El fraude telefónico, entendido como cualquier tipo de estafa que se lleva a cabo utilizando un teléfono o móvil como canal de comunicación, no es nada nuevo. Hace ya años que se detectan estafas de delincuentes que llaman a una persona y se hacen pasar por una empresa o entidad para intentar que la persona realice un pago.
Algunos de los ejemplos más conocidos son la empresa que comunica que ha ganado un premio (y solicitan un depósito previo para poder cobrarlo), abogados o representantes de la ley que amenazan con sanciones más graves si no se paga de inmediato una supuesta multa, o empresas de cobro fraudulentas que nos alertan de falsas facturas impagadas, o las ya famosas llamadas ilegítimas suplantando la identidad de un empleado de tu entidad bancaria.
El auge de los smartphones y el increíble avance de nuevas tecnologías, con su máximo exponente en la inteligencia artificial, han incrementado la preocupación por las estafas telefónicas, ya que los estafadores tienen a su alcance tácticas cada vez más sofisticadas para engañar a las personas y robar información personal o financiera.
¿Cuáles son los tipos de estafas telefónicas que se están produciéndose?
Y, ¿qué podemos hacer para combatirlas?
Fraude de suplantación de identidad (spoofing)
Este tipo de fraude implica la falsificación del número de teléfono del remitente en una llamada entrante, lo que hace que parezca que proviene de una entidad legítima, como un banco o una empresa de servicios. Los estafadores suelen utilizar técnicas que se denominan "de spoofing" para engañar a las víctimas y solicitar información confidencial, como números de tarjeta de crédito o contraseñas.
Timo de la doble llamada o vishing
El término "vishing" proviene de la combinación de las palabras "voz" (voice) y "phishing" (pesca), que es una forma de fraude online que implica el uso de correos electrónicos fraudulentos. Los estafadores se hacen pasar por representantes de empresas legítimas y utilizan tácticas persuasivas para convencer a las personas de que revelen información personal o financiera.
Por ejemplo, pueden afirmar que hay un problema con la cuenta bancaria del individuo y solicitar detalles de inicio de sesión para "resolver" el problema. Las llamadas de vishing suelen ser pregrabadas o realizadas por operadores humanos que intentan engañar a las víctimas haciéndoles creer que están hablando con una fuente legítima.
Otras variantes de estas técnicas es el fraude de inversiones: los estafadores llaman ofreciendo oportunidades de inversión aparentemente lucrativas; las estafas de premios y loterías, donde llaman a personas aleatorias para informarles que han ganado un premio, y para reclamarlo el solicitan el pago de un importe por adelantado o proporcionen información personal sensible; o el fraude de soporte técnico, haciéndose pasar por representantes del soporte técnico de grandes empresas de tecnología y afirman que hay un problema con el dispositivo de la víctima. Solicitan acceso remoto al dispositivo o intentan vender servicios de soporte técnico innecesarios a precios exorbitantes.
El vishing o el spoofing no se dan solo mediante llamada directa, sino que pueden darse mediante SMS, WhatsApp u otras apps instaladas en el dispositivo.
Es el caso de la reciente "estafa de los seis dígitos" de WhatsApp: se recibe un mensaje de una persona que se hace pasar por el equipo de soporte de WhatsApp y se pide el número de seis dígitos que se ha enviado anteriormente por SMS. Suelen argumentar que la cuenta ha sido robada y que proporcionar este código de verificación es la única forma de evitar su eliminación. Si el usuario cae en la trampa, el ciberdelincuente puede acceder a su cuenta de WhatsApp, enviar mensajes, cambiar la imagen de perfil o, lo más delicado, robar información personal.
En otro nivel están las estafas por voz generadas con inteligencia artificial o deepfakes de voz: es posible generar interpretaciones vocales que imitan perfectamente la voz de una persona real, como por ejemplo, en los casos ya conocidos en los que una voz telefónica se hace pasar por el CEO de la empresa y solicita al empleado que se realice una importante transferencia de dinero. Evidentemente, ni se trata del CEO ni se vuelve a saber nada de la ubicación del dinero. 
¿Sobre quién recae la responsabilidad en un fraude telefónico?
Uno de los principales temas de debate ante este tipo de estafas es sobre quién recae la responsabilidad, es decir, ¿quién asume el coste del fraude si el usuario proporciona la información o autoriza la operación, aunque sea bajo engaño?
Según Economist & Jurist, la normativa obliga a los bancos a reembolsar todas las operaciones no autorizadas que se hayan producido en su cuenta, pero siempre que no haya habido negligencia por parte del cliente. Sin embargo, de forma general, el banco argumenta que, al ser el propio usuario el que proporciona las claves y contraseñas al estafador, no ha tenido la debida prudencia para proteger sus datos.
Otros juristas añaden que, en realidad, no se puede considerar que el usuario autorizase la operación, ya que su consentimiento fue viciado (al haberse producido un engaño).
Se trata de un asunto complejo que precisamente se quiere abordar en el pacto entre banca y operadoras de telefonía, no solo para frenar la ola de llamadas fraudulentas, sino para proteger mejor al usuario. El objetivo del pacto es que todos los implicados en el fraude asuman una porción de la responsabilidad y adopten medidas para evitar incidentes.
¿Cómo puede protegerse el usuario contra el fraude telefónico?
Aunque los fraudes actuales más sofisticados son extremadamente difíciles de detectar por cualquier persona, hay algunos consejos que pueden ayudar a reducir la exposición, como por ejemplo:
No compartir nunca información personal o financiera por teléfono; las entidades financieras o entidades públicas no piden nunca este tipo de información por teléfono.
Seamos escépticos ante las llamadas no solicitadas, especialmente si solicitan información confidencial o pagos por adelantado.
Verificar la identidad de cualquier persona o empresa que solicite información personal o financiera antes de proporcionarla.
Utilizar servicios de identificación de llamadas y bloqueo de números para evitar llamadas no deseadas.
Estar atentos a los signos de estafas comunes, como presión para tomar decisiones rápidas o solicitudes de pagos por adelantado, o sencillamente sospechar si el aparente motivo no parece muy posible.
Colgar el teléfono y llamar uno mismo a esa supuesta persona o empresa, verificando que efectivamente es quien está realizando la llamada.
¿Qué pueden hacer las empresas para combatir el fraude telefónico?
Cuando es el usuario legítimo quién proporciona los accesos o autoriza el pago, aunque sea debido a un engaño previo, es difícil detectar el problema y detener la operación. La mejor opción que tienen las entidades financieras y las empresas en general es implementar sistemas avanzados de verificación de la identidad para atajar el problema antes de que se produzca, realizando comprobaciones adicionales en el caso de transacciones sensibles o que se detecten como inusuales.
Es nuestr obligación proteger a nuestros clientes y a sus usuarios. Por ello, impulsada por IA propia, la solución de Mitek para una sólida verificación de la identidad ofrece a las empresas las herramientas necesarias para evitar el fraude, autenticando al usuario biométricamente, de manera que no sea necesario, ni posible, que el cliente facilite contraseñas o datos de acceso al delincuente creyendo de que se trata de una llamada legítima de su entidad financiera.