Estafas telefónicas que suplantan a compañías de telecomunicaciones o eléctricas: Últimas tendencias

En los últimos años han proliferado los intentos de estafas telefónicas que suplantan a compañías de telecomunicaciones o eléctricas para obtener datos o acceder ilegítimamente a cuentas

¿Has recibido una llamada que, supuestamente, proviene de tu compañía de internet en la que te alertan de un problema con tu router? ¿Y de una compañía energética que busca conseguir que dejes a tu actual suministrador? Las estafas telefónicas que suplantan a compañías de telecomunicaciones o eléctricas han ido en aumento en los últimos tiempos. ¿Por qué?

Los ciudadanos y los profesionales desconfían cada vez más de otras vías para lanzar campañas de ingeniería social como el SMS o el email. En cambio, escuchar a una persona al otro lado del teléfono genera más confianza y, por lo tanto, es menos probable que la víctima desconfíe.

¿Cuáles son los elementos clave de las estafas telefónicas que suplantan a compañías de telecomunicaciones? ¿Qué buscan los actores maliciosos detrás de ellas? ¿De qué forma podemos evitar ser víctimas de estos engaños? ¿Qué están haciendo las grandes empresas de telecomunicaciones y las eléctricas para frenar la suplantación de su identidad?

A continuación, abordamos algunas de las últimas tendencias relacionadas con las estafas telefónicas que suplantan a compañías de telecomunicaciones y eléctricas.

1. El robo de datos de consumidores está en el origen de muchas estafas telefónicas que suplantan a compañías de telecomunicaciones

¿Cuál es el origen de las estafas telefónicas que suplantan a compañías de telecomunicaciones o energéticas? El robo de datos personales de clientes de las empresas o la compra de los mismos en un marketplace en la Dark Web.

Basta con echar un vistazo a las noticias relacionadas con ciberseguridad para constatar que constantemente se hacen públicas exfiltraciones de datos personales de consumidores y empresas.

Esto es así porque uno de los objetivos habituales de los ciberataques contra compañías es el robo de datos personales de sus clientes: nombres completos, números de identificación, direcciones de email, teléfonos…

Esta clase de información se puede emplear para:

• Extorsionar a las empresas y forzarlas a pagar un rescate a cambio de no hacer públicos los datos sustraídos.
• Lanzar campañas de fraudes contra las personas cuyos datos han sido robados.
• Comercializar paquetes de datos personales en la Dark Web para que sean otros actores maliciosos los que pongan en marcha campañas fraudulentas.

Así es como los ciberdelincuentes pueden saber nuestro número de teléfono, nuestro móvil e, incluso, nuestro DNI y usar esta información para poner en marcha estafas telefónicas que suplantan a compañías de telecomunicaciones o eléctricas y para ganarse nuestra confianza.

¿Por qué se opta por suplantar a esta clase de empresas? Todos los ciudadanos y las empresas tienen un proveedor de telecomunicaciones y de electricidad. De tal forma que se pueden articular estafas telefónicas que suplantan a compañías de telecomunicaciones o energéticas contra millones de personas y empresas.

2. Cuáles son los elementos básicos de las estafas telefónicas que suplantan a compañías de telecomunicaciones

Si el acceso a datos personales es una de las columnas sobre las que se sustentan las estafas telefónicas que suplantan a compañías de telecomunicaciones, la otra columna básica es el engaño en sí mismo. El relato de los delincuentes debe ser lo suficientemente robusto para que las víctimas no sospechen y puedan llegar a cumplir sus objetivos.

¿A qué elementos recurren los actores maliciosos para armar las estafas telefónicas que suplantan a compañías de telecomunicaciones?

1. Suplantación de la identidad de una compañía conocida popularmente por los consumidores y las empresas. Los actores que operan en el sector de las telecomunicaciones o en el ámbito energético son reducidos y todas las personas saben quiénes son. Esto facilita que el receptor de la llamada no desconfíe de su veracidad, ya que conoce a la empresa que teóricamente le está llamando. E, incluso, los actores maliciosos pueden usar técnicas como el enmascaramiento de las llamadas para que parezcan que provienen de las compañías suplantadas.
2. Sensación de urgencia. Un ingrediente básico de cualquier campaña de ingeniería social es alarmar a la víctima haciendo referencia a un problema que debe solventarse lo más rápido posible. Por ejemplo, problemas con el pago de la factura de la luz o una incidencia con el router.
3. Oportunidad económica. Muchas estafas telefónicas que suplantan a compañías buscan engañar a sus víctimas poniendo el foco en un potencial beneficio económico. Por ejemplo, proponiéndoles una oferta atractiva o informando sobre una subida de la factura del proveedor que es falsa.
4. Uso de información privada de la víctima o del servicio que tiene contratado obtenida por cauces ilegítimos para disipar las posibles dudas del consumidor sobre el origen de la llamada.

