El día de hoy en horas de la mañana recibí una llamada bastante curiosa a mi teléfono móvil . Para empezar el número que aparecía en el identificador era internacional (4589355587), lo cual no me pareció raro debido a mi trabajo pero si me llamó la atención que el indicativo internacional fuera de Dinamarca. Respondí la llamada y una voz femenina típica de alguien de un call center que lee un guion previamente escrito me saludó presentándose como parte de la franquicia Visa / Master Card indicándome que mi cobertura de asistencia en el extranjero de la tarjeta había sido ampliada. Me leyó todos los beneficios que recibiría mientras hacia preguntas inocuas a las cuales yo respondía afirmativa o negativamente. En un momento de la conversación, me preguntó si estaba recibiendo mis extractos adecuadamente a lo cual di otra respuesta afirmativa, pero sin entrar en el detalle de que ya no los recibo física sino electrónicamente, cosa que si fuera una llamada legítima ellos ya deberían saber. Fue entonces cuando me preguntaron si había recibido el portafolio de los nuevos servicios de la cobertura médica extendida, a lo cual respondí que no.

En este punto ya me encontraba escéptico sobre la legitimidad de la llamada, pero fue entonces cuando me dijeron que debían verificar mi dirección de correspondencia para ver porque no había recibido el dichoso portafolio. Haciendo caso de las buenas prácticas les dije que ellos debían tener mi dirección a lo cual para mi sorpresa me dijeron que me darían la dirección que tenían en registros… y EXCEPTO POR UN DÍGITO ERA CORRECTA! aunque no tenía detalles ni del apartamento ni bloque u otros. Simplemente confirmé esa dirección con un SI.

Luego por “motivos de seguridad” debía reconocer mi número de cédula. Apliqué la misma técnica anterior y nuevamente para mi sorpresa… EL NUMERO QUE ELLOS ME LEYERON ERA CORRECTO, aunque no lo leyeron como se leen los números de cédula conocidos (agrupando de a tres dígitos) sino que lo leyeron como un número entero. Cuando confirme que era mi numero de cédula, vino una petición totalmente extraña: “Para confirmar que tiene su cédula en su mano, y que estamos hablando con la persona adecuada, le solicitamos por favor que lo lea usted en voz alta”. Ese fue el momento en que se activaron todas mis alertas. Recordé todos los casos de fraude que he conocido e inmediatamente supe que se trataba de un intento de robo de identidad en el cual graban a las personas dando sus datos personales con su propia voz para luego alterar dichas grabaciones y hacer parecer o bien que como usuario estoy aceptando un servicio no solicitado o bien para efectuar transacciones fraudulentas. Les dije que no leería ese número con mi voz porque ya lo tenían, me insistieron unas tres o cuatro veces para hacerlo y simplemente me rehusé.

Pasamos a la parte interesante: al parecer no era tan importante que leyera el número de mi identificación como que entráramos al tema de la tarjeta que yo tenía con la franquicia “Visa / Master Card”. Me dijeron que para saber con quien estaban hablando, debía confirmarles con qué entidad financiera tenía la tarjeta iniciada con 5406. Ahí recordé el clásico fraude de tarjetas en el cual leen los 8 primeros dígitos de una tarjeta de crédito para “generar confianza” y te piden confirmar los otros ocho que son los PERSONALES y que NUNCA se deben entregar a nadie ni tampoco las fechas de vencimiento y mucho menos los tres últimos dígitos de seguridad. Para quien no lo sabe, los primeros cuatro siempre son los mismos, en este caso los primeros cuatro identifican la franquicia -5406 es de Master Card y los siguientes cuatro identifican el banco emisor, de manera que todas las tarjetas Master Card de un mismo banco siempre van a tener los mismos 8 dígitos. Les dije la primera entidad financiera que se me vino a la cabeza (en la cual no tengo ningún producto) y me dijeron que en efecto tenían una tarjeta en sus registros asociada conmigo. Ahí fue cuando confirmé que se trataba de una llamada fraudulenta, pero para la MAYOR SORPRESA DE TODAS, me dijeron que me leerían el numero completo de la tarjeta y que debía confirmarlo. EN EFECTO ME LEYERON LOS 16 DÍGITOS COMPLETOS DE UNA DE MIS TARJETAS VALIDAS!!! Aunque me seguían diciendo que en efecto pertenecía al banco que yo les había dicho. Al final, me dijeron que para comprobar que tenia la tarjeta en mi mano debía YO leer los números de dos en dos. Las instrucciones fueron claras. Por supuesto ya sabía para donde iba esto, luego me pedirían datos como fecha de vencimiento e incluso hasta dígitos de seguridad para compras en Internet, así que simplemente me rehusé de nuevo a leer los números de la tarjeta. Esta vez la insistencia fue mayor (por “nuestra seguridad”) y la llamada que hasta ese punto había sido muy amable, cambió de tono. Aunque la mujer del teléfono estaba visiblemente molesta, le solicité los números de atención al cliente para verificar la información y sin dármelos me cortó abruptamente la comunicación.

