«Hay que tener un punto de paranoia para evitar ser víctima de una estafa telefónica»

El abogado Jorge Morell Ramos, especializado en derecho y nuevas tecnologías, analiza la nueva legislación y habla del fenómeno que golpea cada vez más a las empresas de Baleares.

Sabiendo que hasta ahora había un incumplimiento reiterado de la normativa que limita las llamadas comerciales, ¿Qué cambia con la nueva legislación?
− Lo primero es que la ‘publicidad pirata’ requerirá de un teléfono 800 o 900, de uno con un prefijo estándar como puede ser el 971 o de uno de los llamados ‘especiales’ del tipo 1004. No se podrá hacer desde un teléfono móvil.

Eso nos permitirá identificar el tipo de llamada, pero ¿cómo podemos evitarla?
− Hasta ahora existía la llamada ‘Lista Robinson’ en la que se pueden inscribir las personas que no quieran recibir llamadas comerciales. Teóricamente las compañías de telemárketing están obligadas a mirar si estás inscrito para no recibir llamadas. Hay algunas compañías que incumplen, pero lo cierto es que hay otras que sí cumplen y no te llaman. Ahora se crea una nueva versión de esa lista, Stop Publicidad. Está promocionada por la Agencia Española de Protección de Datos y darse de alta es gratuito. Se lanzó en febrero y desde el momento en el que te inscribes tarda 30 días en hacerse efectiva y que te dejen de llamar.

Si había incumplimientos con la ‘Lista Robinson’, ¿qué nos hace pensar que no los habrá ahora?
− Ahora cambia el sistema de control. Si te inscribes en las listas y sigues recibiendo ese tipo de llamadas tienes que comunicárselo a tu compañía telefónica y una vez reúnan las quejas, son las propias compañías quienes están obligadas a bloquear esos números. Aunque aún puede tardar hasta 15 meses, se crea además una base de datos para las compañías que son objeto de suplantaciones. Ahora estarán identificadas con unos códigos alfanuméricos que gestionará la Comisión Nacional de Mercados y Competencias. Registrará los datos y se coordinará con las operadoras para dar cumplimiento a lo establecido.

Personalmente me resulta difícil creer que mi compañía telefónica, que me llama de continuo para ofrecerme cambios de tarifa, vaya a bloquear a otros para que no hagan lo mismo…
− Ahora les apretarán más las tuercas. Antes no podías hacer publicidad sin haber tenido una relación contractual previa con la persona a la que llamas, pero luego quedaba en manos del usuario la acción de bloqueo de llamada o de denuncia. Con la nueva orden ministerial hay más proactividad a la hora de limitar y más penalización, no solo económica, también pueden perder el acceso al número de teléfono.

¿Es posible que esta vez funcione?
− El Ministerio dice que Francia y Alemania han aplicado medidas similares en cuanto a identificación con códigos y que eso ha reducido un 80 % las suplantaciones. Si de verdad consiguen eso, o incluso la mitad, será un gran éxito. El sistema va a ser más estricto, va a penalizar más y queda menos en manos de los usuarios.

Su gabinete está especializado en delitos tecnológicos, ¿se suele denunciar el acoso telefónico?
− Sí, aunque la verdad es que nosotros lo que más atendemos son suplantaciones de identidad telefónica. Hemos tenido varios casos de 'vishing' con importes de 3.000 a 5.000 euros en estafas. La forma más clásica sigue siendo la del correo electrónico como forma de suplantación de identidad, pero en los últimos años se combina con suplantaciones telefónicas.

¿Cómo funciona?
− Suelen empezar con un SMS o un correo y al minuto te llega una llamada, o al revés. A priori alguien te llama y da credibilidad a lo que has recibido, pidiéndote dinero, información o que pulses algún enlace. A veces acaba solo en una estafa en la tarjeta de crédito, pero otras veces va más allá. Pensando que se comunican con su banco hay personas que dan acceso a códigos de operaciones y eso puede provocar un daño más grande de centenares de miles de euros.

¿Se denuncia ante los cuerpos policiales?
− Sí, en la Policía o en la Guardia Civil. Dependiendo del tipo de estafa, también en atención al cliente o incluso en el banco de España. Son escalones prejudiciales, pero según el daño, a veces no queda más remedio que ir a juicio. Si no sabes quién te ha atacado, dependiendo del caso y del importe, hay que ver si vale la pena demandar al banco o a un tercero. Sabemos que solo un 15 % de los atacantes son detenidos. El nivel de impunidad es bastante alto.

¿Hay bandas que cometan estafas de este tipo desde Baleares?
− Hay organizaciones o bandas identificadas en Málaga, Cataluña, Valencia… aquí no hay constancia, pero Baleares es un objetivo de esas bandas. Este verano hemos tenido dos grandes estafas con importes por encima de 100.000 euros y cuando la Guardia Civil o la Policía Nacional hacen campañas preventivas, vemos que las denuncias aquí tienen elementos comunes con las que se producen en otros territorios.

