Siete llamadas y una estafa: así funciona el teatro de ofertas falsas para robar tus datos en nombre de la OCU

Suena el teléfono. Al otro lado, llegan malas noticias: la tarifa que está utilizando este número de teléfono ha caducado y la compañía de telecomunicaciones va a subir el contrato de 65 a 92 euros. El cliente tiene tres opciones: pagar el aumento, dar de baja el número o acogerse a un nuevo proceso de “liberalización” de la línea tutelado por la Organización de Consumidores y Usuarios (OCU). Si escoge la tercera, empieza la función.

La ciberdelincuencia se profesionaliza. Las estafas se parecen cada vez más a coreografías de alta precisión. Una campaña activa en España detectada por elDiario.es está empleando un esquema de múltiples pasos, con varias llamadas telefónicas coordinadas desde un call center y contactos por WhatsApp para ganarse la confianza de la víctima. Todo para robar sus datos personales y, presuntamente, venderlos a otra compañía para lograr una comisión por llevarle nuevos clientes.

El modus operandi es una evolución del clásico “timo de la doble llamada”. Este se basa en un primer contacto realizado por los ciberdelincuentes que sirve para anunciar una subida de precio o cambios negativos en el contrato, a la que sigue otra llamada ofreciendo la salvación. En esta nueva variante, sin embargo, el engaño muta hacia lo que las propias víctimas describen como un “mercado persa”. Apenas cuelga el falso operador de la compañía original, que informa de la citada subida en la tarifa, el teléfono del objetivo se convierte en un hervidero.

Diferentes números, tanto fijos que simulan llegar desde diferentes puntos de España como móviles particulares, llaman sucesivamente. Se hacen pasar por la supuesta terna de compañías “habilitadas” (en este caso Movistar, Yoigo y Orange) que compiten en tiempo real por ofrecer la mejor tarifa al cliente.

Todo presuntamente amparado por la OCU, cuya mención no es casual. Enrique García, portavoz de la entidad, confirma a este medio que el uso de su nombre busca generar un “sesgo de autoridad” que desactive las defensas del consumidor. Pero existe un trasfondo regulatorio más perverso: al aceptar entrar en ese supuesto proceso de “liberalización”, la víctima está, sin saberlo, dando su consentimiento verbal para recibir llamadas comerciales que, de otro modo, estarían prohibidas por la Ley General de Telecomunicaciones, avisa García.

Hora de decidir

La estafa se cierra con un hackeo psicológico diseñado para anular el juicio crítico de la víctima: la sensación de urgencia. Tras la cadena de llamadas, los estafadores reintroducen al actor inicial (la falsa operadora de origen, un rol en el que en este caso suplantan a Vodafone) para lanzar el ultimátum. “Tenía que decidir antes de las 20:50 horas o se prorrogaba mi contrato, pero a 99 euros”, relata una afectada a elDiario.es.

Esta presión artificial está diseñada para que la víctima dé el paso: termina enviando su DNI, recibos bancarios y facturas a la supuesta operadora que le había hecho la oferta más convincente, que previamente había contactado con ella a través de WhatsApp. Datos que funcionan como las llaves de su identidad digital.

En este caso, la estafa no termina en desfalco. Fue la propia víctima la que se dio cuenta del engaño cuando le estaba contando el proceso a sus compañeros de trabajo. Al resumir los hechos en voz alta, se percató de que nada encajaba. Ese proceso, ya con la cabeza fría y alejada la sensación de urgencia inoculada por los ciberdelincuentes, es el que activa las defensas.

“No es que tu cerebro te traicione, es que está programado para funcionar así y ser capaz de tomar decisiones rápidas de manera intuitiva”, explicaba en un reportaje sobre este proceso Pilar Bringas, experta certificada en mecanismos de influencia y persuasión ética. “Es el resultado de miles de años de evolución en entornos hostiles. Pero tenemos que ser conscientes de que se puede utilizar contra nosotros”.

Robo de clientes

La afectada borró los datos que suministró a los ciberdelincuentes, denunció los hechos ante la Policía y avisó a su banco de lo ocurrido. Actuó antes de que pudieran terminar su plan, por lo que no es posible conocer si este consistía en intentar aprovechar sus datos bancarios para llevar a cabo un robo en su cuenta, o si pretendían vendérselos a una operadora real para llevarse una comisión.

