Recibir un SMS es algo bastante inusual en los tiempos que corren. Normalmente llegan a la bandeja de entrada de nuestros móviles para avisarnos de que la compra online se ha efectuado correctamente, de que un pedido se encuentra en camino o, simplemente, nuestro banco nos envía un mensaje con información de interés.
No obstante, debemos estar en alerta con cada uno de los SMS que recibimos, puesto que podrían ser fraudulentos. Se trata del llamado smishing, una estafa que cada vez es más habitual. En Onda Cero te contamos en qué consiste y cómo puedes evitarlo.
¿Qué es el smishing?
Los engaños a los consumidores siempre han estado presentes. Antes se hacían a través de llamadas telefónicas, pero ahora, con Internet y las nuevas tecnologías, surgen otras técnicas.
Desde el banco ING definen el smishing de la siguiente manera: “Es el uso de métodos de engaño a través de SMS o mensajes de texto del móvil para conseguir información personal del usuario y hacer un uso fraudulento de ella”. Por lo tanto, la principal diferencia entre el smishing y el phishing, que también es muy común, es que la primera se realiza mediante mensajes cortos por el móvil y la segunda se lleva a cabo a través del correo electrónico.
Una campaña que suplantaba la identidad a Correos, ejemplo de smishing
Un ejemplo de smishing es el que tuvo lugar a comienzos de año. En enero, la Policía Nacional alertó de una campaña de smishing que suplantaba la identidad a Correos. El ciberataque se realizó a través de un mensaje de texto corto que la víctima recibía en su dispositivo. El SMS incluía un enlace para instalar una aplicación apk con apariencia de ser la entidad oficial. Sin embargo, cuando el destinario aceptaba la descarga, se instalaba la apk y un software de acceso remoto que solicitaba permisos para recibir, leer y modificar SMS.
La Policía inició una investigación y detectaron que el programa tenía un “tremendo potencial dañino” con capacidad para acceder a la agenda y les otorgaba a los atacantes un virtual control total sobre el dispositivo infectado. Fueron muchas las personas que se vieron afectadas.
¿Cómo se puede detectar el smishing o la estafa a través de SMS fraudulentos?
Hay varios aspectos a tener en cuenta para detectar si uno está siendo víctima de smishing. Por lo general, estos mensajes contienen un texto breve en el que se solicita información personal del destinario, como las claves de acceso a la banca electrónica o los datos de las tarjetas de crédito. A veces también pueden ir acompañados de archivos adjuntos o enlaces.
El Banco de España ofrece una serie de recomendaciones para prevenir este tipo de actuaciones delictivas:
- Normalmente, tu banco nunca te pedirá por correo electrónico ni por SMS que facilites tus claves de acceso a la banca electrónica o los datos de tus tarjetas de crédito.
- Si recibes un SMS con archivos adjuntos, desconfía. Con gran probabilidad este archivo oculta un malware, es decir, un programa malicioso que contiene un virus informático.
- Es importante verificar la dirección del remitente. No obstante, hay que tener en cuenta que los ciberdelincuentes consiguen ocultar la dirección real detrás de una falsa.
- Se debe desconfiar de los mensajes que contengan enlaces. Es necesario revisarlos antes de clicar. Se aconseja pasar el curso sobre el hipertexto para ver el enlace verdadero. Con este método, lo que hacen es dirigir a la víctima a una página falsa que simula ser la web legítima para robar sus credenciales de acceso.
- Ejemplos de mensajes de los que no hay que fiarse: “Felicidades, has sido premiado con un coche. Para obtener el premio envía un SMS a este número”, “Estimado cliente, su tarjeta visa ha sido bloqueada por su seguridad. Para desbloquearla visite esta web y complete los pasos”.
¿Qué hacer en caso de detectar la estafa por SMS?
Desde la institución dicen que, una vez haya sido detectado el smishing, se recomienda remitirlo al banco para que esté al tanto e informe al resto de clientes. Asimismo, piden que el SMS se marque como “no deseado”, se bloquee al remitente y, si fuese posible, se denuncie la suplantación de identidad.
¿Qué debo hacer si he sido víctima de smishing?
Si a pesar de haber tomado todas las precauciones se ha sido víctima de smishing, se debe seguir una serie de pasos.
En primer lugar, hay que ponerse en contacto con la entidad financiera para que bloquee la operación. Seguidamente, se tiene que modificar la contraseña de acceso a la banca electrónica y de cualquier otra información que se haya facilitado.
Por último, pero no menos importante, se debe denunciar el fraude a la Policía Nacional, la Guardia Civil o en los Juzgados. Es imprescindible que se aporte el mensaje y las pruebas pertinentes para que se pueda poner en marcha una investigación.