¿Los estafados tienen un mismo perfil?
− Nosotros normalmente trabajamos con empresas medianas o grandes que por el tipo de actividad que realizan (construcción, inmobiliaria…) mueven importes generosos. Mover facturaciones grandes te convierte en objetivo, pero sabemos que también las personas físicas son objetivo de este tipo de ataques. Con una tarjeta de crédito te pueden quitar 1.000 o 1.500 euros.

¿El modus operandi es el mismo en ambos casos?
− Las personas físicas generalmente sufren la estafa durante semanas o meses. Las de empresas las visten mejor, pero duran días o como mucho una semana. En general siempre buscan que inocentemente les hagas pagos pensando que pagas al banco o a una entidad de inversión. A veces eres tú quien les has contactado porque, por ejemplo, has visto un video en Youtube realizado con inteligencia artificial en el que aparentemente alguien famoso te dice que inviertas en un proceso. Le crees y comienzas el servicio para obtener una rentabilidad muy alta. Haces grandes transferencias intentando conseguir retornos, retornos que inicialmente son altos, pero luego llegan las dificultades para volver a contactar… En este tipo de delitos hay mucha ingeniería social, una parte de cortejo que busca que la persona se confunda y crea que habla con el banco, un economista o un asesor y le vaya dando la información que necesita. Te dicen ‘ahora tenemos que conectarnos a tu cuenta bancaria y necesito que me muestres la pantalla…’ Crean esa situación de legitimidad y les vas dando dinero. Cuando sube el tono y quieres salir las dificultades empieza a aparecer.

¿Qué hace que las empresas de la construcción y las inmobiliarias de Baleares sean víctimas fáciles?
− Que son sectores con una madurez tecnológica media o media baja y es fácil que con un ataque no muy sofisticado puedan entrar bastante a fondo. Al final afecta a sectores industriales que muevan una facturación importante. También les ocurre a las gestorías. Mueven mucho dinero y si los estafadores consiguen acceder es posible que viendo durante dos semanas lo que entra y sale puedan encontrar lo que les interesa.

Una vez has picado, ¿cuáles son las opciones?
− Estadisticamente solo se atrapa a un 15 % de los atacantes. El problema es ver cómo se ha dado el ataque y quién puede ser responsable más allá de él, porque es difícil. Es ahí donde se ve si el banco ha incurrido en una falta de diligencia o si intervino un tercero. Una vez detectado el daño económico lo primero es hacer un control de daños. Se mira quién ha podido fallar y se determinan las culpas. Se intenta resolver antes de llegar a los tribunales, pero en ocasiones hay que denunciar.

¿Hablamos de acuerdos extrajudiciales?
− Sí. Lo ideal son los acuerdos extrajudiciales pero no siempre es posible. Se suele ir contra el banco, pero este tiene los medios para pleitear hasta el final. Si puedes demostrar antes que la potencial responsabilidad de un tercero está ahí, evitar el juicio siempre es mejor para la víctima, aunque pierda un poco.

¿Están evolucionando este tipo de estafas?
− Al final todas consisten en algo parecido, pero evolucionan los medios para conseguirlo. La evolución que estamos viendo es la utilización de la inteligencia artificial para clonar la voz o la imagen de alguien, por ejemplo en una videoconferencia. Ha ocurrido a gran escala. A nosotros nos ha llegado algún caso de clonación de voz. En los últimos 18 o 24 meses vemos también falsificaciones de los certificados de titularidad bancaria a empresas terceras, cosa que da más credibilidad al que te dice que hay un cambio en la cuenta. Si vas rápido y no es un proveedor que conoces mucho, puede provocar más de un dolor de cabeza. También es común robar el perfil de la cuenta de la empresa en las redes sociales. Te mandan un enlace para que verifiques un cambio que parece normal. Cambian las contraseñas y te piden dinero o tu web desaparece.

¿La gente suele pagar?
− Donde suele pagarse más, aunque realmente no es lo que toca hacer, es cuando te secuestran la información y la enjaulan. Si tienes copia de seguridad de lo que te han quitado asumes el problema, pero hay gente que no tiene y, aunque no se recomienda pagar, es donde más se hacen potenciales pagos. Hay que ser consciente de que pagas por algo que te van a devolver intoxicado. Hay que ir con mucho cuidado.

¿Qué lección aprendemos de todo esto?¿Qué podemos hacer para prevenir?
− Inscribirte en la lista Robinson y Stop Publicidad es un inicio, no hacer caso a llamadas del banco, compañías o SMS que te pidan expresamente cosas, sobre todo con relativa urgencia. Hay que estar informado a nivel de usuario y saber lo mínimo de cómo proteger una contraseña. Hay que cambiarla de tanto en tanto. Es necesario mejorar la formación y aplicar una regla muy común: Si por la calle sospechas de alguien que te pida algo, es de sentido común que debes comportarte igual si te lo piden por teléfono o por mail. Para evitar ser estafado hay que tener un punto de paranoia, sin volverse loco. Darle una vuelta a las cosas que te pidan y hacer un doble paso para chequear. Así evitarías el 60 0 70 % de los ataques más comunes. Todo no lo puedes controlar, pero sí que hay un círculo de acciones bajo nuestro control.