Cuidado con el audio que alerta de una supuesta estafa de ‘phishing’ que permitiría hacer hasta 50 pagos a través de tu cuenta de Bizum
Nos habéis preguntado en nuestro servicio de verificación por Whatsapp (+34 627 28 08 15) por un audio que circula por redes sociales y aplicaciones de mensajería instantánea en el que se alerta sobre un posible phishing de Bizum. En este audio, un individuo cuenta el modus operandi de la supuesta nueva estafa a través de la plataforma de pago inmediato, en la que el ciberdelincuente podría conseguir acceso a tu cuenta de Bizum. No obstante, en declaraciones a Newtral.es, Bizum considera “prácticamente imposible” este tipo de estafa, aunque en su web aconseja no realizar ninguna operación bancaria si no se conoce la identidad de la otra persona implicada en esta. Te contamos lo que sabemos.
Según la persona del audio, podrías recibir un bízum de una pequeña cantidad de dinero –entre cinco y diez euros– por parte de un desconocido. Este supuesto emisor de la transferencia te avisaría posteriormente de que se habría producido un error al enviar el dinero para que se lo devolvieras a través del mismo medio. Es en esta operación de devolución donde, supuestamente, el desconocido te robaría un código de seguridad con el que –según se cuenta en el audio– tendría el poder de realizar bízums desde tu cuenta bancaria.
“En el momento en el que devolvéis el bízum, no sé de qué forma, a través de unos programas informáticos, copian un código de seguridad que Bizum hace automáticamente y son capaces de autorizarlos desde tu propia cuenta. Por tanto, una vez que autorizas esta operación, son capaces de hacer bízums desde tu cuenta”, explica la persona del audio, que no se identifica. “Se han dado casos en los que se han hecho hasta 50 bízums diferentes por valor de diez euros”, afirma. Sin embargo, el proveedor de servicios de pago desconfía de la veracidad de esta supuesta estafa.
Bizum considera “prácticamente imposible” que se produzca el phishing del que se habla en el audio
“Consideramos prácticamente imposible ese modus operandi. La razón es que, cuando se envía o se devuelve un bízum, no existe ningún código de seguridad que se pueda copiar para hacer automáticamente nuevos pagos”, declara a Newtral.es el proveedor de servicios de pago sobre el audio del supuesto phishing. Bizum insiste en que, para realizar cada operación, el usuario necesita sus credenciales de acceso a su cuenta, por lo que solo se podría llevar a cabo la estafa si se hubiera producido un robo previo de dichas credenciales.
Desde su web oficial, el proveedor de servicios de pago avisa sobre cómo detectar los intentos de estafas de ciberdelincuentes. Bizum indica que una de las técnicas seguidas por los ciberdelincuentes es confiar en la buena voluntad de las personas. En el audio viral también se hace referencia a esta cuestión, aunque el proveedor no especifica que se pueda producir la supuesta estafa de la que se habla en el audio.
“Es muy importante no realizar ninguna operación bancaria de ningún tipo si no se tiene la certeza de que conocemos a la otra persona”, publica Bizum en su web entre los consejos para evitar estafas como el phishing; recomendación que también la realiza el hombre del audio viral.
Realizar una operación de pago en Bizum no permite acceder a la cuenta bancaria, según expertos
Javier Arnaiz, manager del Área de Ciberseguridad y Privacidad en la firma especializada en derecho tecnológico ECIJA, explica a Newtral.es que “no parece tan sencillo acceder a la cuenta bancaria y realizar operaciones no autorizadas” mediante la práctica que se comenta en el audio viral. El experto incide en que Bizum trabaja en conjunto con la entidad bancaria, lo que hace que sea complejo hacer un salto de manera fraudulenta de una a otra, ya que el banco mantiene sus sistemas de seguridad propios.
“Realizar una operación de pago en Bizum no revela información que pueda ser explotada por sí sola para ganar acceso a la cuenta bancaria o realizar un desvío de la operación. Otra cuestión es que se usase esa información para, mediante técnicas de ingeniería social, contactar con el sujeto y acceder a más información”, aclara Arnaiz.
Además de las recomendaciones de Bizum –que el experto considera acertadas–, Arnaiz insiste en que “tampoco se debe aportar información personal a un sujeto que la solicite cuando no hemos realizado ninguna operación o acción. La solicitud de claves por teléfono o por vías fuera de la web y aplicación oficiales del banco es muy poco habitual”.
El Instituto Nacional de Ciberseguridad y la Policía Nacional no han recibido denuncias ni consultas sobre la supuesta estafa de phishing por Bizum
El Instituto Nacional de Ciberseguridad (Incibe) indica a Newtral.es que ha recibido consultas relacionadas con Bizum, pero “no con el foco en un código de seguridad ni en la pérdida de control sobre la cuenta”. La institución explica que, normalmente, los casos de fraude en esta plataforma se corresponden con la técnica del bízum inverso, es decir, los estafadores envían un reclamo de dinero haciéndolo pasar por un envío; cuando las víctimas lo aceptan, en lugar de percibir la cantidad indicada, sufren un cobro. No obstante, no tienen constancia de un supuesto phishing de Bizum como el que explica el audio.
“De momento, no tenemos información sobre denuncias al respecto”, explica la Policía Nacional a Newtral.es, que se basa en los datos aportados por Bizum y en la ausencia de denuncias por el supuesto fraude que afirma el audio. Los cuerpos de seguridad se han expresado en el mismo sentido que el proveedor: “Bizum niega que exista este fraude concreto”.
Aunque no se trata del mismo supuesto fraude que denuncia el audio viral, la Policía Nacional alertó en Twitter a mediados del pasado mes de noviembre de la importancia de diferenciar la recepción y la solicitud de dinero a través de Bizum a los usuarios que pueden confundir ambas acciones. Esta técnica fraudulenta, de la que sí existen evidencias de que se haya producido, se corresponde con la señalada por el Incibe.
En #bizum RECEPCIÓN de dinero no es lo mismo que SOLICITUD de recepción de dinero ????
— Policía Nacional (@policia) November 19, 2022
Si dudas ???? cancela
Y si eres víctima o testigo de un delito ???? denúncialo#SiNoEsSeguroNoEsComercio@LegalitasFunda pic.twitter.com/L217FB9ns8
La Policía insiste a los ciudadanos en que no realicen las operaciones bancarias si tienen dudas sobre la seguridad de estas. Por su parte, la Guardia Civil ha comenzado a investigar a varias personas por estafar a través de Bizum suplantando la identidad de un banco y utilizando un enlace fraudulento con el fin de obtener los datos bancarios de los usuarios, una práctica ya conocida y diferente al modus operandi que indica el hombre desconocido en el audio viral.
Fuentes
Declaraciones de Bizum a Newtral.es
Declaraciones de la Policía Nacional a Newtral.es
Declaraciones del Instituto Nacional de Ciberseguridad (Incibe) a Newtral.es
Declaraciones de Javier Arnaiz, manager del Área de Ciberseguridad y Privacidad en la firma tecnológica ECIJA, a Newtral.es