Podría decir que lo que viene a continuación le puede pasar a cualquiera, aunque seguramente discrepéis conmigo. “Eso a mi no me va a pasar”. Hay cosas que es difícil que sucedan, pero a veces se dan las circunstancias óptimas, así que enhorabuena a los estafadores. Las frases tipo “No desistas. No pain No gain. El que la sigue la consigue”, etc. tienen su razón de ser, y a veces, suena la flauta y se llevan un buen bocado.
Y lo hago por este medio porque en redes sociales como Linkedin, Facebook o twitter (aunque estén los hilos) no cabe todo lo que quiero contar.
Empiezo diciendo que soy profesor de Seguridad Informática. Conozco muy bien el INCIBE, que incluso habla de esto. Estoy casi al día de las vulnerabilidades técnicas, me preocupa la ingeniería social y conozco la estafa nigeriana, el ramsonware, el rogueware, el vishing, el phising y en este caso, también conozco la estafa del CEO porque nuestra amigos de Bolsalea nos lo contaron en tiktok, y no solo ahora, sino varias veces. Chema Alonso cuenta esto también.
Hoy nos ha tocado a nosotros, y han tenido éxito. Se han dado las circunstancias de que el principal encargado estaba de vacaciones, yo con un esguince en casa y era la primera semana de nuestra compañera (de esta campaña, ya que lleva años con nosotros).
La estafa del CEO ha ocurrido así:
A primera hora llaman y me salta a mi teléfono por la centralita:
- “Hola, eres el gerente”
- ¿Quién llama?
- ¿Eres el gerente?
- ¿Me puedes decir quién llama?
Y así un buen rato, hasta que he colgado, sin dar datos. Nunca damos datos, y a veces nos sabe mal porque son comerciales que hacen su trabajo.
Sobre las 11h recibo una llamada de mi madre. Me decía algo así como: “Hola, me he pasado por aquí y no sé qué pasa. XXX (empleada) está un poco nerviosa, con lo de la multa, que dice que tienes que pagar 2000€, que son de DHL o SEUR, de unas cámaras, unos monitores y unos paquetes…”
“Cómo? Qué multa? Pero con quién está? Hay alguien en la tienda? Es por teléfono? Pásame con ella”
Ella estaba con dos teléfonos a la vez. La tenían retenida con dos teléfonos. Y a partir de aquí todo ha pasado muy rápido. Le pregunto que qué ocurría, ella estaba tensa. Me habla de una empresa de audiovisuales con un nombre, de la comercial. Se va, vuelve a coger el teléfono mi madre. Me huele todo mal y empiezo a gritarles: «CUELGA, CUELGA, NO HAGÁIS NADA, ES UNA ESTAFA, ES UNA ESTAFA”.
Y así ha sido. Una estafa. No sabía nada más. Empiezo a preguntarles. Están llorando. ¿Qué ocurre? ¿Habéis pagado algo? No creo no. No tenéis acceso a las cuentas. Qué estanco? Qué has ido dónde? Al cajero? Qué has sacado tu dinero? 600€? Que te podían 2000€ ? Que has pagado en el estanco 6 tickets? Corre al estanco a anularlo!
Llamo a la Policía para que auxilien a mi compañera, que está llorando y desesperada, y yo no puedo ir porque estoy con esguince, y se acercan al estanco. Llamo también a la Guardia Civil, aunque todavía no sé qué ha pasado exactamente, cómo se han hecho los pagos, si es algo parecido a los envíos que se hacen en Correos.
Al rato, muy amables, la Policía local me cuenta lo sucedido, método de pago, etc.
En resumen. Después de un rato de confusión, lo ocurrido ha sido esto. He pensado varias veces si escribirlo o no, porque al fin y al cabo es el modus operandi de unos delincuentes, y no estamos para dar ideas. Aunque creo que vale la pena contarlo para que no le pase a nadie:
Modus Operandi del fraude del CEO
Después de hablar conmigo, el tal Manuel se ha puesto en contacto de nuevo con tienda. Yo recibo los números de teléfono por email, de todas las llamadas. Era un número largo que empezaba por 0018. Para nosotros es habitual porque vendemos mucho turrón a todo el mundo, así que no me ha llamado la atención. Tenía 3 o 4 emails diciendo “Llamada Finalizada” de ese teléfono. Son las veces que han llamado a tienda y han estado hablando con ella.
