Fraude usando datos de un móvil robado para suplantar a la víctima y recibir su nómina

Fecha de publicación 14/05/2024
Fraude usando datos de un móvil robado para suplantar a la víctima y recibir su nómina

¿Qué ha ocurrido?

Se puso en contacto con nosotros, a través del teléfono gratuito y confidencial 017 del servicio Tu Ayuda de Ciberseguridad de INCIBE, un usuario al que le habían robado su teléfono móvil.

Le atendimos desde el público de empresas porque el incidente que había sufrido tras el robo tenía que ver con su puesto de trabajo, ya que, en el móvil sustraído, utilizaba dos tarjetas SIM, una con su número personal y otra perteneciente a la empresa donde trabaja. 

Nos contó que, tras ser consciente del hurto, lo primero que hizo fue bloquear las tarjetas bancarias y cambiar las contraseñas del banco, así como de otras cuentas personales. Además, seguidamente dio aviso a su empresa para que bloquearan la SIM corporativa, aunque su empresa no realizó esta acción.

Cuando llegó la fecha de recibir su nómina mensual, descubrió sorprendido que no le llegaba y tras hablar con el Departamento de Recursos Humanos de su empresa para comprobar qué estaba sucediendo, se dieron cuenta de que habían recibido un correo desde un remitente muy parecido a su correo original solicitando un cambio de cuenta para el ingreso de la nómina. 

Sin darse cuenta del fraude, la empresa había ingresado la nómina en esta nueva cuenta bancaria que no pertenecía a nuestro usuario.

En su teléfono sustraído existía información personal sobre él, como su correo electrónico corporativo, que creía que los ciberdelincuentes habrían obtenido a raíz del robo de su móvil.

Ante esta situación, decidió consultarnos, puesto que estaba intranquilo y le preocupaba la posibilidad de que los ciberdelincuentes pudieran suplantar su identidad otra vez o realizar otros fraudes, gracias a esos datos que podría haber obtenido de su teléfono o de su SIM laboral.

¿Qué pautas le hemos dado?

Desde la Línea de Ayuda de INCIBE le explicamos que estos fraudes, conocidos como spear-phishing, son una modalidad de ataques de tipo phishing dirigidos a un objetivo específico. En este tipo de ciberataques los ciberdelincuentes intentan, a través de un correo electrónico, obtener información de la víctima o un beneficio económico, como es el caso. 

En cuanto a las acciones a realizar para intentar minimizar el impacto, le explicamos que por su parte debía:

  • Cambiar las contraseñas de sus cuentas.
  • Establecer el segundo factor de autenticación en todos los servicios donde estuviese disponible.
  • Intentar localizar el teléfono a través de la geolocalización del terminal.
  • Intentar realizar un borrado remoto del dispositivo móvil. 
  • Recopilar todas las pruebas posibles.
  • Interponer una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado por robo y suplantación de identidad.
  • En el caso de existir datos personales o sensibles de clientes u otros compañeros en el móvil sustraído, comunicar los hechos a la AEPD.

De forma preventiva:

  • Estar atento a otros posibles ataques que pudiera sufrir, al estar en posesión de los ciberdelincuentes datos personales suyos.
  • Practicar egosurfing con los datos que estuviesen accesibles en el móvil. En caso de encontrar sus datos en algún sitio que no quiere que estén:
    • Ejercer el derecho al olvido en el buscador en la que la había localizado.
    • Contactar con la plataforma o sitio web donde había detectado la publicación, para solicitar su eliminación.
    • Ejercer los derechos ARSOPOL solicitando la retirada de la información en el sitio web
    • En caso necesario, denunciar ante la Agencia Española de Protección de Datos (AEPD).

Además, le recomendamos que desde su empresa se pusieran también en contacto con nosotros, puesto que también habían sido víctimas de un fraude, y como parte implicada, debían realizar ciertas pautas:

  • Recopilar todas las pruebas posibles.
  • Interponer una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado por estafa.
  • Con la copia de la denuncia, acudir al banco para reclamar el dinero.
  • En caso de negativa o de no obtener respuesta, reclamar ante el Banco de España.

De forma preventiva:

  • Ofuscar los correos corporativos en la página web o redes sociales.
  • Al recibir correos electrónicos sospechosos o no esperados, desconfiar y corroborar con el remitente que el correo es real.

Por último le recordamos que ante cualquier duda que le pudiera surgir, podía volver a contactar con el servicio de Tu Ayuda en Ciberseguridad de INCIBE todos los días del año de 08:00 a 23:00.

Tu Ayuda en Ciberseguridad

Etiquetas