Tanto la OCU como Vodafone avisan de que se trata de un timo habitual. “Vodafone no avisa de cambios de tarifas por teléfono, ni las tarifas caducan. Este tipo de fraudes tienen por objeto conseguir que el usuario se cambie de compañía sin su consentimiento. Vodafone notifica cualquier actualización de precios o cambio en los servicios en la factura o por SMS y en caso de duda recomienda contactar por los canales oficiales”, explica un portavoz de la operadora, que ya detectó una artimaña como esta, aunque menos compleja, en julio.

La OCU denomina a las organizaciones que se dedican a lanzar este tipo de estafas como “empresas champiñón”. Son “intermediarios que aparecen y desaparecen”, a menudo operando desde países de Latinoamérica para dificultar la acción policial, explica la organización. Cobran comisiones por captar clientes o buscan directamente el robo de datos para cometer fraudes financieros posteriores. Además de con las operadoras de telefonía, también operan haciéndose pasar por compañías energéticas.

Los call center del crimen

Hace un año, la Policía Nacional desmanteló una organización que operaba desde Perú a través de tres call centers dedicados a lanzar estafas en España. Fue una de las mayores operaciones hasta la fecha contra estas estructuras. Hubo 35 detenciones en Madrid, Vigo, Barcelona, Mallorca y Salamanca, y otras 48 en el país andino. “El caso es que yo oía a otras personas hablando al fondo”, confirma la afectada por esta nueva campaña al ser informada de esta situación, “y en todas las llamadas, los operadores tenían acento latinoamericano”.

Son instalaciones que funcionan como las de una empresa tradicional, pero dedicadas al crimen. “En Perú se encontraba el líder de la organización, que tenía bajo su mando a tres personas que controlaban cada uno de los centros de llamadas”, informó entonces la Policía. “Estos contaban con carteles de frases motivacionales para animar a los empleados, llegando a celebrar las primeras estafas de los trabajadores de reciente incorporación”.

Uno de los detenidos en la operación

La organización llegó a realizar miles de llamadas diarias desde los tres call centers, donde trabajaron hasta 50 personas simultáneamente. Como en la estafa ahora activa, utilizaban diferentes técnicas para camuflar el origen real de los contactos. Desde la OCU detallan que han interpuesto varias denuncias para evitar el uso de su nombre en estos fraudes.

Algunos afectados también han presentado reclamaciones ante la Agencia Española de Protección de Datos (AEPD). Tanto por el uso irregular de su información como por haber sido contactados estando inscritos en la Lista Robinson, en la que se expresa la oposición a recibir llamadas comerciales de empresas con las que el usuario no tiene relación. Una inscripción que estas organizaciones no tienen en cuenta.

En la mayoría de ocasiones, la Agencia se ve obligada a archivar estas reclamaciones al no poder identificar un culpable. “Apunta Telefónica la posibilidad de que terceras empresas estén realizando prácticas fraudulentas consistentes en suplantar su identidad”, explica el organismo en una resolución reciente en la que los estafadores se hacían pasar por esta teleco.

Un código para acabar con el ‘spam’

Para intentar poner coto a este tipo de prácticas abusivas, el Congreso de los Diputados ha aprobado recientemente la Ley de Servicios de Atención a la Clientela. La norma incluye una medida directa contra el bombardeo telefónico: obligará a las empresas a identificar sus llamadas comerciales con un código numérico específico (un prefijo), permitiendo a las operadoras bloquear aquellas que no lo utilicen. Además, la ley declara nulos los contratos que se cierren en llamadas no consentidas, atacando directamente la rentabilidad de las “empresas champiñón” que basan su negocio en presionar al usuario para obtener un “sí” rápido y viciado.

Desde el Instituto Nacional de Ciberseguridad insisten en que la mejor defensa ante estas maniobras es desconfiar de cualquier llamada inesperada que invoque urgencias o subidas inminentes. El organismo recuerda que no deben facilitarse datos personales ni bancarios por teléfono o mensajería, ni aceptar grabaciones de voz que puedan utilizarse para tramitar contratos no autorizados. Ante la mínima sospecha, recomiendan colgar, contactar directamente con la compañía y, si ya se han entregado documentos o información sensible, avisar al banco, recopilar pruebas y solicitar asesoramiento inmediato a través de su línea 017, un teléfono de ayuda gratuito y confidencial.