Básicamente, la mentira ha estado en decir que llamaban de DHL o SEUR. Tenían unos 5 bultos que iban a llegar antes de las 12h, y que si no pagábamos lo que faltaba, nos iban a multar con 15.000€ por incumplimiento de contrato. Se había hecho en dos pagos, el primero había entrado bien, pero el segundo, del Banco Santander (banco con el que trabajo), no había llegado por un fallo. Así que si llegaba la mercancía antes de las 12h y no estaba hecho el pago, teníamos que pagar eso. Por lo tanto, había que pagar 2000€ antes de esa hora.
Han argumentado que eran no sé cuantas cámaras de seguridad, los cables coaxiales, otros equipos, cables, etc. Todo con sus marcas y bien especificado. Incluso han pasado el número de seguimiento de SEUR o DHL.
Diréis: ¿y cómo es posible que hayan convencido a mi compañera para que vaya a su banco, saque el dinero, vaya al estanco y envíe dinero con un pin usando la tecnología de PAYSAFECARD? Pues bien, la respuesta no es fácil, pero para algo son profesionales de la estafa y la mentira. Y aquí es donde reside su “éxito”.
Lo primero de todo es que mi compañera es un trozo de pan, amable, confiada, que lo da todo, y un encanto al teléfono. ¿Podría decir “de las de antes” sin que nadie se enfade? Pues así es. Y como habéis visto, es una persona LEAL, capaz de ir a sacar 600€ en su primera semana de trabajo (es decir, que no ha cobrado el jornal) para que no multen a su jefe. A pesar de trabajar en una empresa tecnológica, que vende el 80% por Internet y con todo digital, está cerca de los 60 años. Quizás esto sea una “vulnerabilidad” del sistema: lealtad, mentalidad de servir al cliente y confiada. Y los delincuentes lo han pillado a la primera.
Por otra parte, le decían en todo momento que a mi me tenían al teléfono, por la otra línea. Le decían mi nombre. Y a partir de ahí, pues imaginad. Dando datos personales, o haciendo como que yo les decía algo, como que yo sonaba de fondo, etc. En fin, todo estudiado y una pantomima. Claro, no me podía llamar a mi porque estaba “reunido” en la otra línea, todo verídico. Le han llegado a decir que: “mira, debajo del mostrador, hay un sobre blanco con dinero”. El mostrador es blanco, pero no hay ni sobres ni dinero. Puede ser que hayan acertado por estadística o porque han visto las fotos de Google My Business, lo cual también abre otro debate de hasta qué punto vale la pena compartir cómo es tu tienda por dentro para “dar confianza al consumidor”. Y no solo eso, esta gente entra en tus perfiles sociales, en Linkedin, te analiza de arriba a abajo y utiliza tus datos para dar todavía más confianza.
Además, ella estaba a dos teléfonos. En una línea estaba el que llamó inicialmente diciendo que incuplía contrato, y en la otra línea otra chica, creo que la de SEUR, para dar veracidad. O algo parecido porque ya me parece confuso hasta mi. Y con el trasfondo de que yo estaba hablando con ellos por la otra línea.
Más detalles. Al teléfono de la tienda hemos dicho que han llamado desde un 0018 + un churro. Seguramente son números virtuales que no les puedes responder. De hecho he intentado hacerlo y no he podido. Se crean y no dejan rastro. Pero, por otra parte, y aquí viene lo bueno, la han llamado desde un número de móvil en español, con la típica foto del españolito en la playa, todo muy verídico.
Repito, número normal en español, un 6 seguido de 8 cifras. Si te llaman desde un número así, nunca vas a pensar que es una estafa, porque en principio, tienes que dar tus datos a las operadoras de telefonía. He dicho que la han llamado, pero no cómo. Lo han hecho desde whatsapp, no desde la línea de teléfono, llamémoslo 3G. Así que las indicaciones de cómo pagar se han hecho así, por whatsapp, con mensajes de texto y llamadas.
