Recibo esta semana en mi teléfono móvil una llamada —entre muchas, demasiadas— de un teléfono que no tengo reconocido en mi agenda. Y encima a la hora de la siesta, un «deporte» que yo no practico, pero no deja de ser un fastidio. No estoy esperando llamada alguna en la que yo esté interesado, lo que motiva que me ponga en guardia al decidir cogerla.
—Dígame (Nunca se responde SÍ, por si las moscas).
—Buenas tardes. ¿Ángel Luis?
—Pudiera ser, ni se lo confirmo ni se lo desmiento.
—Le llamo de «su» banco XXXX.
—No atiendo este tipo de llamadas, buenas tardes. Y cuelgo.
Al ratito veo en el móvil que tengo un mensaje del gestor en la aplicación de mi banco XXXX con una queja, educada y formal, de que le he colgado en una llamada a mi número de teléfono móvil hace unos minutos. Le explico las causas y concierto una cita para la próxima semana para tratar este asunto de la interrupción de la llamada y ver lo que realmente era objeto de su llamada. Antes de seguir, aclaro que, a un amigo, hace unos meses, le «levantaron» siete mil quinientos euros de su cuenta de ese mismo banco XXXX con una llamada aparentemente real.
Desde hace ya tiempo y por otros «sucedidos» que han afectado a mis peculios he decidido no atender directamente ninguna petición en la calle ni ninguna llamada, correo electrónico, SMS, guasap o similares. En caso de que suene interesante, seré yo el que inicie las operaciones para contactar con la empresa o persona que me ofrece cosas.
Hay algunas entradas en este blog tratando temas colaterales al asunto de los engaños, timos, xxxhing y similares. Confieso que he escapado a muchos a lo largo de mi vida, no todos, pero esta semana he vuelto a caer. Han sido poco más de 25 euros pero no es la cantidad, es el hecho. Tengo que reconocer que estaba muy bien preparado y me gustaría saber cuantos más han caído en ello.
¿Cual ha sido el problema? Pues el título de esta entrada: el señuelo. Dice el diccionario en su acepción 4.ª que es «cosa que sirve para atraer, persuadir o inducir, con alguna falacia». Los peces, pobrecitos, no muerden el anzuelo si no se les engaña con un señuelo que atraiga su atención poderosamente. A los humanos nos puede pasar lo mismo.
En este caso ha sido a través de un correo electrónico, correctamente escrito, procedente —teóricamente— de una empresa con la que tengo relaciones, dirigiéndose a mí por mi nombre —es verdad que solo figuraba mi nombre y ningún dato sensible más— y más tarde indicaré el mecanismo adicional que me ha hecho picar.
Continuamente estamos siendo advertidos de intrusiones en las empresas por hackers que entran hasta el fondo del almacén y arramblan con todo lo que pueden. En los mundos electrónicos, lo que se roba son datos, datos que son oro para confeccionar bases de datos de personas que se venden en los mundos oscuros a enemigos de los bolsillos ajenos que cada vez diseñan los timos con mayor fineza y puntería. ¿Por qué? Porque tienen los datos. A mí me han llamado de una compañía eléctrica, que no es la mía, diciéndome mis datos de nombre, domicilio y potencia contratada con otra compañía para que me cambie a la suya. ¿Cómo tienen esos datos? En otro caso ocurrió, en teoría, con una llamada de mi operador de telefonía móvil. Sabían cuál era mi número de teléfono, mi compañía y mi nombre… Insisto ¿cómo lo sabían?
Las empresas, por lo general, no reconocen que les han entrado hasta la cocina. Y las pocas que lo reconocen lo hacen parcialmente, me temo que nunca dicen «toda» la verdad porque incluso ni ellas mismas lo saben. La última, Iberia. Una anterior que recuerde, El Corte Inglés. Y algunas que no lo han reconocido, como la DGT, mucho me temo que también.
En todo caso, es muy fácil saber tu nombre y con que banco trabajas. Cualquier comerciante al que abonas con tarjeta lo puede saber. Y averiguar un domicilio, incluso un DNI, es tarea de niños. Con todos estos datos se genera un perfecto señuelo que te puede hacer creer que quién te llama o te escribe es quién dice ser, pues no en vano tienen todos tus datos… jajaja
Hay que tener mucho cuidado y aplicarse la norma a sangre y fuego ya relatada un poco más arriba: no atender directamente ninguna petición en la calle o sitios públicos, ni ninguna llamada, correo electrónico, SMS, guasap o similares. No hacer CLIC en ningún enlace.
¿Se puede denunciar esta estafa que he sufrido de tan poca cantidad? ¿Merece la pena el calvario de poner la denuncia?
Además de los señuelos, hay que indicar la mala pasada que nos pueden jugar los juegos de caracteres informáticos. Veamos el siguiente ejemplo escrito con el juego de caracteres CALIBRÍ:
angel.luis@gmail.com
angel.Iuis@gmail.com
¿Son iguales? ¿O solo lo parecen? Vamos a escribirlo de nuevo con el mismo juego de caracteres, pero en mayúsculas
ANGEL.LUIS@GMAIL.COM
ANGEI.IUIS@GMAII.COM
La diferencia, sibilina, que se aprecia en el caso de las mayúsculas pasa completamente inadvertida en el caso de las minúsculas con la letra «ele». Si aplicamos esto a multitud de casos, podemos creer que estamos recibiendo un correo o un mensaje de guasap de un sitio que en realidad está camuflado.
Antes de concluir esta entrada, por que creo que no es lo suficientemente conocido y al menos en el caso del mundialmente utilizado correo de Google, dan igual las mayúsculas que las minúsculas, e incluso que haya separaciones por puntos o no las haya. Todo funciona. Las siguientes direcciones de correo electrónico son idénticas a efectos prácticos
Pedro.Perez.Barragan@gmail.com
PEDRO.PEREZ.BARRAGAN@gmail.com
PeDrO.pErEz.BaRrAgAn@gmail.com
PE.DRO…pe.REz…BA.rra.GA.n@gmail.com
Nuestros datos circulan, masivamente me atrevo a apostillar, por los mundos informáticos. La gran mayoría de las veces los hemos facilitado nosotros mismos porque no en vano son el precio que tenemos que pagar para usar esos servicios en la red que nos creemos que son gratuitos. Pero es que, además, las empresas con las que nos relacionamos tienen bastante poco cuidado, al menos no todo el necesario, para que nuestros datos no sean cazados por los amigos de lo ajeno y utilizados para crear esos señuelos perfectos que nos harán caer en la trampa con facilidad. Eso cuando no son datos ultrasensibles que permiten acciones directas como por ejemplo el caso de las tarjetas de crédito bancarias. Retomo el caso: ¡IBERIA! ¿Estás ahí? ¿De verdad que los datos que te han pillado son solo los que nos has comunicado?
Los bancos utilizan cada vez más y mejores mecanismos para evitar fraudes. Biometrías, mensajes al móvil de autorización, segundos factores de autentificación… Pero con un buen señuelo, seremos nosotros mismos los que facilitemos el acceso a los malos. Y yo conozco algunos ejemplos de primera mano.
Entradas
