Agentes adscritos al Grupo de Delitos Tecnológicos de la Policía Judicial de la Jefatura Superior de Policía de la Rioja, alertan de un tipo concreto de Estafa, a través de la aplicación de ‘Bizum’.

La clave de su éxito está en la inmediatez y la sencillez de los pagos, por ejemplo entre particulares se pude pasar dinero en 3 segundos. Cuando la cantidad es pequeña o la persona a la que se le pasa dinero es habitual, hay bancos que no solicitan ningún pin extra. Pero si en grandes cantidades. Lo habitual es que Bizum envíe un mensaje con un código al interesado que tiene que introducir para poder cerrar la operación.

La cantidad máxima que se puede enviar al día es de 1.000 euros, pero se puede recibir hasta 2.000 euros.

Precisamente la rapidez en los envíos y estas pequeñas cantidades han hecho de Bizum un blanco fácil y ahora se ha visto envuelto en diferentes modalidades de estafa.

Modus operandi

Una de las modalidades más extendidas de estafa, denunciada esta misma semana en la Jefatura Superior de La Rioja, es el procedimiento mediante el cual un supuesto comprador, en este caso de un vehículo, se puso en contacto con el vendedor del mismo, manifestándoles que estaba interesado en su compra, indicándole que le pagaría en «concepto de reserva» la cantidad de 400 euros a través de la aplicación Bizum, aceptando el vendedor el procedimiento, si bien el supuesto comprador en vez de realizar el pago, en su lugar envía una solicitud de dinero con el objetivo de que su víctima sea quien envíe dicho importe, aceptándolo el vendedor y transfiriendo la cantidad de 400 euros al comprador.

Posteriormente el vendedor al darse cuenta del error intenta contactar con el comprador y éste no da señales por lo que no tiene forma de que se le devuelva el dinero, acudiendo a estas dependencias policiales con el objetivo de interponer denuncia.

Otro de los ejemplos más extendido es en que las víctimas reciben una llamada de teléfono desde su compañía telefónica (supuestamente) para rebajarles la factura u ofrecerles regalos.

Si aceptaban la oferta, tienen que facilitar sus cuentas bancarias o tarjetas. Después los estafadores asocian esas tarjetas o cuentas a Bizum. Como se necesita un número PIN para hacer las operaciones tiene que conseguir que las víctimas se lo faciliten de manera inconsciente, creyendo que es un código para activar la oferta de la operadora. Una vez que disponen del número de teléfono, cuenta o tarjeta y el PIN, se realizan las transferencias.

Los estafadores persuaden a los clientes para que se les facilite sus credenciales bancarias, «abusando de su buena fe». Y con ellas, posteriormente, operan en su nombre, haciendo transferencias desde sus cuentas o con Bizum según el caso.

Consejos para evitar caer

Es muy fácil seguir ciertas recomendaciones para que los criminales no te engañen:

Si se han facilitado datos bancarios, se debe contactar directamente con el banco para tomar las medidas de seguridad que correspondan y así evitar que se realicen cargos adicionales.

Vigilar regularmente qué información existe en Internet sobre uno mismo para detectar si los datos privados podrían ser utilizados sin consentimiento.

En caso de haber instalado algún programa por indicación del supuesto operador, es aconsejable desinstalarlo y analizar el dispositivo con herramientas de desinfección para evaluar que realmente no existe ningún riesgo.

Presentar una denuncia en la Jefatura del Cuerpo nacional de Policía más cercana.

Estafa en el ‘envío’

«Buenos días, estimado cliente: Su pedido se entregó el xxx en el punto de recogida. Consulte donde puede recoger sus paquetes: Enlace.»

Se recuerda desde la Jefatura Superior que nuevamente se está recibiendo la estafa consistente en recibir un SMS en el que avisan de la recepción de un paquete suplantando a una empresa logística e invitan al receptor a instalarse una app para saber dónde, supuestamente, está el paquete. (Correos, FedEX, DHL, etc).

Una vez que este troyano infecta los terminales, se establece como aplicación por defecto para SMS para así poder controlarlo, acceder a la agenda de contactos y provocar el reenvío automático de mensajes de tipo SMS.

Las personas que son infectados con este tipo de malware, envían sin que se percate el titular del teléfono, un SMS a todos los contactos de su agenda un mensaje simulando una empresa de paquetería con un enlace. Los receptores reciben el mensaje a su nombre (con el que figura en los contactos del infectado) y si proceden a introducir los datos requeridos a través del enlace, quedan también infectados, existiendo la posibilidad de que, dependiendo del mensaje, los datos que ha introducido sean bancarios y sufran, a posteriori, algún cargo en tarjeta o accesos a su banca online.

Otra modalidad, muy similar a la anterior, es la de envío de un SMS falseados enviados a los teléfonos móviles de los ciudadanos sobre un paquete pendiente de recogida, que contiene un enlace cuya consulta desencadena la descarga de una aplicación maliciosa destinada a acceder a los datos del terminal.

En este caso, el mensaje advierte que el receptor tiene unas horas para confirmar el envío a través de un mensaje de móvil, ya que de lo contrario, se devolverá al remitente. Tras ello, se recibe un supuesto código que habrá que enviar a una supuesta dirección de correo electrónico. Finalmente, resulta ser una suscripción ilícita a servicios Premium de pago en diversas webs que se traducen en cargos fraudulentos en las tarjetas bancarias o recargos en las facturas de telefonía por recepción de mensajes SMS premium.

Consejos

Además de preguntar a las empresas por esos SMS, hay varios pasos que puedes seguir para saber si ese mensaje tan tentador que has recibido es phishing. Una de las cosas en las que puedes fijarte es en cómo está escrito, ya que si incluye faltas de ortografía o frases sin sentido es muy probable que no sea un mensaje real.

También puedes seguir estas recomendaciones para que no te la cuelen con este caso de timos:

1. Fíjate bien en el teléfono que te los envía. Consulta ese mismo número de teléfono en Internet antes y comprueba que es legítimo. Si no lo es, es posible que veas advertencias en la Red sobre posibles fraudes o de otros usuarios estafados.

2. Mira la dirección de la web a la que te redirige. Normalmente este tipo de notificaciones vienen con un link en el que te piden que introduzcas tus datos. Si la dirección web de esta página web no es de la empresa legítima, ojo porque puede ser similar pero nunca el mismo: incluirá guiones, números, alguna letra más, palabras como «online», «compra» que lo hagan parecerse al original. Vete a la web original y compara las direcciones de dominio.

3. Si una institución, supuestamente, se está poniendo en contacto contigo por teléfono, solicítales que te manden un correo personal con esa misma información, diles que les atenderás más tarde y consulta el teléfono en Internet. En todo caso, ninguna empresa o institución debe pedirte datos personales o bancarios por teléfono si tú no has sido quien haya solicitado el servicio a la empresa verdadera.

4. Contrasta con las fuentes antes de dar tus datos. Estos mensajes transmiten urgencia para que no te dé tiempo a reaccionar. Tómate tu tiempo para hacer las comprobaciones personales oportunas, los servicios que te requieran algo, siempre te darán un tiempo para ello. Si algo es urgente, sospecha.