No todos los mensajes de texto que recibimos en el teléfono móvil son verídicos. Algunos son smishing o, lo que es lo mismo, fraudulentos. Los SMS falsos suplantan la identidad de personas, entidades y empresas reconocidas. Añaden un enlace que redirecciona a una página web engañosa. El objetivo es conseguir datos sensibles o confidenciales del receptor (contraseñas, correos electrónicos o números de cuenta) o hacerse con su dinero.
El smishing es tan habitual como las estafas por correo electrónico. Sin embargo, tiene más éxito. El destinatario suele ser menos precavido y abre en enlace sin prestar demasiada atención. Si nos llega un SMS fraudulento debemos ignorarlo y eliminarlo. En caso de haberlo abierto, hay que quitar el software que hayamos descargado. Asimismo, hemos de cambiar las contraseñas de las cuentas sensibles y contactar con el banco, si fuera el caso. Denunciar la estafa ante las Fuerzas y Cuerpos de Seguridad del Estado es fundamental.
Qué es el smishing y para qué sirve
El smishing es un tipo de ataque de ingeniería social. Se realiza a través de la mensajería del móvil por SMS. Es uno de los fraudes tecnológicos más habituales. Los ciberdelincuentes envían un mensaje de texto al teléfono de la víctima suplantando la identidad de un organismo, empresa o persona conocida. Correos, una entidad bancaria, una ONG, una compañía de venta online o un contacto de la agenda son, en apariencia, los emisores de estas comunicaciones.
Los SMS fraudulentos siempre incorporan un enlace. Al pincharlo, nos redirigen a una web falsa que se hace con nuestros datos, solicita que nos descarguemos un archivo (obviamente, malicioso) o nos pide realizar un pago o contactar con un teléfono de tarificación especial. El objetivo de los ciberdelincuentes es hacerse con los datos sensibles de la persona, desde contraseñas hasta el número de la seguridad social o información de la tarjeta de crédito.
Cómo detectar un SMS falso
El Instituto Nacional de Ciberseguridad de España (INCIBE), a través de su Oficina de Seguridad del Internauta (OSI), da las siguientes pautas para comprobar la autenticidad de estos mensajes:
? Comprobar el remitente
Aunque el mensaje parezca proceder de una persona u organismo de confianza, siempre debemos comprobar el remitente. Si no aparece el nombre de la empresa y solo vemos un número de teléfono, lo más probable es que se trate de un fraude.
? Cuidado con los enlaces
En principio la URL del enlace debe comenzar por “https”. Aun así, tampoco debemos fiarnos: a veces los ciberdelincuentes las manipulan para que parezcan verídicas, incluyendo la “s”.
? Leer con detenimiento el texto
Desconfía de los SMS que contengan errores ortográficos, gramaticales, incluyan caracteres extraños, tengan fallos de traducción o estén redactados de manera poco legible.
? ¿Piden datos personales?
Las entidades que en teoría remiten esos mensajes (el banco, por ejemplo) suelen disponer de todos nuestros datos personales. Si necesitan ampliar esta información contactarán con nosotros por teléfono o email, raramente lo harán por SMS.
? No está personalizado
Normalmente los mensajes fraudulentos son genéricos, no están personalizados con los datos del destinatario.
Así hay que actuar
Como medida preventiva, y dado que estas estafas son muy frecuentes, instala un filtro antispam en el teléfono móvil. Entre las aplicaciones más populares están “Key Messages” y “Bloqueador de llamadas y SMS”.
Cualquier mensaje de texto que recibamos ha de ser leído con detenimiento, nunca hay que abrir el enlace o el código QR adjunto. Si dudamos de su procedencia, lo mejor es ignorarlo y eliminarlo. Tampoco hay que responder al SMS o llamar, ya que la estafa podría buscar que, precisamente, tengamos esa reacción (activando, por ejemplo, una tarificación especial que eleve el coste del mensaje o la llamada).
¿Y si ya me he caído en la trampa?
Si tenemos la sospecha de haber sido víctimas de uno de estos SMS, el INCIBE aconseja seguir estos pasos:
- Escanear nuestro dispositivo con un antivirus actualizado.
- Eliminar cualquier archivo que hayamos descargado desde el SMS o un enlace adjunto en el mensaje.
- Cambiar nuestras contraseñas de las cuentas implicadas que hayan podido ser vulneradas.
- Activar la verificación en dos pasos en las cuentas bancarias que lo permitan para evitar la suplantación de identidad.
- Contactar con el banco para cancelar cualquier pago no autorizado o nuestra tarjeta, en caso necesario.
- Bloquear los mensajes de texto que consideremos spam.
- Recopilar todas las pruebas posibles y denunciarlo ante las Fuerzas y Cuerpos de Seguridad del Estado.
Phishing, Vishing y Spoofing
Además del smishing, los ciberdelincuentes utilizan otros tipos de ingeniería social fraudulenta. El Phishing, Vishing y Spoofing son distintas formas de ciberataque.
Phishing
A través de un email, los estafadores suplantan la identidad de entidad pública o una empresa para solicitar información personal y bancaria. Estos correos electrónicos suelen llevar un enlace que, al pincharlo, nos redirige a una página web fraudulenta que solicita datos confidenciales de la víctima.
Vishing
El fraude se produce a través de una llamada telefónica. La persona es engañada mediante la suplantación de la identidad de un tercero de confianza. El fin es obtener información, habitualmente referida a las tarjetas de crédito o a las claves de acceso a la banca online.
Spoofing
Es una técnica de hackeo que consiste en suplantar la identidad de una compañía, entidad o persona. Hay cuatro variables:
- Web spoofing. Consistente en la creación de una página web falsa que suplanta a una página real para obtener información privada de los usuarios.
- Email spoofing. Usurpa la dirección de correo electrónico de una persona o entidad para lograr información confidencial de los usuarios o infectar sus dispositivos con malware.
- IP spoofing. Falsifica y sustituye una dirección IP legítima por otra ficticia.
- DNS spoofing. Altera los servidores DNS para redirigir a los usuarios a una web fraudulenta.
Fuente: Sonia Recio, Erosky Consumer.