¿Qué es el scam? El scam es, como palabra, poco conocida pero lamentablemente muy popular como concepto ya que refleja un intento de estafa a través de algún medio telemático. En este artículo se comentarán diferentes tipos de scam y, en concreto, uno con el audio real de una llamada con el timo de Microsoft que me hicieron a mí (que intentaron hacerme, mejor dicho).
Tabla de contenidos
El scam, por tanto, es un término utilizado para referirse a un intento de fraude o estafa a través de medios electrónicos (es decir, normalmente, de Internet mediante correo electrónico, redes sociales, mensajería instantánea, etc.). El objetivo del scam es llegar a conseguir un cierto beneficio económico engañando a las víctimas para que realicen ciertas operaciones y, para ello, suelen emplear técnicas de ingeniería social.
A diferencia de lo que ocurre con otros tipos de ataques, los scam o scamming no requiere de grandes conocimientos de programación o de informática avanzada, ya que mediante tácticas de ingeniería social, engañan a sus potenciales víctimas utilizando programas o servicios disponibles para todos en Internet. Dicho de otra manera, no hace falta ser un especialista en ciberseguridad o un “hacker” (malvado) para poder tener éxito con un ataque de scam.
Es importante señalar que las víctimas del scam suelen ser personas con poca experiencia informática o en Internet que creen de buena fe lo que les indican los ciberdelincuentes y realizan las acciones solicitadas. En algunos casos el “timo” es puntual, mientras que, en otros casos, las víctimas realizan pagos al cibercriminal durante mucho tiempo.
Adicionalmente hay que puntualizar que no es lo mismo scam que spam aunque suenen parecidos. El spam es un tipo de correo electrónico no solicitado ni deseado que llega a nuestros buzones electrónicos para intentar convencernos de algo que nosotros en principio no deseamos (que compremos un producto, que introduzcamos nuestros datos personales, etc.) y decíamos que para los “spammers” o generadores de este correo basura se trata de un negocio muy lucrativo. No tiene por qué ser un engaño lo que se recibe, pero sí es molesto.
El scam, en cambio, como ya se ha comentado, hace referencia a una estafa o fraude a través de medios telemáticos. Puede llegar en forma de correo electrónico, pero también a través de otros medios (redes sociales, mensajería instantánea, etc.).
En este caso, los estafadores intentan robar dinero o cierta información personal valiosa mediante la realización de una llamada de teléfono que puede ser realizada por personas reales, algún tipo de sistema de llamadas automáticas o incluso por mensajes de texto.
Los ciberdelincuentes que llaman a menudo proporcionan algún tipo de información falsa, como por ejemplo que el PC está infectado con un virus, pueden prometer u ofrecer oportunidades para comprar ciertos productos, contratar servicios, invertir dinero, recibir pruebas gratuitas de productos o para realizar algún tipo de gestión, por poner algunos ejemplos.
Recientemente contesté una llamada (en un teléfono de empresa) en la que una locución decía un cierto nombre y apellidos y que esta persona tenía una deuda con una entidad bancaria concreta (de unos 43 euros). La locución proponía resolver “de forma amistosa” esa deuda mediante el pago con tarjeta de crédito directamente tecleando el número de la misma en el teléfono. La deuda era inexistente para esa persona, por supuesto. Lo que buscaban los ciberdelincuentes eran los datos de una tarjeta de crédito que luego podrían usar para otras compras.
En mi domicilio recibí recientemente una llamada del timo de Microsoft que aproveché para grabar… Por diversión. Por supuesto, desde el momento 0 detecté que era una estafa y por eso me hice un poco el tonto con algunas preguntas a ver qué me respondían…
El timo de Microsoft o la estafa de la llamada de Microsoft, así como otro tipo de estafas telefónicas similares llevan en activo desde hace muchos años. El timo consiste en que la potencial víctima (en este caso yo) recibí una llamada telefónica de una persona, con acento extranjero que se identificó como parte del “soporte técnico de Microsoft” y, como se puede escuchar en la grabación, me informa que mi PC está infectado con un virus y se ofrece a ayudarme a eliminarlo. Me da algunas indicaciones para que acceda al visor de eventos de Windows para que comprobase “que hay errores” (aunque en mi caso había avisos).
