“Soy ingeniero y también me han timado en internet. Nadie está a salvo”

Era el último día de julio y Javier Sedano, de Burgos, tenía una resistencia eléctrica de un termo de una segunda residencia que quería vender. Subió una foto a la página de compraventa MilAnuncios y pidió 80 euros. Tuvo suerte en apariencia porque en apenas 10 minutos ya le estaban escribiendo por WhatsApp. “Buenos [sic], esto es tuyo? Vendes?”, le dijeron, junto al enlace de su anuncio.

La compradora, una tal Elizabeth Montés, no preguntó nada más. Escribía desde un teléfono ucraniano, no quería saber detalles ni pidió descuentos. Pero tenía una exigencia: quería pagar con MilAnuncios Exprés. En la página de la empresa se anuncia como un servicio que permite que el vendedor no reciba el dinero “hasta que te llegue el producto y compruebes que todo es correcto”. Sedano comprobó que en la página real de MilAnuncios existía ese servicio, sin leer los detalles, y esperó el enlace que le iba a mandar la compradora.

Solo había un problema: el enlace suplantaba la identidad de la página real. La trampa pedía a Sedano que rellenara los datos con su tarjeta para el cobro. El sistema no funciona así, pero en ese momento es secundario. Sedano es ingeniero industrial, adjunto al director del Instituto Tecnológico de Castilla y León y está más familiarizado con estos timos. O eso creía. Su caso muestra lo difícil que es advertir una trampa sofisticada con la que le robaron cerca de 1.000 euros. Más si la trampa llega en el momento en que te conviene vender una vieja resistencia y olvidarte: “Este delito es el tocomocho 4.0. Pones un producto a la venta y te contactan porque dicen estar interesados. Solicitas transferencia o bizum y te dicen que hay otros métodos seguros. Usan un teléfono extranjero, pero piensas que es alguien de fuera que vive allí”, explica Sedano.

“Las personas debemos ser suficientemente honestas y ayudar al resto“

Por si fuera poco, Sedano estaba en ese momento pendiente de varias cosas, una de las causas habituales por las que alguien se despista y cae: “Estaba haciendo varias cosas a la vez y me hizo bajar la guardia y pensar que la tecnología estaba fallando y que nadie me iba a estafar por una cantidad tan pequeña, nadie está a salvo”, añade.

Sedano podría haberse callado y pasar su pena en silencio, pero ha preferido contarlo para advertir a ciudadanos, bancos y organismos de lo fácil que es timar en internet. “Las personas debemos ser suficientemente honestas y ayudar al resto. Cuando sabes de una operación fraudulenta, lo sencillo es callarse, pero se debe proteger a los demás y que haya más recursos para combatir ciberdelitos que suelen quedar impunes”, dice.

De la tarjeta a una plataforma cripto

Cuando Sedano recibió el link, pinchó en un botón para “recibir el dinero”. Metió su número de tarjeta y empezó a recibir mensajes de SMS para confirmar. Parecía sospechoso y, sin embargo, no dudó: “Pensaba que como no estoy pagando, sino que me están pagando a mí y no meto mi pin, no voy a hacer ningún pago”. Pero había algo que Sedano no preveía: en pagos inferiores a 200 euros no hacía falta ningún pin.

Con los datos de su tarjeta y los códigos que había en los SMS y que él introducía, los estafadores ejecutaban pagos con su tarjeta: “Con el SMS que yo introduzco, ellos emiten otro SMS donde me dicen que el anterior no es correcto y automáticamente meten mis datos de tarjeta y el pin en una plataforma para comprar cripto llamada White Bit. Ahí me cobran 199 euros”, y así varias veces. White Bit es una compañía ucraniana que permite compraventa de cripto.

Pero la trama no terminaba ahí. Minutos después, cuando Sedano aún no era consciente del timo, surgió otro comprador. Este escribía desde un teléfono de Costa de Marfil. Mandó una foto de la resistencia y escribió: “Estoy interesado en su artículo, ¿cuál es precio?” Sedano, ya mosqueado, decidió subirlo a 100 euros. Al comprador, que dijo llamarse “Riccardo Fernandez Gonzalez” le importaba poco. Lo quería igual: “Estoy de acuerdo con la cantidad solicitada. Me gustaría hacer la compra a través de la plataforma MilAnuncios porque es más segura para los dos Permítanme explicar el proceso”, respondió, con faltas de expresión.

A partir de ahí, sin cambiar de número, se hizo pasar por un empleado de MilAnuncios Exprés. Al cambiar el tono, Sedano se mostró sorprendido: “Pero esto es una película”, dijo. El presunto Riccardo siguió como si nada, con advertencias absurdas: “La conversación es grabada por la policía para mayor seguridad. Por favor, tenga en cuenta que tendrá que permanecer con nosotros en línea para finalizar la transacción lo antes posible, sólo tardará 30 minutos, ¿de acuerdo?”

