Les estafes a través de trucades telefòniques en nom del nostre banc habitual són cada vegada més elaborades. Però hi ha claus per poder identificar quan ens pretenen enganyar.

Phishing, vishing, mishing, pharming… En realitat, a qui l’estafen fent-se passar per alguna companyia de la seva confiança o un organisme públic, al capdavall, li és una mica igual el nom tècnic de l’estafa. El que li importa és que l’han robat i que difícilment podrà reclamar res, perquè, a més, ha sigut ell qui ha proporcionat al delinqüent les claus d’accés al seu compte bancari o, encara pitjor, qui directament ha ordenat les transferències amb les quals s’han evaporat els seus estalvis. Sortejos d’empreses conegudes, problemes de lliurament d’un paquet, ajudes del SEPE, notificacions de la Seguretat Social, multes d’Hisenda i, sobretot, suposats càrrecs a la nostra targeta són els esquers més comuns d’aquest tipus de frau que podem agrupar sota el nom de spoofing o suplantació, i que cada vegada és més freqüent i refinat.

Ja no només és possible rebre un correu electrònic enviat massivament, a veure qui pica, en el qual si som observadors podríem detectar alguna irregularitat, com un domini que no és totalment idèntic al del banc, errors gramaticals o faltes d’ortografia; ara fins i tot poden trucar-nos des d’un número que té tota l’aparença de pertànyer a una sucursal real –així l’«identifica» el nostre mòbil– i adreçar-se a nosaltres pel nostre nom i cognoms abans d’explicar-nos que han detectat moviments sospitosos en un dels nostres comptes o dipòsits. Ens diran, per exemple, que es tracta de càrrecs que els han cridat l’atenció perquè són molt quantiosos o perquè s’han fet en una altra província, i que per tal que el banc els pugui paralitzar hem de proporcionar-los l’accés al compte. Fins i tot pot ser que ens donin la possibilitat que siguem nosaltres mateixos qui posem a lloc segur els nostres estalvis transferint-los a un compte segur o nou que ens han obert expressament en aquell moment. Al final, del que es tracta és de transmetre que cal actuar de pressa i alhora confiança.

La primera qüestió l’aconseguiran gairebé immediatament, només de dir-nos que els nostres diners corren perill. La segona, a través de l’enginyeria social. No som conscients de la quantitat d’informació personal que volta per internet ni del fet que les nostres dades poden estar a la venda en el web profund, de manera que si algú les obté i es dedica a creuar-les, pot saber de quina companyia elèctrica som, a quina escola van els nostres fills o de quin equip de futbol som socis. Per separat, poden ser informacions insignificants, tanmateix, ofereixen la possibilitat a qui les sàpiga fer servir de mencionar durant la trucada fraudulenta moviments bancaris que sí que hem fet, cosa que dissiparà els nostres dubtes i ens pensarem que estem davant d’un advertiment real benintencionat.

«És difícil, perquè cada vegada hi ha més protocols capaços de verificar en temps real si la identitat amb la qual se’ns presenta una trucada és real i, a més, es van fent obligatoris, no obstant això, sí que és possible aconseguir que a la pantalla del nostre mòbil aparegui el nom del banc com a origen d’una trucada o intercalar SMS falsos en converses reals», explica Eduardo Jacob, catedràtic d’Enginyeria Telemàtica a l’Escola d’Enginyeria de Bilbao. «La recomanació clau és desconfiar sempre, per principi. Podem demanar-los que ens tornin a trucar –a veure si ho fan o temen que hagis avisat el banc o la policia i desisteixen– o directament penjar i trucar nosaltres mateixos a la sucursal o al servei d’atenció al client», indica. Adverteix però que per fer aquesta comprovació no marquem cap número que ens hagin donat durant la conversa telefònica sospitosa.

Aquesta sofisticació també està calant en els tribunals, en els quals, malgrat que és la víctima qui ha donat les seves claus, cada vegada més s’obliga les entitats financeres a restituir la quantitat defraudada, per no haver fet les comprovacions oportunes abans d’executar operacions que eren sospitoses. «La legislació aplicable en aquests supòsits situa la responsabilitat a l’entitat bancària, si no és que s’acredita una actuació fraudulenta o una culpa greu del client», explica el poder judicial. I malgrat que és interpretable què es considera «una culpa greu» que pugui justificar la negativa del banc a retornar-nos els diners, cada vegada és més freqüent que no es consideri la víctima negligent per haver passat per alt la manca de concreció d’un correu electrònic o que tingui errors ortogràfics o que el tribunal empatitzi amb un client manipulat per ciberdelinqüents, que sovint estan molt ben preparats.

Mesures antifrau

Fonts del sector bancari, a més d’insistir en el fet que les entitats financeres mai ens demanaran cap clau per mitjà d’una trucada o d’un enllaç, subratllen que per evitar aquest tipus de frau cal la implicació de les empreses operadores de telefonia, ja que els sistemes del banc que suposadament està fent la trucada no han patit cap escletxa de seguretat. En aquest sentit, aquesta mateixa setmana la Secretaria d’Estat de Telecomunicacions ha confirmat que està fent reunions amb bancs i amb operadors de telefonia per elaborar un pla conjunt per frenar aquest tipus d’estafes telefòniques.