La solución que me ofrecía es que descargase un programa (Teamviewer) desde un blog de Blogger (que es propiedad de Google, curiosamente, de ahí mi comentario de qué raro que Microsoft use un blog de Google para dar soporte técnico cuando, además, Microsoft cuenta con buenas herramientas para proporcionar soporte remoto). En este caso, la llamada terminó ahí con su “adiós” ya obviamente no pensaba instalar nada, pero otras personas puede que sí lo hubiesen hecho.
No sé si era realmente Teamviewer (un programa de control a distancia de ordenadores) o algún virus o malware con ese nombre, pero el modus operandi de los ciberdelincuentes pasa por acceder al equipo de la víctima y robarle información personal (pidiendo incluso que acceda a su banco online mientras desde la distancia controlan su equipo), infectarlo con virus o, incluso, bloquearle el acceso a su propio PC para pedir dinero a cambio de su desinfección o de pueda volver a usar su ordenador, por lo que hay que extremar siempre las precauciones y recordar que Microsoft (ni ninguna otra empresa) va a llamar para resolver nuestros problemas informáticos. Por cierto que la llamada inicial fue desde el teléfono alemán 00498881726949, pero otros intentos fueron desde 003263751180 y 003233070187 (el último hasta la fecha, el 6 de agosto de 2021).
Es otro tipo de scam de los más frecuentes y sigue de actualidad. Existen múltiples alternativas de este scam por email:
Las cartas nigerianas son un tipo de scam en el que se informa al destinatario del mismo que ha sido ganador de un gran importe económico por una herencia o donación, etc. (en otro país) y que lo único que hay que hacer para recibir el dinero es realizar una transferencia o pago al remitente del email para hacer frente a una serie de pequeños gastos como gestiones, tramitaciones, pago de tasas, etc. Evidentemente el dinero no se recibe nunca… y el contacto entre delincuente y víctima sigue hasta que ésta se da cuenta del engaño.
¿Qué es el phishing? Es una táctica que persigue engañar al receptor de una comunicación (correo electrónico, aunque también puede ser por SMS, mensaje instantáneo por WhatsApp, etc.) para que proporcione ciertos datos confidenciales que pasarán a manos de los delincuentes.
En este caso la posible víctima recibe un correo electrónico en el que se le informa que ha ganado la lotería (incluso sin jugar) y puede ser una lotería nacional que sí existe o la lotería de Microsoft o la de Amazon, por poner algunos ejemplos de loterías inexistentes. En este caso, los ciberdelincuentes solicitan ciertos datos personales e incluso bancarios o de tarjetas de crédito para, supuestamente, hacer el ingreso. También puede ser que soliciten un pequeño importe para realizar ciertas gestiones iniciales como en el caso de las cartas nigerianas. Obviamente, es todo una estafa.