Por lo tanto, recapitulando. Llaman al fijo desde un teléfono difícil de rastrear. De hecho, no sé si aparecería oculto en la centralita, aunque yo sí que lo he capturado por email. Por otra parte, para dar confianza (y seguramente validar que iba al cajero) usan un teléfono móvil español, pero lo hacen por whatsapp, no por la red móvil. ¿Queréis saber por qué? Muy fácil:
He llamado de vuelta a ese teléfono y para mi sorpresa, ¿sabéis quién se ha puesto? Una empresa multinacional que está en Castellana, en Madrid. Y de hecho, casualidades de la vida, del mismo sector que el mío (chocolates). ¿Y esto por qué? Les he preguntado si usaban whatsapp en ese teléfono y, evidentemente, me han dicho que no. Así que estos tíos han conseguido suplantar el whatsapp, con lo que también es difícil de rastrear, ya que el móvil pertenece a una empresa multinacional. Les he informado de este tema, pero no sé si me habrán hecho mucho caso: “están cometiendo un delito con este móvil. Por favor, si me da un correo le informo.” “Vale, ya te llamamos”.
Qué usan los estafadores como métodos de pago
Vamos al tema de los pagos.
Hace un tiempo casi me la cuelan por milanuncios. Lo más curioso es que siempre cuento esto en clase. Dicen que te han enviado el móvil que has pedido, te pasan un justificante de correos de envío (falso o no sellado) y te dicen que les pagues por giro postal, con un PIN. Hay giros que van a nombre de alguien, con DNI. Pero otros son anónimos. Así que si les hubiera girado el dinero, ellos con el PIN lo habrían recogido en una oficina.
Pues algo parecido ha pasado aquí. Desconocía este método de pago, y eso que creo que algo sé teniendo un ecommerce y organizando congresos con patrocinadores que son empresas de pago como La Caixa, Ingénico, Paypal, Stripe o Multisafepay. Pues bien, todo se ha cursado usando https://www.paysafecard.com/ Por lo visto, es una empresa de UK que te facilita estas cuestiones de enviar y recibir dinero, incluso de manera anónima, con un PIN. Lo que ha ocurrido es que se la ha enviado dinero con una especie de tarjetas prepago, y con un PIN, que estos habrán cobrado, todo muy anónimo.
Les he mencionado en twitter, he intentado llamarles, enviar email, hablar con el chatbot, etc. Y nada. Unas 5 horas después me han contestado algo muy genérico porque creo que no se han enterado de lo que les contaba. Pensaban que yo era el cliente suyo y que le habían robado dinero de su cuenta. En fin, aquí empieza la Odisea para recuperar el dinero, aunque va a ser difícil. Seguiremos informado con respecto a este tema.
Aunque, ¿por qué tiene que ser difícil esto? Se habla mal de las criptomonedas, del anonimato de los hackers que usan las crypto y todos estos temas que ya conocemos, y resulta que tenemos métodos de pago anónimos y con los que no podemos encontrar a los estafadores. Resulta que tantos si eres empresario o ciudadano de a pie, todos tus movimientos bancarios son controlados, pagas impuestos por recibir una donación de tus padres, y esta gente campa a sus anchas, y se les permite hacerlo porque la tecnología les deja hacerlo. Incluso en la administración, si pagas en efectivo alguna factura después no entras en una subvención aportando esa factura. Tiene que ser todo transferencia.
Vale sí. Se supone que los estafadores se habrán dado de alta en esta plataforma o método de pago con DNIs falsos, porque se supone que lo piden, aunque no estén en España. Pero no es culpa de los ciudadanos que no lo verifiquen bien.
¿Qué hacer cuando te estafan por Internet?
En Internet o en el mundo offline hay que ir a poner denuncia, generalmente a la Guardia Civil. En mi caso, además de esto, he llamado al INCIBE y me han dicho que llame al 017, que es el teléfono de cyberataques. Ahí les he contado todo y me han aconsejado qué hacer.
Como veis, es una larga historia, bastante desagradable. Te quita energías y… dinero, aunque no es lo más importante. Han sido 600€, y gracias a las limitaciones de extracción de dinero del cajero, porque si no hubieran sido más. De hecho, ha saltado la liebre cuando ella le ha dicho a mi madre que si tenía dinero para hacer ese pago, y ha sido cuando me ha llamado y… curioso, no estaba reunido al otro lado del teléfono de los estafadores. Imaginad el panorama.
El dinero lo recuperaremos de algún modo. Y por descontado se lo abonaremos a nuestra compañera porque ha sido todo de muy buena fe y por lealtad. Pero hay que estar siempre en alerta porque aunque tu lleves una vida de gente normal, con honradez, con los vaivenes del día a día, no hay que olvidar que hay gente que se gana la vida fastidiando a los demás.
