La experiencia de Pasquale: Un mensaje de texto en el calor – Sesión 1

Massimiliano Brolli : 18 octubre 2025 09:24

La ciberdelincuencia se cierne cada vez más sobre el desafortunado mundo digital. Los perfiles falsos y las estafas proliferan en las redes sociales, que, incluso con la mejor inteligencia artificial, tienen dificultades para controlar un fenómeno que genera estafas de todo tipo. Esta columna busca concienciar a todos sobre el creciente número de estafas en línea, principalmente provenientes del correo electrónico y las redes sociales. Esto se hará a través de historias en primera persona narradas por las desafortunadas víctimas, ofreciendo una lección final.

Autor : Massimiliano Brolli

La experiencia de Pasquale

Hola chicos, mi nombre es Pasquale, tengo 55 años y desde hace mucho tiempo tengo una cuenta bancaria en línea y estoy contento con ella.

Siempre he utilizado estos servicios de banca en línea, que me permiten aprovechar al máximo mis tarjetas de crédito (soy un gran fan de la tarjeta de crédito recargable, porque me hace sentir más seguro) y la posibilidad de hacer transferencias bancarias en línea, lo que me permite apreciar la velocidad de Internet desde la comodidad de mi sofá.

Digamos que los códigos de confirmación se han vuelto demasiado comunes últimamente, pero también es cierto que, dadas las noticias que escuchamos sobre ciberdelitos y hackers, son soluciones que nos permiten mantener nuestras billeteras seguras. Sé un par de cosas sobre esto.

Ahora les contaré lo que me pasó hace unos seis meses. Era un sábado lluvioso de abril y hacía frío.

No salí ese día porque no tenía sentido dado lo sombrío del día.

Estaba en la computadora leyendo algunos artículos en internet, saltando de una red social a otra, cuando en un momento determinado recibí un mensaje de texto de mi banco que me decía:

Estimado cliente, hemos sufrido un ciberataque importante. Para que podamos restaurar su cuenta lo antes posible, inicie sesión en esta dirección y confirme su cuenta. De lo contrario, deberá acudir a una sucursal para que podamos restaurarla.

Al final había un enlace que apuntaba a un sitio web.

Al leer este mensaje, corrí a la página web del banco, donde me pidieron que confirmara mi nombre de usuario y contraseña. Ya sabía que me pedirían documentos que tardaría una semana en obtener.

Luego accedí al portal donde estaba presente la página web del banco y en el centro estaba un agradecimiento por haber certificado las credenciales de acceso.

Me sentí aliviado mientras me preguntaba qué daño podrían haber hecho los piratas informáticos a las computadoras de mi banco, sin darme cuenta de que el objetivo del fraude no era el banco, sino yo.

Vuelvo a conectarme, voy a Facebook y casi inmediatamente recibo una llamada telefónica de un número que no tenía en mi libreta de direcciones.

Fue una chica quien me lo dijo en italiano.

Estimado cliente, somos el banco […] y le agradecemos que haya accedido a nuestro sitio y haya verificado sus credenciales de inicio de sesión. Lamentablemente, estamos haciendo todo lo posible para minimizar los daños. Sabemos que ingresó sus credenciales en nuestro sitio, pero como algunos sistemas aún están en manos de ciberdelincuentes, queríamos saber si recibió un código de desbloqueo del banco.

Yo respondí:

«Espera mientras reviso»

De hecho, había llegado otro mensaje de texto, pero aún no había comprobado quién era. Le respondí a la chica diciendo:

Sí, llegó. Es el código de desbloqueo estándar que recibo para acceder a mi cuenta.

Ella me dijo

«Sí exactamente»

Me pidió amablemente que se lo diera para evitar que hackers accedieran a los fondos de mi cuenta, ya que era un código de desbloqueo OTP. Se lo di a la chica, quien me dio las gracias y colgó el teléfono.

Después de unos dos o tres minutos, llegó un tercer SMS confirmando la transacción exitosa de 5.000 euros a una cuenta desconocida.

Poco después, me di cuenta de que unos hackers habían robado 5.000 dólares de mi cuenta y que había sido víctima de un ataque de «ingeniería social». Nunca había oído el término, pero por lo que entendí, es un método para atacar a personas mediante técnicas psicológicas y sociales. Disculpen si me estoy divagando, pero no soy un experto en este campo.

Esa noche me sentí muy mal porque, sí, lamentaba lo de los 5000 euros obviamente, pero lo que más me enfadó fue la forma en la que me habían estafado.

Después me explicaron también que era una combinación de dos técnicas llamadas SMishing y Vishing, pero para entonces los 5000 euros se habían perdido para siempre y el banco no me devolvió ni un euro.

¿Qué hizo mal Pasquale?

• Pasquale desconocía que los ciberdelincuentes, usando un «sentido de urgencia», intentan robar la buena fe de las personas y engañarlas para que cometan fraudes. A partir de ese momento, empezó a desconfiar de los mensajes que le pedían que actuara de inmediato.
• Los bancos normalmente nunca solicitan credenciales (usuario y contraseña) a través de sistemas interceptables como SMS o correo electrónico, por lo que debería haber aumentado su vigilancia de inmediato, ya que lo más probable es que se tratara de un ataque de smishing. A partir de ese momento, Pasquale nunca introdujo ningún nombre de usuario ni contraseña en ningún sitio web, basándose en una solicitud que recibió por correo electrónico.
• Durante la llamada, Pasquale se tranquilizó gracias a la chica, quien amablemente apeló de nuevo a su sentido de urgencia, pidiéndole el código, que obviamente era el OTP enviado por el sistema del banco una vez que los delincuentes habían iniciado una transacción a su cuenta. A partir de ese momento, Pasquale empezó a sospechar cada vez más de las llamadas de desconocidos.

Pasquale por fin aprendió a comportarse en estas situaciones. ¿Harás lo mismo?

Massimiliano Brolli
Responsable del Equipo RED y de Inteligencia sobre Ciberamenazas de una gran empresa de telecomunicaciones y de los laboratorios de ciberseguridad 4G/5G. Ha ocupado puestos directivos que van desde la gestión de riesgos TIC a la ingeniería de software, pasando por la docencia en másteres universitarios.

Lista degli articoli
Visita il sito web dell'autore