Mª Puig | Miembro FFCCS, graduado en comunicación