Desarticulado un grupo que estafó 145.000 euros con la técnica del 'smishing'

La Policía Nacional ha desarticulado un grupo que estafaba por internet usando la técnica del 'smishing', una técnica que consiste en enviar un SMS falso procedente presuntamente de una entidad oficial sin serlo. Los detenidos son un total de 17 personas: 13 de varias localidades catalanas, 3 de Zaragoza y 1 de Madrid.

Los estafadores enviaban mensajes SMS en los cuales suplantaban los servicios de seguridad de un banco y hacían creer a los clientes que había una incidencia que se trataba de resolver de forma 'urgente'. Los investigadores identificaron a varias personas que formaban parte de la estafa y la mayoría de ellos estaban en Manlleu, Centelles, Torelló y Sant Quirze de Besora (Osona).

La investigación empezó en septiembre y relacionaron varias denuncias de clientes de una misma entidad bancaria hasta dar con un total de 170 víctimas y más de 145.000 euros estafados.

¿Cómo estafaron?

Los denunciantes habían seguido las instrucciones de los SMS, supuestamente enviados por su entidad bancaria, con un enlace que los conducía a una página web similar a la oficial, pero controlada por los ciberdelincuentes.

Una vez los clientes habían introducido sus datos bancarios de la banca en línea, que quedaban registrados, recibían llamadas de los delincuentes para obtener más información, como los códigos de confirmación. Asimismo, los estafadores hacían ver a las víctimas que estaban solucionando el supuesto problema de seguridad para después realizar cargos fraudulentos.

Después de identificar a varias personas que estaban dentro de la red de ciberdelincuentes que operaba en grupo, la policía registró una vivienda en Manlleu, donde intervino hasta 10 teléfonos móviles, una pistola simulada, dos dispositivos de memoria y otros documentos relacionados con el fraude. La investigación continúa abierta y no se descartan nuevas detenciones, según indica la policía en un comunicado.

'Smishing', otro tipo de 'phishing'

El 'phishing' es la técnica que consiste en suplantar la identidad de una cuenta, ya sea un correo, un usuario de una red social o un SMS que llegue al móvil. En este caso, sería correo de suplantación de identidad. Un correo falso para hacerse pasar por las empresas reales y conseguir datos personales de los usuarios.

Para poder diferenciar de si es la cuenta oficial o no, podemos seguir una serie de pasos:

1. Mirar la dirección de origen. Nos tendremos que fijar qué hay después del @. Si se trata del mismo que el de la web oficial, será el verdadero. Pero si hay un @gmail.com u otro, tenemos que desconfiar, ya que las empresas usan mayoritariamente un dominio propio de correo. Pero cuidado, porque los 'phishing' podrían usar el mismo nombre pero con alguna variación mínima que podría pasar desapercibida. Por ejemplo, en vez de Dropbox -la oficial-, usarían Drepbox, Drropbox, Dropdox...
2. Mirar a qué página web nos dirige y ver si el dominio es el mismo que el de la original. Tenemos que tener en cuenta la url que veamos en la parte superior de nuestra pantalla antes de proporcionar nuestros datos.
3. Comprobar en redes sociales o Google si hay más usuarios que están recibiendo las mismas notificaciones sospechosas y ver si hay algún aviso oficial como el de los Mossos d'Esquadra.