Ángel buscaba en internet una licencia para renovar Windows que no le costara mucho. Hacía poco que le habían reparado el ordenador y le había caducado la que le habían puesto en la tienda. Miró en Amazon y en otros portales, buscaba algo barato. Al día siguiente le llamaron por teléfono. Era una tal Martina Wilson, con un número de empleada de Windows, que Ángel anotó debidamente. Dos horas después, Ángel había dado al teléfono y, que él recuerde, las claves de sus tres bancos, fotos de su DNI, acceso remoto a su ordenador y una foto de su rostro hecha con Skype.
Mientras Ángel cuenta su historia a EL PAÍS sigue sin explicarse cómo pudo acceder a dar toda aquella información sin rechistar. “Me he preguntado muchas veces cómo fue posible, cómo que yo fuera tan ingenuo, que no me diera cuenta mucho antes de la situación”, dice ahora. Ángel aceptó compartir su historia, más común de lo que parece, para ayudar a otras personas. Pero pidió repetidamente a este periódico que ocultáramos su identidad, en buena parte por la vergüenza que le supone haber picado con tanta facilidad. “Quizá es que soy de otra generación”, dice. EL PAÍS no revela, por tanto, su oficio antes de jubilarse ni su población de residencia, en la Comunidad de Madrid.
“Es que yo no entiendo todavía cómo cayó en esa trampa porque a mí me traía frita con que no me metiera en ninguna página”, dice la esposa de Ángel, que asiste a la conversación. “Yo siempre he aleccionado a todo el mundo sobre ese tema”, insiste Ángel. Su falta de prevención ese día puede estar ligada a unas pastillas que tomaba por un problema en el corazón que había tenido meses antes, pero nada está claro. “Son unos artistas”, dice Ángel.
Ángel no recuerda con precisión cómo fue todo el proceso. Por ejemplo, si la llamada fue al fijo de casa o a su móvil. Pero tiene claros algunos hechos básicos. Recuerda que el programa que le hicieron iniciar tenía un logo circular. Es probable que fuera TeamViewer, un software de control remoto de ordenadores. “Empezó a mostrarme una cortina de archivos bajando por la pantalla oscura y la chica me repetía que tenía una infinidad de archivos infectados”, dice. Ahí ya estaba en sus manos.
La gran pregunta
La gran pregunta es cómo llamaron precisamente a Ángel en los días en que precisamente buscaba una licencia de Windows. La hipótesis principal es que Ángel rellenara alguna página web sospechosa con datos propios, aunque él no recuerde nada de eso: “Es bastante probable que, durante la búsqueda de licencias (seguramente de dudosa procedencia), diera con la página tras la que se encontraba el atacante, y que pudo obtener los datos que hubiese cumplimentado la víctima”, dice Francisco Fernández, técnico de ciberseguridad en servicios reactivos del Instituto de Ciberseguridad (INCIBE). “Podría incluso no ser necesario que introdujera su número de teléfono: este dato podría localizarse usando otros proporcionados por el usuario, obteniendo como resultados perfiles en redes sociales, foros e incluso leaks”, añade. Para Fernández hay una segunda opción “más remota”, que es el acceso a través de la infección del ordenador de la víctima con un troyano. Lo que no es viable es detectar la actividad de Ángel de manera remota solo por su navegación.
La llamada y todo el proceso se alargaron más de una hora. “No te dejaba pensar, cuando ponías alguna objeción era que no por seguridad. Siempre era la palabra seguridad en todo. Todo su empeño es que no apagara el ordenador y no colgara el teléfono por seguridad”, dice.
La rapidez y la precisión de la presunta agente de Windows es algo que Ángel recuerda. Desde INCIBE, Fernández avisa que hay grupos muy bien organizados: “Parecen funcionar como un call center, en cuyo caso los operadores, por lo general, conocen un abanico de estafas relativamente pequeño, pero en profundidad y con un guion bien planificado”, dice.
Por suerte para Ángel ese día tenía que ir al médico. Conforme se acercaba la hora, se agitaba más. Por algún motivo, acabó reaccionando, aunque el daño ya estaba hecho. “Antes de irme ya me di cuenta, porque eso de tardar tanto y de tanta exigencia, no era normal, igual que la cantidad de datos que me había pedido y le había dado. Tuve un momento de lucidez para darme cuenta de que aquello era una gran estafa”, dice.
‘¿Qué le haces a mi marido?’
Se levantó para irse y apagó el ordenador. La chica volvió a llamar. Una cogió el teléfono la esposa de Ángel: “¿Que le estás haciéndole a mi marido, le estás estafando?”, le gritó antes de colgar.
Los delincuentes tenían las claves de los bancos de Ángel, pero no las usaron inmediatamente. La mujer de Ángel llamó al principal en seguida y las cambiaron. Al volver Ángel del médico modificó las otras dos. No les habían robado nada con transferencias.
Ángel fue a la policía a denunciarlo. Le dijeron que no había habido ningún delito y que iba a tocar esperar. Al cabo de unas semanas empezaron las llamadas. Nunca más de 4 o 5 al día, siempre de día y números distintos. Ángel seguía anotando todos los números. Algunos los contrastaba online y eran de una empresa de recobro.
Ángel no tenía ninguna deuda. ¿Habían usado su nombre para hacer pagos online o pedir créditos y ahora le llegaban a él las deudas? Había visto un artículo en EL PAÍS donde se explicaba un caso así de suplantación de identidad. Era y es su principal preocupación: que con su nombre hayan hecho algo de lo que él deba responder en un juzgado.
Como socio de la OCU, le recomendaron que mirara si aparecía en las principales listas de morosos. Hizo las peticiones de consulta una a una y de momento no. Pero aún es pronto.
La lista de opciones de crímenes posibles que dan desde el Incibe incluye otros ejemplos: “Desde contactar con conocidos o amigos pidiendo dinero y proporcionando un contexto elaborado a partir de la información recopilada, hasta contratar suministros, seguros, créditos, falsificar documentación”, dice Fernández.
Una de las medidas a tomar es cambiar números de cuenta y tarjetas. Ángel olvidó una, de donde emergió el peor susto de este caso, al menos de momento. Fue el 28 de diciembre. En el móvil de su hija llegó de repente la petición de pago de 950 euros en Ikea. La hija rechazó inmediatamente el pago y al poco tiempo canceló la tarjeta. En esa cuenta su padre, Ángel, estaba de autorizado.
Puedes seguir a EL PAÍS TECNOLOGÍA en Facebook y Twitter o apuntarte aquí para recibir nuestra newsletter semanal.