La vuelta al cole ha supuesto el caldo de cultivo perfecto para obtener información de interés con el pretexto de la validación de ayudas y cobros relacionados con las tasas de escolarización. La empresa de ciberseguridad Panda Security ha detectado una estafa que emplea este contexto para robar datos bancarios y personales a través de Bizum, la aplicación móvil que permite realizar pagos entre contactos.
El sistema involucra a una supuesta funcionaria de la Tesorería General de la Seguridad Social que llama a sus víctimas para indicarles que tienen pendiente la devolución de “unas tasas por la escolarización de sus hijos”. La estafadora les indica que se trata de una ayuda del Estado para hacer frente a la crisis de la COVID-19. Una vez finalizada la llamada, la víctima recibe un SMS con las siglas 'TGSS' como remitente y un supuesto código de validación que deben firmar para acceder a la ayuda económica.
“Si la víctima cae en el engaño, los ciberdelincuentes consiguen los datos de su cuenta bancaria para recibir la oferta. Una vez han recibido los datos de su banco, asocian su tarjeta de crédito o su cuenta bancaria a Bizum, que necesita un número pin de conformidad para operar en cada transacción. Justo ese pin es el que las víctimas firmaban pensando que es un código de activación”, explican desde la agencia de ciberseguridad.
La estafa basa su éxito en la ingeniería social, ya que, según Panda Security, “estudian” a sus víctimas a través de las redes sociales para conocer datos relacionados con el número de hijos y sus edades con el objetivo de, mediante la confirmación de la identidad, garantizar una apariencia oficial y segura.
No es un sistema nuevo
El pasado mes de julio, la Guardia Civil detuvo a una banda criminal en Andalucía acusada de robar información bancaria y 26.000 euros a más de sesenta personas en Jaén, Málaga, Granada y otras provincias españolas. La estafa requería, de nuevo, de una llamada personal a la víctima asegurando que, dada su condición económica (muchas se encontraban en situaciones de precariedad o habían sido víctimas de ERTEs), la Tesorería General de la Seguridad Social iba a realizar una transferencia inmediata de una cantidad siempre inferior a los 400 euros.
La víctima recibía una solicitud de transferencia a la aplicación Bizum de su teléfono móvil sin saber que, realmente, estaba accediendo a traspasar dicha cantidad.
“Todos estos ejemplos nos deben recordar que es imperativo que la sociedad se conciencie de que todo lo que hacemos público en las redes sociales es una información valiosísima para los cibercriminales”, asegura Hervé Lambert, Global Consumer Operations Manager de Panda Security.