Cómo una llamada de 40 minutos vació una cuenta corriente
Un ciudadano recibe una llamada de un supuesto "técnico de Microsoft" avisándole de un problema de seguridad grave. Le guía para instalar AnyDesk con la excusa de "revisar el ordenador". Una vez dentro, el atacante espera a que la víctima entre en su banca online y ejecuta transferencias en directo mientras mantiene la conversación distraída. La banca online no distingue entre la víctima y el atacante porque técnicamente la sesión la abre la víctima.
La víctima recibe una llamada en fijo. Voz masculina, acento neutro, aparente calma profesional. Se identifica como "Departamento de Seguridad Microsoft" (variante: "operador de tu operadora de internet", "técnico de tu banco"). El motivo alegado:
El gancho técnico funciona por dos razones:
Una vez ganada la atención, el atacante conduce a la víctima paso a paso:
Le pide que abra el navegador (cualquiera). Le dicta la dirección anydesk.com o similar. Aquí no hay engaño: AnyDesk es un software legítimo. Ese es precisamente el problema — el fraude usa una herramienta lícita.
Guía a la víctima para descargar e instalar AnyDesk. La víctima ve una web legítima, un instalador firmado y un antivirus que no protesta. Todo "parece normal", lo que refuerza la confianza.
Al abrirse AnyDesk, muestra un ID numérico único de esa máquina. El atacante lo pide por teléfono. Con ese ID (y la confirmación de la víctima al pulsar "aceptar"), obtiene control total del escritorio.
El atacante mueve el ratón, abre el visor de eventos, ejecuta comandos netstat u ipconfig: nada real, puro teatro para justificar el tiempo. Mientras, va guiando: "Ahora necesito que entre en su banca para verificar que no le han robado nada".
La víctima abre su banca online. El atacante, viéndolo todo, dice "voy a pantallar en negro para que no interfiera nada". AnyDesk permite oscurecer la pantalla remota. Con la víctima "cegada" pero con la sesión bancaria abierta, el atacante ejecuta transferencias reales. Cuando llega el SMS del banco pidiendo el código de confirmación, el atacante lo pide "para verificar la seguridad". La víctima lo dicta.
Este ataque no explota una vulnerabilidad técnica; explota vulnerabilidades humanas:
| Señal | Qué significa |
|---|---|
| Llamada no solicitada | Microsoft, tu ISP y tu banco nunca te llaman avisándote de "un ataque en curso". |
| Piden instalar software | AnyDesk, TeamViewer, LogMeIn, Quick Assist, ISL Online, Zoho Assist… si alguien por teléfono te pide instalar cualquier programa de acceso remoto, cuelga. |
| Piden dictar un ID de 9 dígitos | Ese ID + tu confirmación = entrega de la máquina. |
| Insisten en no colgar | La estafa depende de mantenerte al teléfono. Si insisten "no cuelgue bajo ningún concepto", cuelga. |
| Piden abrir la banca online | Nunca hay razón legítima para que un "técnico" necesite ver tu banco. |
| Piden códigos SMS | Ninguna entidad legítima te pedirá nunca un código enviado por SMS o app. Ninguna. |
Ningún soporte técnico legítimo del planeta necesita acceso remoto a tu ordenador para "verificar tu banco". Si esa frase aparece en una llamada, no es un profesional distraído: es un atacante. La ausencia de malware no significa ausencia de fraude: la mayoría de estos ataques usan software 100% legítimo.
Este vector — acceso remoto vía herramienta lícita — se conoce en el sector como Remote Access Trojan by consent: el atacante no necesita comprometer nada porque la víctima le abre la puerta. Cuando llega al banco, técnicamente es un fraude autorizado.
Para reducir la superficie de ataque a nivel doméstico: