Los estafadores digitales mejoran constantemente sus métodos para engañar a las personas y acceder a sus datos personales o a sus fondos. Uno de esos métodos es la suplantación del número de teléfono durante una llamada.
Este proceso permite a los atacantes hacer que en la pantalla del teléfono aparezca no el número real del llamante, sino uno falso, lo que puede llevar incluso a la persona más experta y sensata a creer cualquier mentira que el estafador imagine.
En este artículo examinamos en detalle cómo ocurre la suplantación desde el punto de vista técnico y qué medidas de precaución se pueden tomar para protegerse.
Aspectos técnicos de la suplantación de número
Suplantación de número en GSM-redes
En las redes GSM la suplantación de números de teléfono se realiza principalmente mediante telefonía SIP, ya que gracias a ella los estafadores pueden indicar manualmente el identificador de llamadas. El número aquí, sin exagerar, puede ser absolutamente cualquiera.
Por ejemplo, si un atacante dispone de alguna información básica sobre usted, puede usar el número de sus familiares o amigos, el número de colegas de trabajo o incluso del jefe. También el posible atacante puede llamar desde un número extranjero. Aunque la llamada transcurra dentro del país, en su teléfono aparecerá como procedente del extranjero.
Además, los estafadores pueden escribir en lugar de dígitos textos concretos, tanto en letras latinas como cirílicas, indicando en el identificador de llamadas, por ejemplo, el nombre de un banco u otra organización. Si simplemente ponen en el identificador de llamadas «Mamá», los atacantes obtienen una herramienta efectiva para extorsionar a muchos usuarios de la red telefónica.
Suplantación de número en aplicaciones de mensajería
Los estafadores también usan la suplantación en llamadas a través de aplicaciones de mensajería como WhatsApp y Telegram. Y aquí todo es mucho más sencillo y accesible, incluso en comparación con la telefonía SIP.
El método principal en las aplicaciones de mensajería es la creación de una cuenta falsa con un seudónimo arbitrario. En el seudónimo se puede poner cualquier texto o el número de teléfono de otra persona.
Además, las aplicaciones permiten a los atacantes poner avatares en sus cuentas falsas para añadir realismo al engaño.
Ejemplos concretos de fraude con suplantación de número
A través de la red GSM
Uno de los ejemplos más habituales es el uso del número «900», que pertenece a Sberbank. Al llamar a través de la red GSM, los estafadores suelen suplantar su número por «900», por «+900» e incluso por «9OO» (en lugar de ceros usan la letra «O»), y luego llaman a clientes del banco intentando obtener datos personales, dinero o códigos de un solo uso.
Tampoco hay impedimento para que los estafadores indiquen el nombre textual del banco directamente en el identificador de llamadas; entonces el abonado recibirá la llamada de contactos como «Sber», «VTB» o cualquier otra organización.
Las llamadas supuestamente de amigos y familiares ya se mencionaron antes, pero vale la pena añadir que, además del clásico «Mamá», los atacantes pueden poner en el identificador de llamadas, por ejemplo, el nombre y apellido de cualquier conocido suyo que podría estar guardado en su agenda de forma similar.
Los trucos de los atacantes también suelen incluir la falsificación de la voz, que en la era de las redes neuronales es ya relativamente sencilla. Por eso conviene estar preparado para la posibilidad de que un día le llame un conocido o familiar desde su número y con su propia voz pidiéndole que le preste varios miles.
Si duda de que realmente está hablando con esa persona, cuelgue y vuelva a llamar inmediatamente al número que tiene guardado en su agenda. Los estafadores no pueden apropiarse del número de otra persona mediante la suplantación del identificador de llamadas; sólo pueden crear esa apariencia.
Por supuesto, en casos especialmente graves los atacantes pueden obtener físicamente el teléfono móvil de la víctima o apropiarse de su número mediante SIM swapping, pero tales maniobras no se realizan para fraudes corrientes, ya que son largas, complejas y totalmente ilegales.
En aplicaciones de mensajería
En las aplicaciones de mensajería, como se ha señalado, todo es mucho más sencillo. Cualquiera, sin recurrir a servicios pagos de telefonía SIP ni a configuraciones largas, puede crear una cuenta nueva en Telegram, poner como nombre, por ejemplo, «VTB», colocar el logotipo del banco como avatar para mayor credibilidad y llamar luego a quien quiera, contando diversas historias sobre cargos no autorizados.
