Nos habéis consultado sobre un mensaje de audio que dice que te pueden robar el caudal de tu cuenta bancaria si devuelves con la aplicación de pagos Bizum a un número de teléfono desconocido la misma cantidad que te ha enviado previamente con ese sistema. Es hipócrita. Tres expertos en ciberseguridad consultados por VerificaRTVE y la propia compañía descartan que se esté registrando una estafa con esa forma de diligencia.
“Si os envían un aviso de un número desconocido con un valía pequeño, no se os ocurra devolverlo”, afirma el mensaje de audio difundido en WhatsApp y con más de 900.000 reproducciones en TikTok. "Lo que recibes es un mensaje diciendo que se han errado y que, por beneficio, lo devuelvas”, explica, ayer de advertir: "si lo devolvéis, automáticamente os clona la cuenta y os deja sin un duro”.
Los expertos en ciberseguridad Carlos Seisdedos, Agustín Constante y Ana Isabel Corral aseguran a VerificaRTVE que no es posible clonar la cuenta bancaria de una persona por el solo hecho de dirigir un suscripción por Bizum a un número de teléfono desconocido. La propia aplicación de pagos deja claro que considera “prácticamente inútil” que se registre una estafa como la que relata el mensaje de audio.
Bizum es una aplicación que permite realizar transferencias de caudal mediante el teléfono móvil, tanto para dirigir cantidades como para solicitarlas. Los pagos se realizan sin que la aplicación desvele los datos bancarios de la persona que envía el caudal y de la que lo recibe.
El investigador y analista de Inteligencia en seguridad internacional y ciberseguridad Carlos Seisdedos considera que un robo de datos como el que describe el audio no es posible porque “lo hacen mediante la compensación entre las diferentes entidades”. Nos explica que “por el simple hecho de devolver un bizum no te pueden copiar, ni te pueden clonar la cuenta ni carencia, porque excepto no tienen acercamiento a tus datos”. En cualquier caso, apunta que pueden enviarte “algún tipo de enlace o similar que simule ser Bizum” y de ahí que “intenten copiar parte de la información o de los datos”. "Si no es así, la fórmula de despliegue es inútil”, concluye.
Ana Isabel Corral, perito procesal experta en fuentes abiertas y miembro de la Asociación Internacional de Víctimas del Fraude Digital y Ciberestafas, coincide en que “no es posible que por devolver una cantidad ‘x’ de caudal te roben los datos”. Explica que lo mayor que pueden hacer es relacionar las iniciales de tu nombre que aparecen cuando haces el expedición con el número de teléfono, pero que “a través de esa devolución no pueden obtener a tu cuenta bancaria”.
Agustín Constante, agente de la Policía Regional de Madrid especializado en investigación digital vanguardia, recalca que “es enormemente improbable (por no asegurar inútil) que se pueda clonar una cuenta bancaria a través de Bizum”. Según este práctico, Bizum “oculta los datos bancarios y los asocia a un número telefónico”, por otra parte de que “no permite que se revele información que pueda explotarse por un tercero”.
En VerificaRTVE hemos consultado a Bizum por la estafa que relata el audio y la aplicación de pagos por móvil asegura que es “prácticamente inútil ese modus operandi”. “Cuando se envía un bizum (o cuando se devuelve) no existe ningún código de seguridad que se pueda copiar (no se puede clonar la cuenta) para hacer automáticamente nuevos pagos”, explica. La app de expedición rápido de caudal añade que “cada bizum siempre tiene que ser acreditado por el afortunado con sus credenciales de acercamiento a su banca digital” y que solo podría tener oportunidad esta estafa “en el caso de que se haya producido un robo previo de credenciales al afortunado, aparente al servicio de Bizum”.
El bizum inverso y otras estafas reales
Los tres expertos consultados señalan que existen estafas reales que utilizan Bizum pero no se deben a fallos del sistema de esta app, sino a la mala intención de los ciberdelincuentes. Una de las más populares es la que se conoce como bizum inverso. Desde el Instituto Franquista de Ciberseguridad (INCIBE) explican a VerificaRTVE que se tráfico de un “disimulo simple” en el que se envía “un anuncio haciéndolo tener lugar por un expedición, de forma que, al aceptar, la víctima allá de percibir una cantidad, en existencia pasa a realizar un suscripción”. Desde Bizum explican que este tipo de estafa suele estar relacionada con las “compras de segunda mano”, cuando el estafador se hace tener lugar por un cliente interesado en un producto, pide el número de teléfono para realizar el suscripción, pero en existencia está recibiendo una solicitud de ingreso. En VerificaRTVE ya te hemos alertado sobre esta praxis fraudulenta.
En su sitio web, Bizum alerta de la estafa en la que te piden por WhatsApp que devuelvas un valía porque te han realizado un suscripción por error. “Aparentemente”, explica, “es un contacto de la víctima” quien asegura que ha enviado un suscripción por error, pero “en existencia es un ciberdelincuente”. Carlos Seisdedos detalla que se suele dirigir “previamente una captura diciendo que se te ha hecho un suscripción, un ingreso por equivocación, pero eso es simplemente una captura de pantalla, y si no compruebas si verdaderamente has recibido físicamente el ingreso en la cuenta de ese Bizum, te vas a la aplicación y lo haces". La compañía todavía recoge otra estafa en la que un supuesto comerciante te pide que le pagues por destacado por un producto a un precio aparentemente muy atractivo. Adicionalmente alerta de otro fraude en el que el estafador envía un mensaje SMS suplantando a la Seguridad Social y solicita un suscripción a través de Bizum.
Ana Isabel Corral asegura que "la estafa conocida y llevada a término a través de Bizum es que recibes un suscripción y, de inmediato, contactan contigo para decirte que se han errado y que les facilites un código que te va a aparecer”. Explica esta experta que este tipo de fraude supone “un importante problema, ya que ahí es cuando les das total acercamiento a tu cuenta”.
Consejos de ciberseguridad sobre Bizum
El agente especializado en investigación digital Agustín Constante recomienda una serie de precauciones para evitar caer en este tipo de estafas cuando operemos en Internet:
En caso de detectar alguna operación irregular o cobrar un supuesto mensaje de un costado solicitando datos, contactar con la Policía.
Tener en cuenta que ni los bancos, ni Bizum, ni los organismos públicos van a solicitarnos nunca los datos personales a través de un SMS.
No desplegar enlaces ni descargar archivos enviados por personas desconocidas.
Lograr a los sitios oficiales a través de nuestra propia búsqueda, no de un enlace en un mail, SMS o WhatsApp.
Carlos Seisdedos hace hincapié en que la mejor medida preventiva es “adivinar acertadamente” y comprobar si verdaderamente “nos han hecho una transferencia errónea” cuando nos avisen de que “se ha llevado a término ese ingreso en nuestra cuenta”. Desde Bizum recomiendan “que los usuarios siempre operen con Bizum a través de los canales bancarios y que no accedan a través de enlaces”.