Spam telefònic i frau financer: tàctiques i com protegir-te

Informatec Digital » Recursos » Spam telefònic i frau financer: tàctiques i com protegir-te

El spam telefònic s'ha convertit en una autèntica plaga i, el que abans semblava només una molèstia, avui és una de les vies favorites dels delinqüents per buidar comptes bancaris, robar dades personals i cometre tota mena de fraus financers, especialment a Llatinoamèrica i en països de parla hispana.

Darrere de moltes d'aquestes trucades hi ha ciberdelinqüents organitzats que utilitzen enginyeria social, tecnologies de veu sobre IP, sistemes de marcatge automàtic i fins i tot intel·ligència artificial per suplantar identitats i sonar totalment creïbles. Entendre com operen, quines excuses usen i com defensar-se és clau per no caure al parany.

Spam telefònic i frau financer: per què és un problema tan greu

En els darrers anys, el volum de trucades no desitjades s'ha disparat: la gran majoria d'usuaris a Llatinoamèrica declara rebre spam telefònic diàriament, i una part gens menyspreable d'aquestes trucades està directament relacionada amb intents de frau bancari, estafes financeres i promocions enganyoses que busquen robar diners o dades.

Els registres d'aplicacions d'identificació de trucades com Who Calls de Kaspersky mostren que les etiquetes més habituals que els usuaris assignen a aquests números són “frau”, “estafa” i “spam”, seguides de categories com “frau bancari”, “delicte financer”, “estafa amb targeta” o “compra falsa”. Això evidencia que el problema va molt més enllà de la típica trucada comercial pesada.

A més dels fraus financers, apareixen sovint trucades vinculades a seguretat social, salut, assegurances, operadors de telecomunicacions i fins i tot trucades silencioses que semblen innòcues, però que en realitat s'utilitzen per comprovar si un nombre està actiu, registrar horaris en què es respon i, en alguns casos, captar mostres de veu per a atacs més avançats.

Aquest escenari s'agreuja perquè els criminals ja no depenen només de fallades tècniques: la seva principal arma és la manipulació psicològica. A través d'històries molt elaborades, juguen amb la confiança, la por i la urgència de la víctima perquè prengui decisions impulsives, com ara compartir contrasenyes, codis SMS o autoritzar transferències.

Enginyeria social, vishing i ús intel·ligència artificial

La majoria dels fraus telefònics es basen en tècniques d'enginyeria social: manipular emocions, generar pànic o falsa confiança i empènyer la víctima a actuar ràpid, sense temps per pensar. Quan això es fa per trucada de veu, parlem de vishing (phishing per veu).

Al vishing clàssic, l'estafador es fa passar per algú de confiança: un empleat de banc, un tècnic de suport, una operadora de telefonia, un funcionari de la seguretat social o fins i tot un familiar en problemes. Amb aquest pretext, sol·licita informació sensible o indueix la víctima a realitzar accions que en comprometen la seguretat financera.

A la versió més sofisticada, els delinqüents combinen diverses tècniques d'engany: spoofing perquè a la pantalla del mòbil aparegui el nom o número del banc real, OSINT per recopilar informació de la víctima a xarxes i internet, i eines d'intel·ligència artificial capaces d'imitar veus o generar missatges automatitzats molt realistes.

Això permet crear escenaris extremadament convincents: trucades que semblen procedir del número oficial del banc, on coneixen el teu nom, algun producte que tens contractat o fins i tot detalls d'una operació recent, cosa que mina completament la teva desconfiança i fa que cedeixis informació privada.

Davant aquest context, els experts en ciberseguretat insisteixen que l'educació digital és tan important com els sistemes de bloqueig: sense una mínima cultura de desconfiança davant de trucades inesperades, qualsevol usuari —encara que es consideri “amb experiència”— pot caure al parany.

Temàtiques més habituals a l'spam telefònic fraudulent

Els informes d'usuaris en apps d'identificació de trucades dibuixen un patró molt clar: els fraus financers són el centre de la majoria de trucades sospitoses, però es recolzen en multitud de temes i excuses per entrar en conversa.

Entre les temàtiques més repetides es troben avisos falsos de bancs, targetes i préstecs, suposades incidències amb compres en línia o lliuraments de paquets, trucades d'empreses de telecomunicacions, contactes sobre pensions o “proves de vida”, ofertes d'assegurances de salut i vida, i trucades mudes que només serveixen per “sondejar” el número.