Este relato cuenta cómo se han sofisticado los ataques que llamamos “ingeniería social” en la cual tratan de enredar a los clientes para que proporcionen información sin darse cuenta. La razón por la que lo comparto es porque  la llamada cumple con muchas de las buenas prácticas como la de solicitar que sean ellos quienes leen los datos para demostrar que realmente los tienen y seguramente si no se trata de alguien experimentado es muy alta la posibilidad de que caigan en la trampa. Por supuesto también se trata de crear conciencia para que no caigamos en manos de delincuentes.

También deja abierta una pregunta inquietante: Es la primera vez que veo un caso en donde los datos personales ya los tiene quien inicia la llamada. Dónde los han conseguido?

Cómo me di cuenta del fraude:

  • En primera instancia, la franquicia “Visa / Master Card” no existe. Te lo dicen para generar confianza pero las franquicias son dos: o es Visa o es Master Card. De hecho son “competencia”.
  • Quien efectuó la llamada no sabia que yo no recibo extractos por correspondencia sino de manera electrónica, información que ellos conocen previamente
  • Me dieron el dato de una dirección incorrecta, pero muy similar a la mía sin los detalles del número de apartamento, bloque, etc.
  • Me leyeron el número de cédula de sus registros de manera inapropiada (aunque era el número correcto) y luego me pidieron insistentemente que lo leyera yo en voz alta
  • Les mencione cualquier entidad financiera con la que no tengo productos y siguieron usando el nombre de esa entidad durante el resto de la llamada
  • Me leyeron un número correcto de alguna de mis tarjetas de crédito pero me pidieron confirmarlas leyéndolo yo mismo con instrucciones muy precisas.
  • No dieron información de contacto y cortaron la llamada de repente.

Que se debe tener en cuenta para evitar ser victima de esta clase de fraudes:

  • Siempre observe el número que le llama, guárdelo y contáctese con la entidad financiera para verificar que ese numero sea de ellos o de algun asociado.
  • Teniendo en cuenta que en algunos casos pueden ser llamadas legitimas, siempre trate de responder (inicialmente) con un SI o con un NO; sin proporcionar información adicional (por ejemplo está mal decir “No, pero mi dirección es…”)
  • Nunca se deben dar los datos en una llamada que recibe. Si es una llamada legítima de una entidad financiera, ELLOS YA TIENEN SUS DATOS por cuanto usted debe pedirles a ellos que los lean y usted los confirma con un SI o con un NO.
  • Si los datos proporcionados por ellos no son correctos, NUNCA los corrija usted, así le insistan. Es preferible cortar la llamada diciendo que usted se pondrá en contacto con su entidad financiera directamente.
  • NUNCA lea con su propia voz datos personales, de identificación o de productos financieros como números de cuenta, de tarjetas o similares.
  • No se debe proporcionar vía telefónica o por Internet ninguna clase de dato personal o financiero.
  • En general lo más seguro es llamar directamente a la entidad financiera para verificar si lo ofrecido realmente proviene de alguna campaña de marketing legítima o no.