Estafa de desvío de llamadas: Alerta de seguridad en transporte público

En un mundo cada vez más interconectado, nuestros dispositivos móviles se han convertido en extensiones digitales de nuestra identidad personal y financiera. Sin embargo, esta misma ubicuidad ha creado una superficie de ataque que los delincuentes están explotando con una precisión alarmante. Recientemente, las fuerzas de seguridad han emitido una alerta crítica sobre una nueva y peligrosa modalidad: la estafa de desvío de llamadas, la cual se está propagando rápidamente en centros de transporte público, terminales de autobuses y estaciones ferroviarias.

Lejos de los complejos ataques de phishing o intrusiones de software malicioso que suelen copar los titulares, esta amenaza se basa en una táctica mucho más antigua y, por ende, a menudo subestimada: la ingeniería social física. Los delincuentes no necesitan hackear su sistema operativo; necesitan que usted, bajo un momento de vulnerabilidad o confusión, les facilite el acceso directo a su infraestructura de telecomunicaciones mediante un comando aparentemente inofensivo.

La anatomía técnica de la estafa: ¿Cómo funciona realmente?

Para comprender la gravedad de esta amenaza, es fundamental desmitificar la tecnología subyacente. Esta estafa abusa de una característica legítima de las redes de telefonía móvil denominada USSD (Unstructured Supplementary Service Data). Los códigos USSD son secuencias breves de caracteres que comienzan con un asterisco (*) y terminan con una almohadilla (#), diseñados para permitir que los usuarios interactúen directamente con los servidores de su operador de telecomunicaciones sin necesidad de conexión a internet ni de aplicaciones intermedias.

La **estafa de desvío de llamadas** aprovecha específicamente los comandos de GSM que gestionan la redirección de comunicaciones. Cuando una víctima es engañada para marcar un código como `*21*[número_del_atacante]#`, el teléfono envía una solicitud directa a la red (específicamente al registro de ubicación del visitante o HLR/VLR del operador). La red, interpretando esta orden como una instrucción legítima del usuario, activa el desvío incondicional de todas las llamadas entrantes hacia el número especificado por el criminal.

Por qué es tan efectiva: El factor de la invisibilidad

Lo que hace que este ataque sea particularmente perverso es su **invisibilidad técnica**. Una vez ejecutado el comando, no se instala ningún software espía, no hay notificaciones de alerta constantes y el dispositivo del usuario sigue funcionando para navegación web, uso de redes sociales y mensajería instantánea. Sin embargo, ocurre lo siguiente:

• Intercepción de OTPs (One-Time Passwords): Muchos sistemas bancarios y plataformas de mensajería (como WhatsApp o Telegram) utilizan la verificación por voz o SMS para enviar códigos de seguridad únicos. Al estar activado el desvío, estos códigos críticos llegan directamente al terminal del atacante.
• Silencio absoluto para la víctima: El usuario afectado pierde el rastro de sus comunicaciones entrantes. Las llamadas importantes, incluyendo aquellas para confirmar transacciones bancarias o intentos de recuperación de cuentas, se redirigen sin que el teléfono original siquiera suene.
• Omisión de medidas de seguridad tradicionales: Al no involucrar malware, el ataque elude la mayoría de las soluciones de antivirus o sistemas de detección de intrusos, ya que técnicamente se trata de una configuración de red válida realizada por el abonado.

El escenario del ataque: Centros de tránsito como caldo de cultivo

El traslado de esta táctica a los nodos de transporte público no es casual. En estos entornos, los atacantes aprovechan la **psicología de la urgencia**. El estafador se acerca a una persona con una narrativa ensayada: una emergencia médica, un teléfono sin batería, la imposibilidad de realizar una llamada de negocios urgente o el extravío de un familiar. La presión temporal impide que la víctima piense con claridad, bajando sus defensas y facilitando que entregue su dispositivo desbloqueado.

Mientras fingen realizar la “llamada urgente”, los estafadores introducen el código USSD en cuestión de segundos. Al devolver el teléfono, la víctima cree haber ayudado a un extraño en apuros, desconociendo por completo que acaba de entregar las llaves de su vida digital. En cuestión de minutos, los delincuentes inician procesos de restablecimiento de contraseñas en aplicaciones bancarias y redes sociales, interceptando los códigos de validación antes de que la víctima tenga oportunidad de notar la anomalía.

Protocolo de autodefensa: Cómo protegerse hoy mismo

Ante la sofisticación de estos ataques físicos, la educación es la barrera más efectiva. Las autoridades de ciberseguridad instan a los ciudadanos a seguir protocolos estrictos para minimizar el riesgo de ser víctima de una estafa de desvío de llamadas:

1. Nunca entregue su teléfono desbloqueado: Bajo ninguna circunstancia, incluso si el extraño parece desesperado o el caso parece legítimo, ceda su dispositivo desbloqueado. Si necesita ayudar, ofrezca usted mismo marcar el número y mantenga el teléfono en su mano durante toda la conversación.
2. Cuidado con los códigos desconocidos: Nunca marque códigos USSD (que empiezan por * o #) que le sean sugeridos por desconocidos, incluso si le prometen “resolver” problemas de entrega de paquetes, configurar el internet o mejorar la señal de red.
3. Verifique su configuración actual: Es recomendable auditar regularmente el estado de su desvío de llamadas. Puede hacerlo marcando `*#21#` para consultar qué servicios de desvío están activos en su línea.
4. El comando de emergencia: Si sospecha que su línea ha sido comprometida, no pierda tiempo. Marque `##002#` inmediatamente. Este código universal desactiva instantáneamente todos los tipos de desvíos de llamadas y mensajes que puedan estar configurados en su número, blindando nuevamente su dispositivo contra este tipo de intercepciones.
5. Seguridad de cuentas: Implemente la autenticación de dos factores (2FA) basada en aplicaciones (como Google Authenticator o llaves físicas de seguridad) en lugar de SMS, siempre que sea posible. Esto reduce drásticamente la utilidad de interceptar llamadas o mensajes de texto para un atacante.

Conclusión: Vigilancia en la era de la ingeniería social

La **estafa de desvío de llamadas** es un recordatorio contundente de que, en el panorama actual de la ciberseguridad, el eslabón más débil sigue siendo el factor humano. La tecnología USSD, aunque es una herramienta potente y necesaria para la gestión de redes de telecomunicaciones globales, puede convertirse en un arma letal cuando se combina con la manipulación psicológica.

La próxima vez que se encuentre en una estación de metro o autobús, recuerde que su teléfono es mucho más que un aparato electrónico; es su identidad financiera y personal. La cortesía no debe ser motivo para comprometer su seguridad digital. Mantenga su dispositivo bajo su control y, ante cualquier comportamiento extraño o solicitud inusual, confíe en su instinto y decline la petición. En el ecosistema digital, la precaución no es opcional: es la única forma de garantizar que nuestras herramientas de comunicación sigan trabajando a nuestro favor y no en nuestra contra.