FraudeDigital // caso: EJ-001 estado: caso analizado · anonimizado
CASO EJ-001 · ACCESO REMOTO

El caso del falso soporte técnico con AnyDesk

Cómo una llamada de 40 minutos vació una cuenta corriente

Categoría: Vishing + Acceso remoto
Perfil víctima: Usuario doméstico >55 años
Impacto: ~7.400 € en transferencias
Resumen ejecutivo

Un ciudadano recibe una llamada de un supuesto "técnico de Microsoft" avisándole de un problema de seguridad grave. Le guía para instalar AnyDesk con la excusa de "revisar el ordenador". Una vez dentro, el atacante espera a que la víctima entre en su banca online y ejecuta transferencias en directo mientras mantiene la conversación distraída. La banca online no distingue entre la víctima y el atacante porque técnicamente la sesión la abre la víctima.

Cómo empieza

La víctima recibe una llamada en fijo. Voz masculina, acento neutro, aparente calma profesional. Se identifica como "Departamento de Seguridad Microsoft" (variante: "operador de tu operadora de internet", "técnico de tu banco"). El motivo alegado:

"Hemos detectado un ataque en curso a su equipo desde una dirección IP de Rusia. Necesitamos revisar su sistema inmediatamente para bloquear el intruso antes de que acceda a sus cuentas bancarias."

El gancho técnico funciona por dos razones:

  1. Autoridad + urgencia: se presenta como un tercero con conocimiento privilegiado ("hemos detectado") y añade una amenaza inmediata sobre el banco.
  2. Ambigüedad técnica: la mayoría de usuarios no sabe distinguir Microsoft de su ISP de su banco. Todos son "el ordenador".

La cadena de instalación

Una vez ganada la atención, el atacante conduce a la víctima paso a paso:

01

Abrir el navegador

Le pide que abra el navegador (cualquiera). Le dicta la dirección anydesk.com o similar. Aquí no hay engaño: AnyDesk es un software legítimo. Ese es precisamente el problema — el fraude usa una herramienta lícita.

02

Descarga e instalación

Guía a la víctima para descargar e instalar AnyDesk. La víctima ve una web legítima, un instalador firmado y un antivirus que no protesta. Todo "parece normal", lo que refuerza la confianza.

03

Dictar el ID de 9 dígitos

Al abrirse AnyDesk, muestra un ID numérico único de esa máquina. El atacante lo pide por teléfono. Con ese ID (y la confirmación de la víctima al pulsar "aceptar"), obtiene control total del escritorio.

04

Distracción: la "revisión falsa"

El atacante mueve el ratón, abre el visor de eventos, ejecuta comandos netstat u ipconfig: nada real, puro teatro para justificar el tiempo. Mientras, va guiando: "Ahora necesito que entre en su banca para verificar que no le han robado nada".

05

La transferencia en directo

La víctima abre su banca online. El atacante, viéndolo todo, dice "voy a pantallar en negro para que no interfiera nada". AnyDesk permite oscurecer la pantalla remota. Con la víctima "cegada" pero con la sesión bancaria abierta, el atacante ejecuta transferencias reales. Cuando llega el SMS del banco pidiendo el código de confirmación, el atacante lo pide "para verificar la seguridad". La víctima lo dicta.

Por qué funcionó

Este ataque no explota una vulnerabilidad técnica; explota vulnerabilidades humanas:

  • Presión temporal: 40 minutos sin dejar respirar. No hay margen para colgar y pensar.
  • Autoridad falsa: "soy Microsoft" es equivalente a "soy Dios" para una parte del público.
  • Confianza en el software legítimo: AnyDesk no es malware. El antivirus no salta.
  • Codigo SMS entregado voluntariamente: la víctima nunca escribió sus claves — pero dictó el código de doble factor.
  • Pantalla en negro: la víctima no ve el ataque en tiempo real. Cree que el técnico está "arreglando algo".
Punto crítico: desde la perspectiva del banco, esta es una operación autorizada por el titular: se realiza desde el ordenador habitual, con las credenciales correctas y con el segundo factor confirmado. Discutir después que "no fue tú" es una batalla técnica muy dura.

Indicadores para reconocerlo

Señal Qué significa
Llamada no solicitada Microsoft, tu ISP y tu banco nunca te llaman avisándote de "un ataque en curso".
Piden instalar software AnyDesk, TeamViewer, LogMeIn, Quick Assist, ISL Online, Zoho Assist… si alguien por teléfono te pide instalar cualquier programa de acceso remoto, cuelga.
Piden dictar un ID de 9 dígitos Ese ID + tu confirmación = entrega de la máquina.
Insisten en no colgar La estafa depende de mantenerte al teléfono. Si insisten "no cuelgue bajo ningún concepto", cuelga.
Piden abrir la banca online Nunca hay razón legítima para que un "técnico" necesite ver tu banco.
Piden códigos SMS Ninguna entidad legítima te pedirá nunca un código enviado por SMS o app. Ninguna.

Cómo cortarlo (si aún estás a tiempo)

  1. Cuelga inmediatamente. No importa lo que digan. No hay contexto en el que colgar sea peligroso.
  2. Cierra el ordenador de red (desenchufa el cable, apaga el Wi-Fi).
  3. Desinstala AnyDesk / TeamViewer / etc. Reinicia.
  4. Llama a tu banco al número del reverso de la tarjeta (no al que te dijeron por teléfono) y bloquea cuentas y tarjetas.
  5. Cambia contraseñas críticas desde otro dispositivo limpio (móvil, si el ordenador estaba comprometido).
  6. Denunciausa el generador de denuncias para preparar el escrito con los datos técnicos.
Lección clave

Ningún soporte técnico legítimo del planeta necesita acceso remoto a tu ordenador para "verificar tu banco". Si esa frase aparece en una llamada, no es un profesional distraído: es un atacante. La ausencia de malware no significa ausencia de fraude: la mayoría de estos ataques usan software 100% legítimo.

Contexto y prevención estructural

Este vector — acceso remoto vía herramienta lícita — se conoce en el sector como Remote Access Trojan by consent: el atacante no necesita comprometer nada porque la víctima le abre la puerta. Cuando llega al banco, técnicamente es un fraude autorizado.

Para reducir la superficie de ataque a nivel doméstico:

  • Denegar por defecto la instalación de software remoto en cuentas de personas mayores. Cuenta de usuario sin permisos de administrador.
  • Enseñar la regla: "si me llaman diciendo que hay un problema con el ordenador o el banco, cuelgo y llamo yo".
  • Notificaciones push del banco activadas, con confirmación explícita de operación por app.
  • Límites diarios bajos en transferencias por defecto (activables temporalmente cuando se necesite un importe mayor).