Pishing, vishing, maleware, smishing… La ciberdelincuencia cada día se hace más sofisticada y logra engañar a miles de personas desprevenidas que no desconfían de ciertos mensajes que reciben y quedan expuestas a robos, fraudes y estafas.
Una de las técnicas de fraude y estafa más utilizada en los últimos años es el smishing, que consiste en el envío de un mensaje de texto –puede ser vía SMS, Whatsapp, Instagram o cualquier plataforma de mensajería) por parte de un ciberdelincuente que se hace pasar por alguna entidad o institución de confianza: bancos, empresas, administraciones o empresas públicas.
Suelen utilizar un enlace fraudulento para redirigirnos a una web falsa, con el objetivo de robar datos personales sensibles (como usuario y contraseña del homebanking o los números de las tarjetas), que descarguemos algún archivo malicioso o directamente nos engañan para que realicemos alguna transferencia o pago indebido.
Algunos ejemplos
En los últimos meses, la Oficina de Seguridad del Internauta (OSI) ha detectado varios de estos intentos de fraude haciéndose pasar por algunos de los bancos más importantes e incluso a Correos y Telégrafos de España.
Estos fueron algunos de los mensajes detectados:
“No puedes utilizar tu cuenta. Activa el nuevo sistema de seguridad ahora: [URL maliciosa]”
“Su cuenta ha sido suspendida temporalmente por motivos de seguirdad , siga el enlace para verificar su identidad: [URL maliciosa]”
“Aviso: Se a detectado movimientos no habituales en su cuenta verifique inmediatamente en: [URL maliciosa]”
“Nuestro sistema nos alerta de un pre-cargo no autorizado de 379,99E con su tarjeta.Para cancelar el pago sigue nuestro enlace: [URL maliciosa]”
“Se ha realizado una operación fraudulenta en su banca online. Verifique inmediatamente en: [URL maliciosa]”
“Su paquete no se ha podido entregar el [XXX] porque no se han pagado las tasas de aduanas (1,79€). Siga las instrucciones: [URL maliciosa]”.
«[Correos] Su paquete no se ha podido entregar, no se han cobrado las tasas aduana (1,79€). Puede pagar en este enlace: [URL maliciosa]».
Cómo detectar mensajes fraudulentos
Hay varios recaudos que podemos tomar para comprobar la autenticidad de estos mensajes y no convertirnos en víctimas de un fraude:
- Actualmente ya es muy poco frecuente que nos contacten mediante un SMS. Es raro que contenga un enlace y más aún más si es inesperado: en caso de que sean auténticos, te llegarían porque estás tratando de verificar tu cuenta o realizar una consulta.
- Si no aparece el nombre de la empresa y solo vemos un número de teléfono, lo mejor es desconfiar. Incluso es posible recibir mensajes fraudulentos en el mismo hilo que los oficiales.
- También desconfía de los mensajes con sentido de urgencia o que te impulsan a realizar alguna acción en un tiempo limitado: obtener un regalo, aprovechar una oferta, etc.
- Si tienes alguna duda sobre la legitimidad de un mensaje, contacta con el supuesto remitente por alguna vía oficial: nunca lo hagas por el canal de contacto que te ofrece el mensaje.
- Lee detenidamente el texto y presta a los detalles: los mensajes falsos suelen tener errores de ortografía, de puntuación, gramaticales o fallas de traducción.
- En general este tipo de entidades ya cuentan con toda la información que necesitan y nunca solicitan datos sensibles por teléfono, SMS, correo electrónico redes sociales o a partir de enlaces.
- Desconfía si te piden realizar un pago o transferencia.
- Las páginas fraudulentas tienen un diseño muy parecido al de la entidad suplantada. Siempre es importante revisar si la URL corresponde al dominio legítimo. Por lo general tratan de simular el real utilizando el nombre de la empresa en la URL.
¿Qué hacer ante la sospecha?
Si crees que has recibido un mensaje de texto fraudulento, lo mejor es eliminarlo. Lo más importante es tener mucho cuidado de no hacer clic en ningún enlace o adjunto sospechoso para descargar. Y no brindar ninguna información personal, datos bancarios o contraseñas.
Si crees que has sido víctima de algún engaño de este tipo, la OSI recomienda lo siguiente:
- Escanear el dispositivo con un antivirus actualizado.
- Eliminar cualquier archivo que hayamos descargado desde el SMS o un enlace adjunto en el mensaje.
- Cambiar nuestras contraseñas de las cuentas implicadas, que hayan podido ser vulneradas.
- Activar la verificación en dos pasos en las cuentas que lo permitan para evitar la suplantación de identidad.
- Contactar con el banco para cancelar cualquier pago no autorizado o nuestra tarjeta, en caso necesario.
- Bloquear los mensajes de texto que consideremos spam.
