El Instituto Nacional de Ciberseguridad (INCIBE) ha demostrado de nuevo su compromiso con la seguridad digital al ayudar a un usuario que sufrió una suplantación de identidad tras la sustracción de su teléfono móvil, lo que resultó en el desvío de su nómina a una cuenta bancaria fraudulenta.
El usuario informó de la incidencia al servicio ‘Tu ayuda en ciberseguridad’ del INCIBE, accesible a través de la línea 017. Este recurso, gratuito y confidencial, está diseñado para ofrecer soporte y asesoramiento en casos de ciberseguridad a ciudadanos y empresas, proporcionando orientación sobre cómo prevenir, detectar y resolver problemas relacionados con el uso seguro de las tecnologías de la información.
Pues bien, tras el robo del móvil, los delincuentes utilizaron los datos almacenados en el dispositivo para suplantar su identidad y cambiar el número de cuenta bancaria donde se ingresaba su sueldo. El teléfono contenía dos tarjetas SIM: una personal y otra corporativa. Aunque el usuario actuó rápidamente bloqueando sus tarjetas bancarias y cambiando contraseñas, su empresa no bloqueó a tiempo la SIM corporativa.
El día de recibir su nómina, el trabajador descubrió que no le había llegado el ingreso. Al ponerse en contacto con el departamento de recursos humanos, se percataron de que alguien había solicitado, mediante un correo electrónico muy similar al del usuario, un cambio en el número de cuenta bancaria. Sin detectar el fraude, la empresa depositó la nómina en una cuenta que no pertenecía al trabajador.
Desde la línea de ayuda de INCIBE se identificó este fraude como un caso de spear-phishing. Para minimizar el impacto, INCIBE recomendó al usuario una serie de medidas a llevar a cabo tales como el cambiar todas sus contraseñas, establecer un segundo factor de autenticación, realizar un borrado remoto del dispositivo y recopilar todas las pruebas y denunciar ante las autoridades.
Además, la institución aconsejó al usuario afectado practicar “egosurfing” para verificar si sus datos personales aparecían en sitios no deseados y, en caso afirmativo, ejercer el derecho al olvido y solicitar la eliminación de dicha información. También recomendaron que la empresa afectada contactara con INCIBE, recopilara pruebas y denunciara el fraude, además de gestionar la reclamación del dinero con el banco.
Este caso ilustra una realidad cada vez más común; la vulnerabilidad de nuestros datos y la facilidad con la que pueden ser comprometidos, y es que, en una época donde los ciberataques son cada vez más sofisticados, es imprescindible la proactividad y la educación en ciberseguridad si queremos ser capaces de salvaguardar nuestros activos digitales y financieros.