En molts casos, aquestes trucades no busquen de primeres el robatori directe de diners, sinó recopilar informació personal i financera que després es faran servir en fases posteriors de l'estafa: dades d'identificació, horaris, veu de la víctima, número de compte, entitat bancària, ús d'aplicacions de pagament, etc.

Les categories associades a compres fraudulentes són també molt freqüents: estafa amb targeta, cobrament indegut, compra falsa o subscripció premium no sol·licitada. Els delinqüents exploten, aquí, la por de la víctima que li estiguin cobrant alguna cosa sense autorització, perquè truqui de tornada o segueixi les seves indicacions “per cancel·lar el pagament”.

fins i tot les trucades silencioses o amb un simple “hola, m'escoltes?” compleixen un propòsit delictiu: confirmar que el nombre és operatiu, registrar quants timbres trigues a respondre o captar un “sí” que es podria utilitzar en muntatges d'àudio o intents de suplantació per veu.

Els enganys més usats: com es presenten els ciberdelinqüents

Quan entenen quin tipus d'història pot funcionar, els grups criminals polin els seus guions perquè sonin el més versemblants possible. Algunes modalitats es repeteixen una vegada i una altra perquè els resulten especialment rendibles.

Una de les més habituals és la del fals assessor bancari que avisa d'un problema al vostre compte. El delinqüent truca fent-se passar per empleat del banc, esmenta un suposat moviment sospitós, un intent d'accés no autoritzat o un bloqueig imminent. Sota el pretext de “protegir els teus diners”, et demana confirmar dades, dictar codis que t'arriben per SMS o fer una transferència a un “compte segur” que, en realitat, és del mateix estafador.

Una altra variant molt estesa és la falsa central d'operador o suport tècnic. Aquí us fan passar per la vostra companyia de telefonia, internet, un proveïdor de serveis digitals o el suport d'una aplicació popular. Al·leguen una avaria a la teva línia, un error de facturació, un bloqueig del teu compte o la necessitat d'instal·lar una actualització urgent. L'objectiu és que instal·lis programari d'accés remot, comparteixis codis o autoritzis canvis que els permeten controlar el teu telèfon, clonar el teu WhatsApp o entrar als comptes bancaris.

També s'ha disparat el frau relacionat amb seguretat social i “prova de vida”. La persona que truca es presenta com a funcionari d'un organisme públic, informa de suposats problemes amb una pensió, necessitat d'actualitzar dades o validar una prova de vida. A partir d'aquí sol·licita informació personal sensible, fotografies de documents o fins i tot pagaments de taxes inexistents.

Al terreny del comerç electrònic, les estafes sobre compres online i lliuraments de paquets retinguts ja són un clàssic. Us truqueu o envieu un missatge per avisar d'una comanda amb incidències, un paquet bloquejat en duanes o un pagament rebutjat. Per “solucionar-ho”, et demanen dades de targeta, accés a apps de pagament o que premis enllaços a llocs web clonats on roben les teves credencials.

Vishing bancari i fraus de préstecs: un objectiu molt llaminer

Dins del món de les estafes per trucada, el frau bancari té un pes especial perquè dóna accés directe als diners de la víctima, i per això els delinqüents afinen les seves tècniques sense parar.

Una de les modalitats que més està creixent és el frau de devolució o cancel·lació de préstecs. El ciberdelinqüent es fa passar pel teu banc, una financera o una plataforma de crèdits, i t'ofereix cancel·lar un préstec, renegociar les condicions o tornar-te uns interessos cobrats “per error”. A canvi, et demanarà comissions per endavant, les teves dades bancàries completes o accés a la banca en línia, amb l'excusa de fer la devolució.

Un altre cas típic és el del fals tècnic informàtic que truca per resoldre un problema de seguretat al teu ordinador oa la teva banca digital. Et convenç d'instal·lar un programa d'accés remot per revisar l'equip; en realitat, així obté control total: pot veure els teus moviments, capturar contrasenyes i, si detecta que accedeixes al banc, iniciar transferències sense que te n'adonis.

A molts països, a més, s'han detectat fraus molt emocionals relacionats amb familiars en perill. El delinqüent es fa passar per un fill, nét o un altre parent, diu que està detingut, haver patit un accident o necessitar diners urgents per a un bitllet d'avió. Aquí l'ús d'intel·ligència artificial per imitar veus conegudes fa que l'engany sigui especialment perillós.

La pressió sol ser brutal: apel·len a la urgència i la por, demanen que no expliquis res a ningú i t'empenyen a fer transferències immediates. Si no s'atura la trucada per comprovar-ho per un altre canal, el resultat sol ser la pèrdua d'importants quantitats de diners en qüestió de minuts.

