Todo comienza cuando por algún canal de comunicación, WhatsApp, SMS, e incluso por conversaciones de Facebook Messenger, alguien nos aborda con alguna historia como que ese número les pertenecía antes y para continuar usando su correo electrónico (o similares) necesita un código que llegó al número; otros casos como que han dado de alta el contacto de legado y la plataforma les solicita el código que llegó.
También uno muy convencional es el que alguien nos contacte afirmando ser una compañía de paquetería y requiere un código que llegó al número para verificar identidad, sea cual sea el caso, por nada debemos compartir ese código, pues en muchas situaciones se trata de hacer un reseteo de password a la cuenta.
La persona malintencionada inserta el código obtenido y así logra tomar el control de la cuenta, usualmente de Facebook de la víctima y en la mayoría de los casos procede a entablar conversaciones solicitando dinero, cosas como que algún familiar está enfermo o tiene una urgencia, proporcionando cuentas que se encuentran abiertas en bancos que no solicitan muchos requisitos de verificación de identidad.
Las víctimas caen y transfieren; aquí la recomendación es antes de hacer cualquier tipo de operación bancaria, cerciorarnos de que la persona con la que estamos hablando detrás de cualquier dispositivo se trata de forma legítima del propietario y no fue usurpada su identidad.
Recordemos las clásicas estafas en donde supuestamente tienen a un familiar secuestrado, los delincuentes juegan con la mente de la víctima induciendo al error y con presión ejercida logran obtener ganancias; este modus operandi de enviar el código de reseteo de contraseña funciona de manera similar, generando una confianza de la víctima para brindar esa información.
En varias de las cuentas usurpadas, las personas malintencionadas continúan esta cadena de obtención de cuentas, pues ya con el control, basta con contactar a los “cercanos” o conversaciones más recientes y sin saber quién está detrás con algún engaño solicitan el código y así se va extendiendo la lista de personas usurpadas y ganancias.
Queda un aprendizaje enorme de manera técnica, pues, aunque tengamos doble factor de verificación activado (cuando te llega un código para el inicio de sesión) el factor más vulnerable siempre será el humano y con una historia convincente puede ceder esa llave única que solo el/ella podría tener.