Existen también correos en los que se amenaza a la persona o se le hace chantaje por ciertos hechos reales o no, a cambio de dinero que puede ser depositado en una cuenta bancaria o, últimamente, a través de criptomonedas (bitcóin, principalmente). Este es un ejemplo real de un correo que me llegó:
¡Saludos! Tengo malas noticias para usted. Desde hace aproximadamente unos meses tengo acceso a los dispositivos que utiliza para navegar por Internet. Durante ese tiempo, he estado rastreando toda su actividad en la web. Esta es la secuencia de acontecimientos: Hace algún tiempo, compré el acceso a varias cuentas de correo electrónico a unos hackers (hoy en día es bastante fácil comprar esas cosas en Internet). De esa forma, pude acceder fácilmente a su cuenta de correo electrónico (). Una semana después, ya había instalado un troyano en los sistemas operativos de todos los dispositivos que utiliza para acceder a su correo electrónico. De hecho, no fue nada difícil (ya que usted pinchaba en los enlaces desde su bandeja de entrada). Tan sencillo como ingenioso. =) Este software me permite acceder a todos los controladores de sus dispositivos (por ejemplo, el micrófono, la cámara de vídeo y el teclado). He descargado toda su información, datos, fotos e historial de navegación web en mis servidores. Tengo acceso a todos tus messengers, redes sociales, correos electrónicos, historiales de chat y listas de contactos. Mi virus actualiza continuamente las firmas (está basado en controladores), y por lo tanto permanece invisible para el antivirus. Supongo que a estas alturas ya entenderá por qué he pasado desapercibido hasta este mensaje… Al recopilar información sobre usted, he descubierto que es un gran aficionado a las páginas web para adultos. Le encanta visitar páginas porno y ver vídeos excitantes mientras se da placer. Pues he conseguido grabar varios de sus sucios numeritos y he montado unos cuantos vídeos suyos masturbándose y llegando al orgasmo. Si no me cree, con solo unos clics puedo compartir todos los vídeos con sus amigos, colegas y familiares. Tampoco tengo ningún problema en hacerlos públicos. Supongo que no querrá que eso ocurra, teniendo en cuenta la naturaleza de los vídeos que le gusta ver, (sabe perfectamente a qué me refiero), ya que eso sería una auténtica catástrofe para usted. Lo solucionaremos de la siguiente forma: Me transfiere $750 USD (el equivalente en bitcoins según el tipo de cambio en el momento en que transfiera los fondos), y una vez recibida la transferencia, borraré todas sus cochinadas de inmediato. Después, nos olvidaremos el uno del otro. También me comprometo a desactivar y eliminar todo el software dañino de sus dispositivos. Confíe en mí, cumpliré mi palabra. Es un trato justo y el precio es bastante bajo, sobre todo teniendo en cuenta que ya hace tiempo que vigilo su perfil y su tráfico. En caso de que no sepa cómo comprar y transferir bitcoins, puede averiguarlo en cualquier motor de búsqueda moderno. Este es mi monedero de bitcoin: <> Tiene menos de 48 horas desde que abrió este correo electrónico (exactamente 2 días). Cosas que debe evitar hacer: *No responda a este correo (he creado este correo electrónico dentro de su bandeja de entrada y he generado la dirección del remitente). *No intente contactar con la policía ni con otros servicios de seguridad. Además, no se le ocurra contárselo a sus amigos. Si lo descubro (como puede ver, realmente no es tan difícil teniendo en cuenta que controlo todos sus sistemas), haré su vídeo público inmediatamente. *No intente localizarme, sería inútil. Todas las transacciones de criptodivisas son anónimas. *No intente reinstalar el sistema operativo en sus dispositivos ni se deshaga de ellos. Tampoco tendría sentido, ya que todos los vídeos están guardados en servidores remotos. Cosas de las que no tiene que preocuparse: *Que yo no pueda recibir su transferencia de fondos. – No se preocupe, lo veré de inmediato una vez que complete la transferencia, ya que rastreo continuamente todas sus actividades (mi troyano tiene una función de control remoto, algo así como TeamViewer). *Que comparta sus vídeos aunque me haya hecho la transferencia de fondos. – Créame, no me interesa causarle más problemas. Si fuera esa mi intención, ¡habría empezado hace mucho tiempo! ¡Todo se hará de manera justa! Una cosa más… Procure que no le pillen en situaciones similares en el futuro. Mi consejo: ¡cambie todas sus contraseñas con frecuencia!
Otros correos electrónicos buscan estafar a las persona ofreciendo trabajos inexistentes a cambio de dinero para la inscripción o las pruebas inexistentes, de forma similar a las cartas nigerianas.
También existen otros similares en los que se ofrece un “trabajo fácil” que consiste en hacer de intermediario recibiendo un cierto dinero (procedente de robos cibernéticos o similares) y transfiriéndolo a otra cuenta bancaria o por sistemas internacionales de envío de dinero a cambio de una comisión. Lo que se busca es intentar blanquear dinero fraudulento y constituye un delito incluso para que intermediario, por lo que hay que tener mucho cuidado.
Este tipo de correos de intento de estafa (pueden mantenerse también por redes sociales o mensajería) no se limitan a unas pocas comunicaciones, sino que pueden ser varias a lo largo de mucho tiempo.
