Juanito aprende inglés y nosotros ciberseguridad (casi por las malas)

Recibimos un correo electrónico del colegio, remitido por un miembro de la dirección del mismo (llamémosle Mr. John Smith) al que conocemos personalmente y con el que nos solemos cruzar emails. Amablemente nos informaba sobre un descuento del 17% si adelantábamos los pagos pendientes (sólo hemos realizado el primero). La oferta era tentadora, ya que hablamos de un ahorro importante de dinero. Ambos estuvimos de acuerdo en que, aunque suponía un esfuerzo, podíamos aprovechar la oportunidad ya que teníamos ahorros y el descuento merecía la pena.

El correo era impecable. En un inglés inmaculado, detallaba todo perfectamente, pareciendo completamente legítimo. Incluía logotipos y firmas que hacían que pareciera aún más auténtico. Incluía nuestros nombres completos, correos profesionales, el nombre de nuestro hijo, el curso en el que está, el número de orden de pago correlativo a los anteriores, e incluso la cifra exacta de lo que habíamos pagado hasta ese momento. Los argumentos eran muy convincentes, destacando, además del descuento, la simplificación de pagos que suponía, evitándonos transferencias periódicas y con ello un ahorro adicional asociado a las transferencias correspondientes. Simplemente nos hacían notar que teníamos una semana para decidir y realizar el pago, lo que, sin ser demasiado apremiante, creaba esa sensación de urgencia que mueve a la acción.

Cuando estábamos a punto de hacer la transferencia, algo nos hizo detenernos. La cuenta bancaria no nos sonaba recordando la anterior transferencia. Si bien todavía la duda era escasa, decidimos revisar letra por letra la dirección de correo, gracias a lo cual descubrimos el engaño: en lugar de “johnsmith@worhwellschool.edu” (le he cambiado el nombre al colegio), el remitente era “johnsmith@worhwallschool.edu” (nótese el cambio de la e por la a en el dominio), un cambio sutil y a posteriori incluso burdo, pero que con el resto de elementos nos había engañado completamente. ¡A puntito estuvimos de hacer la transferencia, estando ya "logueados” en nuestra banca online!

Técnicas de 'behavioral science' que los ciberdelincuentes parecen dominar

Este intento de fraude es un claro ejemplo de cómo los estafadores utilizan las ciencias sociales y principios de las ciencias del comportamiento para movilizar con rapidez a sus víctimas. Constatando la precisión con la que aplican estas técnicas, a veces parece que tuvieran un doctorado en 'behavioral science'. Cada paso está calculado para manipular nuestras decisiones, utilizando principios que normalmente se enseñan en másters o programas avanzados de comportamiento. Estas son algunas de las tácticas que identifico en esta vivencia:

1. Urgencia: nos dieron un plazo limitado para aprovechar el descuento, lo que crea presión y empuja a actuar rápidamente sin analizar todos los detalles. Fueron también astutos escondiendo o justificando esa urgencia, ya que en su mail inicial hacían referencia a una comunicación ya enviada por el colegio hacía un mes (inexistente pero muy plausible haberla obviado entre tanto email).
2. Reciprocidad: el ofrecimiento se explica como beneficioso también para el colegio. Al adelantar los cobros, alegaban beneficios de gestión de tesorería para ellos, por lo que podían ofrecer el descuento a los padres. Una situación 'fair' o 'win-win' como dicen los angloparlantes.
3. Confianza, autoridad y consistencia: al incluir información personal y financiera precisa, como cuánto habíamos pagado hasta la fecha, generaron una sensación de confianza que hizo que no cuestionáramos la autenticidad del correo. Todo era coherente con nuestras interacciones previas con el colegio. Además, el hecho de que viniera de alguien familiar y con un cargo de autoridad en el colegio aumentaba esa percepción. Los adjuntos con el membrete del colegio, junto con logotipos, firmas, y formatos de carta y factura idénticas a las originales, hizo que el mensaje pareciera consistente con nuestras interacciones previas con el colegio, lo que reforzaba la impresión de que todo estaba en orden.
4. El atractivo de la simplicidad: no solo nos motivaban con el ahorro monetario. Nos hacían notar que pagando todo de una vez, no solo reducíamos las comisiones de varias transferencias, sino que simplificaríamos nuestras vidas ahorrándonos tener que hacer transferencias y papeleo en varias ocasiones.
5. Norma social: al ser consciente del engaño decidí jugar un poco, explicándole al supuesto Sr. Smith que nos había surgido otro gasto inesperado. Debido a ello le solicité o una prórroga o un descuento adicional, a lo que respondieron empleando de nuevo la carta de la urgencia. Tras yo “plantarme” diciendo que no llegaríamos a la fecha y que lo olvidábamos, me hicieron saber que otras familias que necesitaban esa prórroga elegían la posibilidad de pagar con criptomonedas (ya obviamente a la desesperada). El caso es que mostrándome “lo que hacen otros” en esa misma situación, el estafador estaba intentando utilizar la fortaleza que tiene la influencia social sobre nuestros comportamientos y decisiones.

Nota: desde el departamento de ciberseguridad me han reñido un poco. Me dicen que eso de jugar con los estafadores, como que mejor no, así que no lo hagan en sus casas (llegaron a llamarme por teléfono fingiendo ser Mr. Smith desde un número de Camerún). Como bien aconsejan, lo que hicimos al descubrir el engaño fue avisar inmediatamente al colegio, a las autoridades y al resto de padres a nuestro alcance.

Reflexión y aprendizaje

Este episodio nos ha mostrado en primera persona que siempre hay riesgos a los que estamos expuestos y demostrado que conocer este tipo de peligros ayuda a su detección (ambos trabajamos en BBVA y desde el departamento de ciberseguridad llevan haciendo desde hace ya mucho tiempo un gran trabajo de divulgación interna y externa). También las empresas de todo tipo deben tomar conciencia ya que hemos podido saber que nuestra información se ha obtenido debido a una brecha de seguridad en los servidores de correo del colegio.

Lo cierto es que fue la atención a los detalles lo que nos salvó. La realidad es que, más en el mundo digital, la atención es un bien escaso (otro de los principios fundamentales con los que trabajamos desde las ciencias del comportamiento). Por eso en BBVA estamos aplicamos 'behavioral economics' para mejorar nuestras herramientas de seguridad y concienciación, para reducir la vulnerabilidad de clientes y empleados.

Por otro lado, reflexionamos sobre lo que realmente buscamos para Juanito con su educación en Inglaterra. No solo le mandamos un año fuera para que aprenda inglés; lo enviamos para que se enfrente a situaciones complejas, tome decisiones por sí mismo y gane autonomía. Este tipo de vivencias, aunque duras, son esenciales para su crecimiento. A nosotros, cuarentones largos, también parece que nos falta 'calle', como se suele decir. Pero esta experiencia ha sido un recordatorio de que la vida está llena de aprendizajes, tanto para él como para nosotros.

Una última reflexión. Si no nos hubiéramos dado cuenta a tiempo, seguramente no estaría compartiendo tan alegremente esta historia. Y es que de eso también se aprovechan los malos: de la vergüenza que se siente cuando uno es engañado. Hoy lo cuento porque tuve suerte, pero cuántas veces no compartimos experiencias que podrían enseñar a otros.