Frau del “sí” i captura de la veu de la víctima

Una variant curiosa però molt estesa és l'anomenat frau del “sí”. Es basa en una cosa tan simple com gravar la resposta afirmativa quan contestes al telèfon oa certes preguntes durant la trucada.

Els ciberdelinqüents inicien la conversa amb preguntes que conviden a contestar amb un “sí”: "M'escoltes bé?", "Has autoritzat aquesta transacció?", "Estàs d'acord amb rebre actualitzacions?". Fins i tot poden llançar una locució automàtica que esmenta una subscripció premium fictícia i penja perquè siguis tu qui torni la trucada, moment en què et demanaran dades personals per “cancel·lar-la”.

Tot i que en l'àmbit bancari no se solen autoritzar operacions únicament amb un enregistrament de veu, els estafadors combinen aquest àudio amb altres dades que aconsegueixin durant la trucada o de fonts públiques per suplantar la teva identitat en diferents serveis o reforçar la versemblança de futurs enganys.

Per això, els experts recomanen evitar respondre amb frases curtes i categòriques a trucades de números desconeguts, desconfiar de locucions que et pressionen per tornar la trucada i, en cas de dubte, penjar sempre i contactar directament amb l'entitat pels seus canals oficials.

A més, convé recordar que cap banc seriós activarà o cancel·larà productes financers només a partir d'una trucada inesperada on tu no hagis tingut la iniciativa de contactar primer; si us demanen dades crítiques en aquest context, el més probable és que es tracti d'un intent de frau.

Robocalls, spoofing i limitacions de l'identificador de trucades

Un altre gran front al terreny de l'spam telefònic són les robocalls o trucades automàtiques. Es tracta de comunicacions realitzades mitjançant sistemes de marcatge massiu que reprodueixen missatges pregravats o deriven a l'usuari a un operador humà només si aquest respon.

Moltes d'aquestes trucades tenen fins legítims (avisos de vols, campanyes polítiques, recordatoris mèdics), però una porció enorme s'utilitza per a estafes: des de suposats suports tècnics fins a falses agències governamentals, passant per sorteigs inexistents o enquestes que amaguen vendes agressives i robatori de dades.

El problema es veu agreujat per l'ús massiu de tecnologia VoIP i tècniques de spoofing, que permeten als estafadors manipular el número que apareix a l'identificador de trucades. Poden fer que sembli que truquen des de la teva mateixa ciutat, des del número del teu banc o fins i tot des de la policia, quan en realitat són a un altre país.

Això fa que no es pot confiar cegament en l'identificador de trucades com a mecanisme de seguretat. Veure un número local o reconeixible ja no és garantia de res; de fet, els delinqüents ho utilitzen precisament per augmentar les probabilitats que despengis.

Davant aquest panorama, les autoritats reguladores recomanen no tornar trucades a números desconeguts que pengen després d'una sola timbrada, desconfiar dels missatges que pressionen per prémer tecles i recelar sempre dels que sol·licitin informació personal sota qualsevol pretext d'urgència.

Missatges de text spam, smishing i enllaços maliciosos

El frau per veu sol anar de la mà de missatges SMS o de missatgeria instantània amb enllaços o instruccions sospitoses. En aquest cas parlem de smishing, una variant del phishing que utilitza missatges de text en lloc del correu electrònic.

Els estafadors envien missatges que prometen regals, sorteigs, reemborsaments o devolucions d'impostos, o bé alerten sobre problemes amb un pagament, un paquet retingut o una activitat sospitosa al vostre compte bancari. Tot això amb l'objectiu que facilitis informació personal o facis clic a un enllaç.

Aquests enllaços poden dirigir a llocs web falsos que imiten a la perfecció pàgines oficials de bancs, empreses de missatgeria, botigues en línia o administracions públiques. Si hi introdueixes les credencials, l'atacant es farà amb el teu usuari i contrasenya; en altres casos, l'enllaç descarrega malware al dispositiu.

Entre les dades que solen sol·licitar es troben números de compte, targetes de crèdit, documents d'identitat, ingressos, deutes i qualsevol altra informació que pugui després utilitzar-se per robar diners o vendre al mercat negre.

La recomanació general és molt clara: si reps un missatge inesperat que demana dades o t'insta a fer clic, ignora'l. Si creus que pogués ser legítim, entra tu manualment a la web oficial del servei o truca a un número que coneguis; mai facis servir els enllaços o telèfons inclosos en el propi missatge.