A uno de mis conocidos le llamaron en Telegram supuestos empleados del Servicio Federal de Seguridad (FSB), tomando prestado el número del sitio web oficial del organismo y usándolo como seudónimo. Durante la conversación la argumentación funcionó de forma contundente: «Aquí está nuestro número, desde el que llamamos, aparece en la primera línea del sitio del FSB, ¿por qué no nos cree?».
Luego se produjo un largo trabajo de manipulación y numerosas técnicas de ingeniería social. Siempre se hace hincapié en la urgencia (al estafador no le conviene mantener una conversación con la víctima durante horas), y en juego suelen estar sumas de dinero considerables.
Medidas de precaución
Para protegerse de la suplantación de números y de la suplantación de identidad, se recomiendan las siguientes medidas:
- Preste atención a dónde recibió la llamada. Si la llamada llegó por una aplicación de mensajería y se presentan como un banco, cuelgue y bloquee el número. Los bancos, los proveedores de telefonía móvil e incluso las fuerzas de seguridad nunca le llamarán por mensajería. Incluso a través de la red GSM suelen llamar sólo con ofertas publicitarias; para asuntos más serios ya existe la automatización. Por ejemplo, en compras en línea a veces un robot llama desde el 900 para confirmar si la transacción fue legítima. Una persona real no le llamará para ese fin, puede estar seguro. Y en esto los estafadores suelen obtener sus beneficios.
- Elabore una frase clave con sus allegados. Para no dejarse engañar por métodos modernos de los estafadores, como la falsificación de voz, acuerde con su familia una frase clave concreta que uno de ustedes dirá si duda de la legitimidad de la llamada. La otra persona deberá responder con su frase única. Si no responde, es un estafador.
- No sucumba a la urgencia. La urgencia es el principal indicador de fraude. Por ejemplo, los SMS con el texto «Mamá, transfieré 500 rublos a este número» se hicieron célebres en los años 2000. En la vida real raramente hay situaciones que requieran una acción ultrarrápida, por lo que no conviene apresurarse a sacar conclusiones ni a imaginar lo que no existe. Si tiene dudas, llame y hable con calma. Con alta probabilidad comprobará que su interlocutor no solicitó nada.
- Verifique el número de teléfono. Supongamos que le llamaron por la red móvil, pero el número difiere un poco del habitual. El mismo 900, como se ha señalado, puede escribirse «9OO». Si nota discrepancias, no descuelgue.
- No proporcione información personal. Nunca comunique sus datos personales, información financiera ni códigos de un solo uso recibidos por SMS, incluso si el llamante afirma representar a un banco u otra organización conocida. Esto puede acabar con la contratación de un microcrédito a su nombre o con la realización de alguna operación en servicios gubernamentales en su nombre. No subestime a los estafadores.
- Active la autenticación de dos factores. Habilite la autenticación de dos factores para todas sus cuentas, incluidas redes sociales, aplicaciones de mensajería, correo electrónico y todos los servicios gubernamentales. En la era del fraude digital, la autenticación de dos factores es el mínimo necesario para poder estar tranquilo y no preocuparse por sus datos.
- Use programas para identificar números. Si con frecuencia recibe llamadas de estafadores, puede recurrir a software antispam de empresas conocidas, como Yandex, Kaspersky Lab, etc. Las soluciones especializadas contienen bases de datos actualizadas periódicamente y le permitirán en la mayoría de los casos detectar el fraude con antelación o incluso bloquear automáticamente las llamadas sospechosas.
Conclusión
La suplantación del número de teléfono durante una llamada es una amenaza seria que puede provocar pérdidas financieras importantes, la fuga de datos personales y otras consecuencias desagradables.
Comprender cómo se implementa técnicamente esta suplantación y adoptar medidas de precaución le ayudará a protegerse y a proteger a sus allegados.
Manténgase siempre alerta y sea prudente al contestar llamadas de números desconocidos. Proteja sus datos y no permita que los estafadores utilicen las tecnologías modernas en su contra.
