Cuidado con las notificaciones que llegan a tu móvil: los ciberdelincuentes usan servicios gratuitos para enviar SMS a cualquier usuario

Los teléfonos móviles son vistos por los ciberdelincuentes como una puerta de acceso a nuestra información más personal. A través de ellos consultamos rápidamente el correo electrónico o las cuentas del banco, confirmamos compras online y nos comunicamos con otras personas, entre otras muchas acciones que todos realizamos a diario. Son una auténtica mina de oro en cuanto a datos, y los ciberdelincuentes son muy conscientes de ello. No dejan de mejorar sus técnicas y herramientas para lanzar ataques y, de aquí a los próximos años, los dispositivos móviles estarán entre sus principales objetivos.

Nadie duda de que los fraudes vía móvil serán una tendencia cada vez más al alza, porque los ciberdelincuentes siempre se van a aferrar a lo que funciona. Los usuarios siguen siendo más escépticos a la hora de hacer clic en un enlace dentro de un correo electrónico que en uno incluido en un SMS. De hecho, la tasa de clics en mensajería móvil es hasta ocho veces superior a la de emails, llegando al 98% de apertura, lo cual incrementa las probabilidades de éxito de los atacantes. Y no solo se abren más URLS en SMS, también en otros servicios con WhatsApp y Messenger, que han sustituido a los mensajes de texto como medios dominantes de la comunicación por móvil.

El modus operandi complejo, pero accesible del smishing

El smishing o fraude por mensajes de texto entraña, no obstante, mayor complejidad para los ciberdelincuentes. Aunque merece la pena al menos intentarlo, porque poco más del 20% de los usuarios conoce este término y lo que implica. A diferencia del phishing en el que los correos electrónicos se pueden mandar libremente desde cualquier dispositivo conectado a Internet, los SMS se ejecutan dentro de redes móviles cerradas. El atacante necesita hacer una gran inversión financiera para cometer fraudes de smishing o bien aprovecharse de proveedores de mensajería que inserten los mensajes en la red por ellos.

Estos proveedores de mensajería ofrecen una manera escalable de enviar mensajes móviles con muchos usos legítimos: SMS con actualizaciones sobre vuelos, recordatorios de citas médicas, notificaciones bancarias, etc. Pero esa facilidad de acceso a las redes móviles se vuelve en su contra, convirtiéndose en un servicio popular entre los ciberdelincuentes.

Muchas plataformas de mensajería funcionan bajo una fórmula 'freemium', que permite enviar mensajes gratuitos de una parte a otra del mundo sin que apenas haya verificación de los usuarios. Estos incluso pueden registrarse con un número de teléfono de prepago, por lo que, si se detecta un abuso en dicho dispositivo, el ciberdelincuente solo tiene que registrar otro nuevo o los que hagan falta para seguir con sus intenciones. Asimismo, es frecuente encontrarse con casos en los que los atacantes han utilizado números de tarjetas de crédito falsas o robadas, así como credenciales de otros usuarios.

El modus operandi en esta plataforma es iniciar una conversación. A menudo basta con un simple "Hola, ¿cómo estás?", para establecer una relación con una posible víctima, aunque luego pueda necesitarse enviar varios mensajes por SMS u otro servicio de mensajería como WhatsApp. Cuando hay la suficiente confianza, lo común es pedir a los usuarios que hagan alguna transferencia e, incluso, que inviertan dinero en sitios fraudulentos, financieros o de criptomonedas. Los ciberdelincuentes también suelen falsificar mensajes legítimos para conducir a la víctima a sitios de smishing o distribuir malware, cuidando al detalle la temática de los señuelos para hacerlos más creíbles y aparentemente legítimos ante el receptor.

¿En qué fijarse para saber si un SMS es falso?

Anteriormente, encontrarse con faltas de ortografía en el mensaje de texto o con enlaces a sitios web sospechosos eran indicios más que suficientes para darse cuenta de una posible estafa. Ahora, sin embargo, los ciberdelincuentes son mucho más sofisticados en sus técnicas de engaño a personas, por lo que estas deben estar atentas a otros signos:

  • La URL incluida en el mensaje está acortada o tiene un aspecto dudoso.
  • El mensaje expresa urgencia para que el usuario actúe con rapidez.
  • Contiene una oferta que suena demasiado bien para ser verdad.
  • El remitente o la fuente de ese mensaje resultan desconocidos.

A modo de defensa, los usuarios pueden protegerse frente a potenciales fraudes por SMS de la siguiente manera:

  • Vigilando de cerca datos personales y de tarjetas de crédito y, bajo ningún concepto, facilitándolas a fuentes cuya identidad no haya sido verificada o que desconozcamos.
  • No respondiendo a ningún mensaje comercial o de cualquier otro tipo no solicitado. De hacerlo, confirmaría a los ciberdelincuentes que el receptor es una persona real y potencial víctima.
  • No abriendo ningún enlace en mensajes de texto por muy reales que parezcan.
  • Poniéndose en contacto directamente con el remitente a través de su sitio web e introduciendo manualmente la dirección web o URL.
  • No instalando software en el móvil procedente de ninguna fuente que no sea una tienda de aplicaciones certificada.
  • Denunciando el spam por SMS e intentos de phishing a los servicios de notificaciones o autoridades competentes.

El smishing es un problema difícil. Los mensajes maliciosos no se distinguen normalmente de las notificaciones legítimas. Desde los operadores de redes móviles se intenta filtrar los mensajes para proteger a los usuarios, pero los atacantes tratarán de salirse con la suya como sea. Resolver esta amenaza entre todos ayudará a mantener la confianza y la integridad de las comunicaciones móviles.

Regresar a Noticias
T-Cert / Tigo Copyright©, Guatemala todos los derechos reservados.