La idea es la misma en ambos casos, si bien el fraude de la “Novia Rusa” está más orientado a hombres, mientras que la estafa del accidente o enfermedad está más enfocado a mujeres.
La mecánica es siempre la misma: a través de redes sociales, foros, chats u otros medios, se establece una comunicación inicial entre una víctima y los delincuentes, que a lo largo del tiempo construyen una verdadera relación en la que la víctima confía, llegando a confiarle pensamientos e ideas y creando una auténtica relación emocional basada en el romanticismo. En el caso de las novias rusas, la supuesta chica, normalmente muy atractiva pero de una familia sin recursos, debe realizar muchas gestiones para poder visitar el país de la víctima, para lo que necesita pequeñas cantidades de dinero que pide. En algunos casos, se habla incluso de matrimonio. Es todo falso y lo único que buscan es quedarse con esos importes.
En el caso de la estafa por accidente o enfermedad en un país extranjero, más orientada a mujeres, ocurre lo mismo: se establece un vínculo emocional entre la víctima y los delincuentes creando una auténtica relación de sincera complicidad, en los que se intercambian confidencias y secretos.
Los ciberdelincuentes suelen decir que su personaje inventado tiene hijos y que viajan por todo el mundo. Una vez forjada la relación, el estafador suele decir que va a ir al país de la víctima a conocerla y formalizar la relación pero, lamentablemente, a continuación la víctima recibe un mensaje de un supuesto familiar de su “enamorado” (un hijo, por ejemplo) en el que se informa que ha tenido un accidente o está enfermo y le pide pequeñas cantidades de dinero. En el momento en el que lo recibe, irá pidiendo más y más hasta que la persona víctima se dé cuenta.
Este tipo de correos (y mensajes en redes sociales y sistemas de mensajería instantánea) no son una estafa como tal, pero sí que pueden condicionar las actuaciones y comportamientos de las personas que las reciben, incitándolas a realizar una acción que, de otra manera, no ejecutarían. Aparentemente parecen inofensivos, pero hay delincuentes detrás que se pueden beneficiar económicamente de esta información o acciones mediante pagos por cada clic, inserción de publicidad, etc.
No existe una regla universal para evitar caer en una estafa por Internet (ni tampoco en el mundo real). Un buen comienzo es ser consciente de que existen y de que hay organizaciones que obtienen mucho dinero realizando estas acciones de scam.
Por supuesto, la precaución y desconfiar siempre es una muy buena recomendación y, ante cualquier duda sobre la legitimidad del correo, solicitar información adicional, buscar información en Internet o preguntar a algún conocido que sepa del tema en cuestión.
Por ejemplo, por WhatsApp se puede consultar con la OMS información sobre la COVID-19.
Es preferible dejarse guiar por el sentido común y no por las emociones (amor, miedo, avaricia, etc.) que suelen despertar y utilizar como semilla estas estafas.
Existen otras amenazas a nuestra seguridad y datos personales que no dependen tanto de nosotros (como pueden ser los fallos de seguridad en navegadores, sistemas operativos de ordenadores, smartphones y tabletas, apps, etc.) pero en el caso del scam, normalmente, la acción final debe ser ejecutada por nosotros, por lo que está en nuestra mano no hacer y detener el scam.
Si somos víctimas de él en alguna de sus variantes, es muy recomendable denunciarlo a los cuerpos de seguridad como la Policía, Guardia Civil, etc.
¿Conocías estos tipos de scam (hay evidentemente muchos más, solo listo los principales)? ¿Te ha pasado alguna vez que te han intentado hacer un ataque de scam?
Muy buena información a tener en cuenta. A mí me llegan concierta frecuenta correos electonicos de que he ganado millones de dólares pero no me lo creo. Nadie da duros a cuatro pesetas. Lo que me parece increíble es que haya organizaciones que contraten a gente y paguen llamadas internacionales como en tu caso, de 15 minutos (me he partido de risa con lo que les preguntas por cierto)’y es que mucho dinero tienen que ganar para compensar.