¡Cuidado! Así intentaron robar mi nómina con esta elaborada estafa (y mi jefe casi se la cree)
La ciberdelincuencia cada vez se vuelve más sofisticada. Lo he vivido por mí mismo con un correo que me intentaba suplantar ante mi jefe, y que tenía un objetivo muy específico: robar mi sueldo de todo un mes.
Hace poco explicamos cómo evitar que nos roben dinero de una cuenta bancaria online. Los hackers son conscientes de la mayor alerta social ante estas estafas, así que diseñan estrategias cada vez más sorprendentes.
En este caso, mi jefe recibió un email pidiendo un cambio de la cuenta bancaria en la que paga mi nómina. Yo no lo había enviado, pero se hacía pasar por mí con nombre y apellidos.
Lo más sorprendente es que los estafadores habían localizado el email de mi jefe. Sabían que era la persona encargade de realizar el trámite, así que las posibilidades de éxito eran muy superiores que los emails masivos a direcciones aleatorias.
La gran duda es si hubo un cierto trabajo humano en esta estafa, o todo fue automatizado mediante inteligencia artificial. Resultaría preocupante si la IA fuera capaz de identificar la relación entre empleado y empleador, para enviar los emails de manera automática.
Sobre todo, porque podría mandar un número muy elevado de emails y, en algún caso, conseguir su objetivo de robar el sueldo de todo un mes de una persona.
Un IBAN español: otro elemento de credibilidad
Un aspecto clave de la estafa es que, si se contesta al email, nos indica un IBAN de un banco español. Una cuenta bancaria en otro país generaría desconfianza, y los ciberdelincuentes lo saben.
Eso sí, la cuenta bancaría corresponde a Nickel, un neobanco no muy conocido. Es de suponer que los atacantes consideraban demasiado arriesgado usar cuentas de grandes bancos.
El propio Nickel indica en su web que podemos conseguir una cuenta con IBAN español en solo "5 minutos en estancos y loterías". Apenas exigen un DNI o un pasaporte, aceptando más de 195 países.
Es un servicio útil para visitantes extranjeros o migrantes, aunque deberán vigilar de cerca que no acaben convertidos en una herramienta para este tipo de delitos.
La facilidad para abrir la cuenta seguramente es clave. Si la víctima cae en la estafa, podrán transferir el dinero rápidamente a otro banco, y que sea irrecuperable. Si Nickel bloquea esa cuenta por fraude, sustituirla por otro será sencillo.
Una estafa muy creíble, con pequeños flecos
En este caso, mi jefe estuvo a punto de caer en el engaño, pero un par de detalles lo alertaron. La expresión "cuenta de sueldo" suena un poco rara, y le pareció extraña.
Nuestros consejos contra el phishing (suplantación digital) incluyen fijarse en el lenguaje. Aunque los ciberdelincuentes cada vez escriben mejor, aún comenten faltas de ortografía y usan expresiones poco naturales en sus comunicaciones.
Por otro lado, mi jefe se dio cuenta que el mensaje no procedía de mi dirección de email, con lo que descubrió el intento de engaño.
Por desgracia, en una empresa con muchos empleados es más sencillo que el fraude funcione. No todo el mundo se conoce, los departamentos de recursos humanos están saturados, y la formación en ciberseguridad escasea.
Mi consejo tras esta experiencia es claro: desconfiar de cualquier mensaje o contenido de Internet, pues puede ser falso o, incluso, un intento de estafa.
Lo mejor es comunicarnos con el supuesto remitente por otro medio, para confirmar que su solicitud es real, y no lo han suplantado.
El auge de la IA dificulta distinguir lo que es real, y exige las máximas precauciones si no queremos sufrir un trance tan grave como que nos roben la nómina de un mes completo.
Have I been Trained: cómo saber si han usado tus datos para entrenar a la inteligencia artificial
- Ver Comentarios