Conforme la conversación crecía en comentarios extraños y Sedano sospechaba, los defraudadores no cedían. En un momento en que Sedano está a punto de cancelar la conversación siempre por WhatsApp, el defraudador que había dicho llamarse Riccardo dice que es “una persona de confianza” y manda dos fotos de un carnet de identidad español a nombre de Inés G. R. con validez hasta 2030. EL PAÍS ha intentado ponerse en contacto con ella, pero no lo ha conseguido.

Pues yo también llamo a la Policía

Entonces Sedano amenaza con llevarlo a las autoridades y la respuesta del estafador es: “Vale yo también voy a la policía” y niega que sea una estafa.

Los delincuentes intentan atacar por todas las vías. Nunca sobrestiman el límite de paciencia o credulidad de una víctima. Durante estas dos conversaciones con presuntos clientes, a Sedano le escribieron desde un tercer número de teléfono estadounidense. Esta vez se hacían pasar directamente por un empleado de MilAnuncios Exprés. La compañía propietaria de MilAnuncios, Adevinta, que también posee InfoJobs, FotoCasa y otras, ha mandado un comunicado una vez publicado este artículo, tras varios intentos de este periódico.

La empresa pide a sus usuarios que no abandonen la plataforma mediante enlaces ni den información personal, como el teléfono móvil: “Se recomienda nunca seguir enlaces externos enviados por comprador o vendedor, ni facilitar información personal que no sea absolutamente necesaria. Es importante desconfiar de todos aquellos mensajes que parezcan automáticos, con faltas de ortografía o incoherencias en la redacción”, dice la compañía.

El presunto empleado que escribió a Sedano le mandó un número de transacción larguísimo y le dijo que la conversación “iba a ser grabada por la policía internacional y la Guardia Civil”, que es una información que repiten a lo largo de la conversación. Por suerte, Sedano se negó una y otra vez a dar más información por WhatsApp. El nuevo link que mandaron a Sedano incluía un “5″ al final del nombre “serviciomilanunciosexpress”, además del servicio en el que se había contratado el dominio: “godaddysites”.

Durante la larga conversación, cuando Sedano se niega a dar más datos, le piden esta rareza: “Por favor, calcule el código recibido por SMS + la clave y envíenos el resultado para transferir sus fondos inmediatamente”, y le facilitan una dirección de correo electrónico de gmail para mandarlo. Tras nuevas negativas, el atacante manda la foto de una presunta tarjeta identificativa de MilAnuncios cogida en una mano que parece retocada y donde el nombre de pila en español sale en lugar del segundo apellido, algo así con otros nombres: “Fernández Daniel, Cuéllar”. Y añaden este mensaje mal escrito en WhatsApp: “Tenga en cuenta que somos una plataforma muy segura y confiable y ahora siga el último paso. Reanimaremos bien, pero sepa que estamos muy ocupados actualmente vamos a más de 10000 clientes actualmente, por lo que tenemos que completar la transacción aquí directamente y rápidamente”.

Después de todo este acoso desde tres números distintos, a la mañana siguiente la presunta compradora inicial, Elizabeth Montés, tuvo el valor de preguntar a Sedano por qué no había cobrado el dinero aún, que se apresurara.

Sedano cree que todo o parte de este proceso está automatizado: “No lo hacen humanos. Creo sinceramente que el único humano en todo esto era la tercera conversación. Hay mensajes que son repetitivos, automáticos. Es ingeniería informática del robo. Está muy bien pensado”, dice. Los delincuentes detectan nuevos productos a la venta en estas plataformas e intentan lograr los números de tarjeta con estrategias que los servicios reales no dan. El hijo de Sedano lo probó en Wallapop y le ocurrió algo parecido.

Sedano tiene varias moralejas de este episodio: “No contestar móviles no nacionales, no entrar en enlaces para recibir cobros, nunca introducir SMS en página de cobros”. Además, cree que los bancos podrían hacer más: “La mejor recomendación tecnológica es para los bancos: deberían introducirse motores centinela para impedir transacciones en segundos de manera continuada. Recibí como 10 SMS en segundos. Es porque alguien quería comprar con esa tarjeta diez cosas a la vez. Si mi banco ve que se hacen transacciones a esa velocidad, lo que debe hacer es bloquear la siguiente. Se podrían proteger este tipo de fraudes de más de una operación”, explica.

Si tienes más información sobre casos similares, puedes escribir a jordipc@elpais.es.

Puedes seguir a EL PAÍS TECNOLOGÍA en Facebook y Twitter o apuntarte aquí para recibir nuestra newsletter semanal.