La línea 017 del servicio ‘Tu ayuda en ciberseguridad’ del Instituto Nacional de Ciberseguridad prestó ayuda a un usuario al que, tras haberle robado teléfono móvil, utilizaron los datos que se encontraban en el aparato para suplantar su identidad y cambiar el número de cuenta bancaria en el que se ingresaba su nómina.
El usuario explicó que en el teléfono móvil que le robaron utilizaban dos tarjetas SIM, una con su número personal y otra perteneciente a la empresa donde trabaja. Por ello, tras ser consciente del hurto, bloqueó las tarjetas bancarias y cambió las contraseñas del banco, así como de otras cuentas personales, y dio aviso a su empresa para que bloquearan la SIM corporativa, aunque no lo hicieron.
Cuando llegó la fecha de recibir su nómina mensual, el usuario se dio cuenta de que no le llegaba y, tras hablar con el Departamento de Recursos Humanos para comprobar qué pasaba, se dieron cuenta de que habían recibido un correo electrónico desde un remitente muy parecido al suyo original solicitando un cambio de cuenta para el ingreso de la nómina. Sin darse cuenta del fraude, la empresa había ingresado la nómina en esta nueva cuenta bancaria que no pertenecía al trabajador.
Desde la Línea de Ayuda de Incibe le explicaron que estos fraudes, conocidos como spear-phishing, son una modalidad de ataques de tipo phishing dirigidos a un objetivo específico en los que los ciberdelincuentes intentan, a través de un correo electrónico, obtener información de la víctima o un beneficio económico, como fue el caso.
En cuanto a las acciones para intentar minimizar el impacto, le instaron a cambiar las contraseñas de sus cuentas, establecer un segundo factor de autenticación, intentar localizar el teléfono a través de la geolocalización del terminal, hacer un borrado remoto del dispositivo, recopilar todas las pruebas posibles e interponer una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado por robo y suplantación de identidad.
Además, de forma preventiva, le aconsejaron practicar egosurfing con los datos que estuviesen accesibles en el móvil y, en caso de encontrar sus datos en algún sitio que no quiere que estén, ejercer el derecho al olvido en el buscador en el que los había localizado, contactar con la plataforma o sitio web donde había detectado la publicación, para solicitar su eliminación, ejercer los derechos Arsopol y, en caso necesario, denunciar ante la Agencia Española de Protección de Datos.
Además, le recomendaron que desde su empresa se pusieran también en contacto con Incibe, ya que también habían sido víctimas de un fraude, y como parte implicada, debían recopilar todas las pruebas, interponer una denunciar y acudir al banco para reclamar el dinero.