Com protegir-te del correu brossa telefònic i del frau financer

La primera línia de defensa és adoptar hàbits prudents cada vegada que reps una trucada o un missatge inesperat, sobretot si es refereix a diners, dades personals o problemes urgents que cal resoldre “ja”.

Els especialistes recomanen, en primer lloc, no interactuar amb trucades sospitoses: si en contestar ningú no parla, es reprodueix un missatge genèric o notes pressió excessiva per actuar de pressa, penja sense dubtar-ho. No premeu tecles per “deixar de rebre trucades” ni seguiu instruccions de locucions automàtiques que no espereu.

És fonamental, també, no instal·lar aplicacions ni facilitar contrasenyes, codis o dades bancàries per telèfon, especialment si qui truca assegura que és del banc, del suport tècnic o d'una entitat oficial. El teu banc no et demanarà per telèfon la contrasenya, el PIN, la signatura electrònica ni els codis que reps per SMS.

Davant de qualsevol dubte, la mesura més segura és verificar la comunicació a través de canals oficials: penja i truca tu al número que apareix a la web oficial, a l'app oa la part posterior de la teva targeta. Mai tornis la trucada al número que t'ha contactat ni facis servir telèfons o enllaços enviats per SMS.

Per acabar, si has arribat a facilitar alguna dada o sospites que puguis haver estat víctima, contacta immediatament amb el teu banc o proveïdor de serveis, canvia les credencials i revisa els moviments. A molts països hi ha bústies específiques de reporti de frau i organismes de consum o ciberseguretat als quals pots informar per ajudar a frenar aquestes campanyes.

Aplicacions d'identificació, llistes antispam i bloqueig de trucades

Més enllà de la prudència individual, és recomanable recolzar-se en la tecnologia d'identificació i bloqueig de trucades que ofereixen tant aplicacions especialitzades com les mateixes operadores de telefonia.

Eines com les apps de detecció d'spam telefònic permeten mostrar avisos quan entra una trucada associada a reports de frau, gràcies a les bases de dades alimentades per milions d'usuaris. Com més persones marquen un nombre com a maliciós, més precís es torna el sistema a l'hora d'advertir-ne d'altres.

Les operadores mòbils incorporen cada vegada més funcions integrades per marcar certs números com a “possible estafa” o bloquejar automàticament trucades que encaixen en patrons típics de correu brossa. Molts d'aquests serveis són gratuïts o estan inclosos en determinats plans.

També pots configurar el teu propi telèfon per filtrar trucades de números desconeguts o sospitosos, així com instal·lar aplicacions de bloqueig que et permetin crear llistes negres personalitzades i reportar números perillosos perquè altres usuaris se'n beneficiïn.

Encara que cap eina és infal·lible, la combinació de bloqueig tecnològic i atenció humana redueix dràsticament el nombre de trucades que arriben a la teva oïda i la probabilitat que una estafa aconsegueixi el seu objectiu.

Bones pràctiques per ser un blanc menys atractiu

A més de reaccionar bé quan ja t'estan trucant, convé prevenir que el teu número circuli alegrement per bases de dades dspam a internet i entre llistats que es compren i venen al mercat clandestí.

Una mesura bàsica és evitar publicar el teu número de telèfon en obert a xarxes socials, fòrums o pàgines web. Com menys visible sigui, menys probabilitats hi ha que acabi en mans dels que llancen campanyes massives de trucades.

També és recomanable inscriure's, quan existeixi, a registres oficials de “no trucades” o llistes anti-telemarketing, que obliguen les empreses legítimes a excloure't de les seves campanyes. Això no detindrà els criminals, però sí que reduirà el soroll de trucades comercials legals.

No responguis a trucades de números que no coneixes si no estàs esperant res específic i, si contestes i perceps alguna cosa rara, no donis ni confirmis dades personals. Els estafadors poden aprofitar fins i tot informació aparentment innocent (la teva data de naixement, entitat amb què treballes, horari en què sols ser a casa) per construir un perfil més complet.

Finalment, configura la teva bústia de veu amb contrasenya robusta si el vostre operador permet accés remot sense PIN des del vostre propi número, ja que els atacants poden falsificar el vostre número i escoltar missatges que continguin codis o dades sensibles.

La combinació de desconfiança saludable, tecnologia de bloqueig, verificació per canals oficials i educació contínua davant de noves tàctiques d'enginyeria social és el que realment marca la diferència per mantenir a ratlla el correu brossa telefònic i els fraus financers que l'acompanyen.