Así es el 'smishing', la estafa a través de SMS que se aprovecha de las compras de Navidad para robarte
El 'smishing' utiliza los mensajes de SMS o de mensajería instantánea para conseguir información personal del usuario
Los ciberdelincuentes buscan conseguir claves de acceso a la banca digital y datos personales
Si se es víctima de 'smishing' hay que ponerse en contacto con el banco y modificar las contraseñas
Con la llegada de la navidad y el aumento de las compras online, los ciberdelincuentes recurren con más asiduidad a la estafa conocida como 'smishing', que utiliza los mensajes de SMS o de mensajería instantánea tipo WhatsApp para engañar a los clientes y conseguir sus claves de acceso a la banca digital o la infección de sus dispositivos. Es posible recibirlos para determinadas campañas publicitarias de marcas de ropa o de electrónica, por lo que hay que estar especialmente atento cuando recibimos uno y saber detectar si es auténtico o se trata de una estafa.
Desde el banco ING definen el 'smishing' de la siguiente manera: “Es el uso de métodos de engaño a través de SMS o mensajes de texto del móvil para conseguir información personal del usuario y hacer un uso fraudulento de ella”. Por lo tanto, la principal diferencia entre el 'smishing' y el 'phishing', que también es muy común, es que la primera se realiza mediante mensajes cortos por el móvil y la segunda se lleva a cabo a través del correo electrónico.
MÁS
Caso de 'smishing' en la suplantación de la identidad de Correos
Un ejemplo de 'smishing' es el que tuvo lugar el pasado mes de enero, cuando la Policía Nacional alertó de una campaña que suplantaba la identidad a Correos. El ciberataque se realizó a través de un mensaje de texto corto que la víctima recibía en su dispositivo. El SMS incluía un enlace para instalar una aplicación apk con apariencia de ser la entidad oficial. Sin embargo, cuando el destinario aceptaba la descarga, se instalaba la apk y un software de acceso remoto que solicitaba permisos para recibir, leer y modificar SMS.
La Policía inició una investigación y detectaron que el programa tenía un “tremendo potencial dañino” con capacidad para acceder a la agenda y les otorgaba a los atacantes un virtual control total sobre el dispositivo infectado. Fueron muchas las personas que se vieron afectadas.
Cómo se puede detectar el 'smishing'
Por lo general, estos mensajes contienen un texto breve en el que se solicita información personal del destinario, como las claves de acceso a la banca electrónica o los datos de las tarjetas de crédito. A veces también pueden ir acompañados de archivos adjuntos o enlaces.
El Banco de España ofrece una serie de recomendaciones para prevenir este tipo de actuaciones delictivas:
- Normalmente, tu banco nunca te pedirá por correo electrónico ni por SMS que facilites tus claves de acceso a la banca electrónica o los datos de tus tarjetas de crédito.
- Si recibes un SMS con archivos adjuntos, desconfía. Con gran probabilidad este archivo oculta un malware, es decir, un programa malicioso que contiene un virus informático.
- Es importante verificar la dirección del remitente. No obstante, hay que tener en cuenta que los ciberdelincuentes consiguen ocultar la dirección real detrás de una falsa.
- Se debe desconfiar de los mensajes que contengan enlaces. Es necesario revisarlos antes de clicar. Se aconseja pasar el curso sobre el hipertexto para ver el enlace verdadero. Con este método, lo que hacen es dirigir a la víctima a una página falsa que simula ser la web legítima para robar sus credenciales de acceso.
- Ejemplos de mensajes de los que no hay que fiarse: “Felicidades, has sido premiado con un coche. Para obtener el premio envía un SMS a este número”, “Estimado cliente, su tarjeta visa ha sido bloqueada por su seguridad. Para desbloquearla visite esta web y complete los pasos”.
¿Qué hacer en caso de detectar la estafa o haber sido víctima?
Una vez haya sido detectado el 'smishing', se recomienda remitirlo al banco para que esté al tanto e informe al resto de clientes. Asimismo, piden que el SMS se marque como “no deseado”, se bloquee al remitente y, si fuese posible, se denuncie la suplantación de identidad.
Si a pesar de haber tomado todas las precauciones se ha sido víctima de 'smishing', se debe seguir una serie de pasos. En primer lugar, hay que ponerse en contacto con la entidad financiera para que bloquee la operación. Seguidamente, se tiene que modificar la contraseña de acceso a la banca electrónica y de cualquier otra información que se haya facilitado.
Por último, pero no menos importante, se debe denunciar el fraude a la Policía Nacional, la Guardia Civil o en los Juzgados. Es imprescindible que se aporte el mensaje y las pruebas pertinentes para que se pueda poner en marcha una investigación.