«Mi jefe me quiere estafar»: así es el nuevo timo con el que suplantan al director de tu empresa por Whatsapp
Durante la elaboración de este reportaje, nuestro protagonista (un ciberestafador) ha adoptado hasta tres identidades diferentes: un directivo de un importante medio de comunicación, el jefe de una conocida empresa textil de Barcelona y el CEO de una popular franquicia de panaderías en la misma ciudad. A todos ellos, personas reales que no saben lo que está sucediendo, los ha suplantado como el mismo objetivo: intentar timar a sus trabajadores.
Si su jefe le escribe por Whatsapp y le pide que se vaya de compras, desconfíe. Es una modalidad de estafa cibernética surgida en 2023 y en auge durante este año, según explican fuentes policiales de delitos telemáticos a El Periódico de España. Estafadores que se hacen pasar por altos mandos de la empresa para conseguir que los empleados piquen y les compren tarjetas regalo.
Porque esta es una de las principales características de esta estafa: los delincuentes no le pedirán dinero, sino que se desplacen hasta un centro comercial próximo y que compren una tarjeta regalo. «Una vez el trabajador se lo ha creído y adquiere la tarjeta, el timador le pedirá que rasque la superficie posterior y le revele el código que allí aparece», cuenta la policía. Si llega a ese punto, la estafa se ha consumado y el estafador procede a bloquear al incauto y desaparecer para siempre.
Nombre y foto
Pero volvamos al principio: ¿en qué consiste la estafa del CEO o del jefe suplantado? Para ilustrarla, explicaremos el caso de un testimonio con el que ha contactado El Periódico de España. La redactora de un medio, que estos días ha recibido un extraño mail de su director: «Si tienes Whatsapp, pásamelo que tengo que hablar contigo urgentemente». Un mail cuyo remitente usa el nombre y la foto de su director, que arguye estar en una reunión y no poder llamarla por teléfono.
El primer contacto se establece vía correo electrónico, donde solicitan WhatsApp. / EPE
La trabajadora obedece y le pasa su número de Whatsapp. Es ahí cuando el estafador se pone en contacto con ella por esa vía. En su perfil de esa red de mensajería, lo mismo: el nombre y la foto de su director. «Aprovechan la jerarquía, el principio de autoridad de que hablan con alguien que cree que se está comunicando con su superior», relatan fuentes policiales.
Mordido el anzuelo, el supuesto jefe empieza a dar órdenes al empleado incauto: «¿Estás libre en este momento? Tengo una tarea para ti«, le escribe. La empleada, convencida de que habla con su jefe, responde que sí. «¿A qué distancia estás de un supermercado?», le pregunta el jefe impostor. Nuestro testimonio le responde que a cinco minutos y recibe entonces una orden: «Ok. ¿Puedes ir a comprobar si tienen alguna tarjeta de regalo Apple disponible allí?».
Tarjetas
«Piden tarjetas porque no deja de ser dinero anónimo. Lo hacen para dejar menos rastro. En ese caso pidieron un de Apple, pero también lo hacen con tarjetas de Google Play o de otros comercios. Cuando la persona estafada compra la tarjeta, el estafador le pide el número de serie, que puede emplear para gastar ese dinero por internet sin necesidad de identificarse. Como todo, aunque sea más anónimo que una transferencia, es un movimiento que podría dejar rastro. Por el servicio que compren o porque lo canjeen en una tienda física en la que tendrán imágenes. Pero al tratarse de pequeñas cantidades como 50 euros, no suele irse tan lejos en una investigación. Deberían darse de forma masiva por un mismo timador», concluyen los agentes.
Extracto de la conversación de WhatsApp del estafador con el trabajador. / EPE
En el caso que nos ocupa, aquí acabó el recorrido de la estafa, porque la empleada consiguió hablar con su jefe real antes de salir a comprar la tarjeta. Él le advirtió de que él no se había dirigido a ella en ningún momento: «Cuando nos dimos cuenta de que me estaban suplantando, nos intentamos poner en contacto con él, pero no nos atendió al teléfono«, cuenta dicho directivo. El mismo estafador, al ver que había sido descubierto, no volvió a hablar con ellos.
¿Dan de baja ese número los estafadores tras una intentona fallida? En ningún caso. Proceden a cambiarse el nombre y la foto en Whatsapp por el directivo de otra empresa a cuyos trabajadores donde pretendan engañar. El Periódico de España ha seguido los pasos del estafador después de esta estafa frustrada y ha podido comprobar que, tras suplantar al mencionado directivo de un medio, pasó a adoptar la identidad de un alto cargo de una empresa textil barcelonesa.
De hecho, los tres cargos que han sido suplantados por este estafador tienen una misma cosa en común: que proceden de la capital catalana. Porque al día siguiente, el estafador ya había adoptado la forma virtual de un tercer empresario: se había convertido en el CEO de una franquicia catalana de panaderías, tal y como pudimos comprobar.
Las claves
«Hay que revisar bien los datos del remitente. Si nos fijamos en este caso, veremos que el nombre elegido por el estafador es el del jefe a suplantar, pero si vamos más allá y observamos la dirección de mail, vemos que no se trata de una cuenta de correo corporativo, sino de un correo gratuito de Gmail y que el nombre de usuario es un conjunto de letras y números, no el mail original del jefe. Es una técnica clásica de ‘phishing'», advierten fuentes policiales.
Otro dato importante es que los timadores han perfeccionado mucho su sistema en cuanto al lenguaje que emplean. «Muchas de las estafas por mail se solían reconocer porque la mayor parte de estos delincuentes procede de otro país y utilizan un lenguaje muy tosco, con errores. Y que sus números de teléfono podían ser de Nigeria, India o Ghana principalmente. Ahora se hacen con números nacionales y usan aplicaciones de inteligencia artificial para que su español sea más correcto«. A pesar de ello, las autoridades creen que «poniendo atención en las expresiones que usan, podemos ver que algo falla».
[–>
Los expertos en ciberseguridad explican que también cómo obtienen los estafadores los datos de estos trabajadores: «Existen delincuentes por internet que trafican con bases de datos. Mails y teléfonos de personas que han sido vendidos de forma fraudulenta», y recomiendan que «cuando alguien reciba una petición extraña de esta naturaleza, desconfíen, revisen el remitente, le hagan preguntas que sólo el verdadero jefe pudiese contestar o incluso llamarlo por teléfono para comprobar si de verdad se trata de la persona con la que creemos estar hablando».
Puedes consultar la fuente de este artículo aquí