El pasado 05/07/2019 la UCO (Unidad Central Operativa) de la Guardia Civil detenía a J.A.F. en la demonida Operación Lupin. En total han sido más de 2.400 víctimas estafadas, provocando al detenido ingresos de más de 300.000€ al mes.
¿Cómo lo hacía el mayor ciberestafador?
El estafador y sus colaboradores creaban páginas web, principalmente de venta de electrónica (telefonía y videoconsolas), ofreciendo productos a un precio muy atractivo para el comprador. Para dar credibilidad clonaban los estilos de las páginas web de empresas de prestigio e incluso utilizaban su nombre en el dominio y en el contenido. En total hay 26 dominios identificados por la Guardia Civil y que fueron utilizados para cometer el fraude. La Guardia Civil ha habilitado una página web donde se pueden ver estos 26 dominios e invitan a reportar a los estafados su denuncia: https://www.gdt.guardiacivil.es/webgdt/afectadoslupin.php
Una vez el usuario «picaba» este tenía que obligatoriamente completar el pago a través de una transferencia bancaria. No había más métodos de pago posibles.
Cuando el usuario hacía la transferencia, la estafa no había hecho más que empezar. Además de no recibir jamás los productos que había comprado, la red de estafadores se ponía en contacto con el comprador invitándole a que se descargara una aplicación en su móvil para realizar el seguimiento del pedido. Obviamente la aplicación no tenía como finalidad hacer el seguimiento del supuesto pedido, sinó reenviar el contenido de todos los SMS que el estafado recibía. ¿Para qué? Para seguir robando. La mayoría de bancos ante una compra online mediante tarjeta de crédito, solicita a su cliente un código de seguridad que envía a éste por SMS con el fin de autorizar la transacción. Ahora el estafador podía realizar compras a través de Internet utilizando la tarjeta de crédito del estafado. En cuanto el banco enviara el SMS al cliente, el estafador también lo recibiría gracias a su app. Mientras el estafado no bloqueara su tarjeta de crédito, el estafador tenía barra libre para comprar por Internet.
Consejos para evitar ser víctima de ciberestafadores
Cuando el número de víctimas supera las 2.400 es evidente que el estafador lo hizo muy bien. Pero ¿se podría haber evitado? Sí, y aquí tienes unos consejos para evitarlo:
- No compres en páginas web que no sean de tu confianza. Los estafadores utilizarán dominios, logotipos, eslógans, colores,… que provoquen confusión para hacerte creer que tienen relación con empresas legítimas de prestigio. Fíjate bien en el dominio, asegúrate de que se carga con https (aparecerá un candadito junto a la URL) y sé desconfiado por defecto. Si no lo ves claro, busca en Internet referencias sobre esa página, ponte en contacto con ellos para recabar más información o verifica que tengan una sección de «Aviso legal» y «Condiciones de uso» en su página web. Si aun así te genera dudas, no te arriesgues. Lo barato sale caro.
- La mayoría de sitios web delegan el proceso de pago en una pasarela de pago (por ejemplo: redsys, paypal, stripe,…). Si la web solicita directamente los datos de tu tarjeta o la pasarela de pago no es de confianza, aborta la operación.
- Activa el control de uso de tu tarjeta. La mayoría de bancos permiten a sus clientes activar y desactivar la posibilidad de realizar compras a través de Internet utilizando la app del banco o la web. Es recomendable activar exclusivamente la posibilidad de compras online en el momento de realizar un pago y desactivarla inmediatamente después de la operación.
- Revisa las permisos de tus apps en el móvil. Cuando te descargas una aplicación en el móvil, le estás otorgando permisos para acceder por ejemplo a tu agenda, cámara, fotos,… o como en el caso del estafador Lupin, a tus SMS. Si consideras que una aplicación está solicitando acceso a funcionalidades que no requiere, desinstálala. Lo más probable es que quiera utilizar los accesos de forma fraudulenta. Puedes revisar los permisos de tus aplicaciones para Android así https://support.google.com/googleplay/answer/6270602?hl=es
- Utiliza contraseñas fuertes y diferentes para cada sitio web y nunca las facilites A NADIE. Igual que no usas la misma llave para tu casa, el portal y el choche, no utilices la misma contraseña para diferentes sitios web. Piensa que si alguien la consigue tendrá acceso a todas las cuentas que hayas configurado con la misma contraseña. Es verdad que puede ser difícil acordarse de la contraseña utilizada para cada sitio, pero existen gestores de contraseñas como https://1password.com/ o https://lastpass.com/ que harán esta tarea más fácil.
¿Te han estafado o has encontrado una web fraudulenta?
Denuncia. Gracias a que muchas personas habían denunciado al estafador Lupin, la Guardia Civil ha podido desmantelar esta red. Si crees que has sido víctima de una estafa en Internet o piensas que hay una web que podría estar cometiendo un delito, no lo dudes, presenta una denuncia a través de alguno de los canales que la Guardia Civil pone a tu disposición: https://www.gdt.guardiacivil.es/webgdt/afectadoslupin.php
El problema que muchas veces se encuentran las Fuerzas y Cuerpos de Seguridad del Estado en la lucha contra el cibercrimen es que las páginas web, anuncios, mensajes en Internet,… son eliminados por el estefador con la misma facilidad con la que se publicaron. En el caso de Lupin, había páginas web que solo estuvieron publicadas 48 horas para evitar ser rastreados y así dejar pruebas.
¿Cómo guardar las pruebas para denunciar con garantías?
Como comentábamos, los estafadores eliminan rápidamente las pruebas para evitar ser cazados. Para facilitar la investigación, a la hora de denunciar, es recomendable que certifiques las pruebas.
En SaveTheProof.com certificamos el contenido de cualquier página web en Internet. Tan solo tienes que indicar la URL (dirección del sitio web) cuyo contenido quieres certificar o navegar hasta ella a través de nuestra plataforma. En pocos minutos tendrás un certificado en formato PDF firmado electrónicamente que podrás adjuntar a tu denuncia.
De esta manera, aunque el estafador elimine la página, tendrás la prueba de que el sitio existía y harás mucho más fácil la investigación a las Fuerzas y Cuerpos de Seguridad del Estado.
Si tienes cualquier duda sobre cómo certificar una página web con SaveTheProof.com escríbenos a: [email protected]