3. Tipologías de estafas telefónicas que suplantan a compañías de telecomunicaciones o energéticas que están en auge

En los últimos meses las autoridades públicas y las empresas de estos sectores han alertado sobre diversas estafas telefónicas que suplantan a compañías:

• La doble llamada. Un consumidor o una empresa recibe una llamada que, supuestamente, proviene de su compañía telefónica. En ella se le anuncia que su tarifa va a sufrir un incremento notable. Unos minutos más tarde, se produce una nueva llamada, esta vez, realizada por una empresa de la competencia ofreciendo una tarifa más asequible. Ni una llamada ni la otra son reales. El objetivo es conseguir que las víctimas faciliten datos financieros para acometer el teórico cambio de empresa.
• La estafa del router. Hace unos meses, la Policía Nacional alertó sobre esta clase de estafa. ¿En qué consiste? Un actor malicioso suplanta la identidad de una compañía de telecomunicaciones e informa al consumidor sobre un supuesto problema con su router, la necesidad de cambiarlo por obsolescencia o la posibilidad de optimizar el servicio. ¿Con qué fin? Conseguir que las víctimas autoricen un cambio de compañía o faciliten códigos de verificación reales de sus proveedores enviados por SMS o email para acceder a sus cuentas. De tal forma que los delincuentes consigan tener el control de las cuentas de las víctimas y solicitar cambios de compañías o visualizar los datos de facturación.
• La estafa del cambio de compañía. Es similar a la anterior clase de estafa. Los ciberdelincuentes se hacen pasar por proveedores de internet o telefonía o por comercializadores o distribuidores de energía con la excusa de ofrecer un cambio de compañía por la existencia de un problema con la actual o haciendo referencia a una oferta. El objetivo es poder acceder a la cuenta legítima del cliente u obtener información financiera que se pueda usar para realizar fraudes económicos. Tanto las compañías energéticas como las de telecomunicaciones alertan sobre esta clase de estafas telefónicas.

4. Qué pueden hacer los consumidores frente a las estafas telefónicas que suplantan a compañías de telecomunicaciones

Ante los fraudes contra ciudadanos, los expertos siempre ponen el acento en la necesidad de actuar con cautela y sentido común. Además, también es recomendable:

• No facilitar nunca en el transcurso de una llamada recibida datos personales y financieros, así como contraseñas o códigos de verificación.
• Colgar ante cualquier indicio de fraude, bloquear el número e informar al banco si se proporcionaron datos de índole financiera.
• Llamar al servicio de atención al cliente de la compañía de la que se es cliente usando un número de teléfono verificado para comprobar la información facilitada en una llamada sospechosa: problemas con un router, subida del importe de la tarifa, etc.
• No entrar en ninguna web cuya URL sea facilitada en la llamada para comprobar la veracidad de la información.
• Recordar que las compañías no solicitan datos personales y menos información financiera a través de llamadas telefónicas.
• Exigir al emisor de la llamada que te suministre datos que te permitan validar que la llamada es legítima. Por ejemplo, información precisa sobre los servicios contratados.

5. Cómo pueden las compañías luchar contra las campañas que suplantan su identidad

Una de las características clave de las estafas telefónicas que suplantan a compañías de telecomunicaciones y energéticas es que estas empresas también son víctimas de estas actividades delictivas.

Al fin y al cabo, los actores maliciosos suplantan su identidad, menoscaban la confianza de consumidores y empresas en ellas y en sus servicios de atención al cliente o comercialización.

Por eso, las grandes compañías de estos sectores invierten importantes recursos en:

• Informar, formar y concienciar a sus clientes sobre las estafas telefónicas, el phishing y otras técnicas de ingeniería social.
• Servicios de investigación y análisis de fraude para proteger sus marcas y servicios y poner fin a campañas maliciosas en las que se suplantan sus identidades. Esta clase de servicios de ciberinteligencia, resultan fundamentales a la hora de:
  • Conseguir detectar de manera temprana las campañas de estafas.
  • Analizar el funcionamiento de las mismas y monitorizar su evolución.
  • Recoger evidencias.
  • Poner en marcha contramedidas para poner fin a las campañas de fraude y evitar que se lleven a cabo con éxito.
  • Ofrecer apoyo forense en sede judicial.
  • Adecuar los mecanismos de detección y respuesta a la evolución continua de las técnicas, tácticas y procedimientos de los actores maliciosos.
  • Contribuir al diseño de políticas de prevención de los fraudes y a la elaboración de las recomendaciones que se realizan a los clientes.

6. Por qué es importante la formación y concienciación en las empresas sobre los riesgos de la ingeniería social

Aunque pensamos que las estafas telefónicas que suplantan a compañías de telecomunicaciones o energía van dirigidas siempre a ciudadanos comunes y corrientes, lo cierto es que no tiene por qué ser así. Los profesionales y las empresas también pueden ser víctimas de los fraudes.

De hecho, constantemente se dan a conocer técnicas maliciosas que ponen su foco en el ámbito empresarial como el fraude del CEO o las ofertas de trabajo fake.

Por eso, es fundamental que todas las organizaciones, sin importar su tamaño, sean conscientes de la amenaza que suponen las técnicas de ingeniería social e inviertan en concienciar y formar a sus plantillas.

En esta tarea juegan un papel esencial los test de ingeniería social. Esta clase de pruebas simulan ataques reales para comprobar si los profesionales son capaces de detectar el engaño y no realizan acciones peligrosas como facilitar códigos de verificación a través del teléfono o introducir credenciales de acceso a la cuenta bancaria de la empresa.

Además, los test de ingeniería social son claves a la hora de conseguir que los profesionales tomen consciencia de los riesgos a los que se enfrentan y pasan a implementar una serie de buenas prácticas que contribuyan a fortalecer la seguridad de sus organizaciones.

7. Conclusiones

En definitiva, en los últimos años se ha producido una auténtica oleada de fraudes digitales a ciudadanos y empresas que se alimenta de la sustracción de información de empresas y administraciones públicas.

Los actores maliciosos innovan constantemente para perfeccionar sus técnicas y tácticas y conseguir que los engaños sean creíbles.

Las estafas telefónicas que suplantan a compañías de telecomunicaciones o eléctricas evidencian que una simple llamada puede causarnos graves problemas y acabar abriendo la puerta a un fraude financiero.

Implementar buenas prácticas en materia de ciberseguridad en nuestro día a día y actuar siempre con cautela es fundamental para combatir los intentos de estafa.