¿Qué es el 'SMS Spoofing' y qué podemos hacer para no caer en la trampa?

¿Qué es el 'SMS Spoofing' y qué podemos hacer para no caer en la trampa?
¿Qué es el 'SMS Spoofing' y qué podemos hacer para no caer en la trampa?
Cedida

Probablemente no hayas oído hablar del 'SMS Spoofing' pero sí de los mensajes que envían los ciberdelincuentes haciéndose pasar por tu banco para obtener tus credenciales y demás datos bancarios.

En esta ocasión, el SMS no sólo te pide que hagas una operación con tu banco sino que se agrupa en la cadena de SMS con el resto de las notificaciones de autorizaciones de pago. Esto se llama 'SMS spoofing' (suplantación de SMS, en su traducción del inglés). Mediante técnicas de ingeniería social, envían un mensaje que recibimos desde el número habitual del que recibimos las comunicaciones bancarias, por ejemplo los pagos de Bizum, lo que lo dota de fiabilidad, motivo por el que debemos tener especial cuidado.

El SMS de BBVA que recibes en la cadena de comunicaciones de tu banco

“BBVA: tu cuenta ha sido bloqueada.para desbloquear tu cuenta actualiza tus datos http://bbvaa.me/?pwd=bbva”. Este es el SMS por el que nos habéis preguntado en los últimos días a través de nuestro chatbot de WhatsApp (+34 644 22 93 19) y que habéis recibido desde el propio número de BBVA que os pide la confirmación de pagos.

Pero ojo, si recibes un link por SMS, aunque sea de tu banco, desconfía porque, como indica el Instituto Nacional de Ciberseguridad (INCIBE), “nunca debes acceder” a tu cuenta desde estos enlaces, “ya que puede llevar a webs suplantadas”. Si tienes alguna duda, recomiendan entrar “directamente a través del área de clientes en la web legítima de tu banco”.

Timo BBVA
Timo BBVA
Cedida

¿Cómo envían este SMS fraudulento a nombre de BBVA?

El Instituto Nacional de Ciberseguridad (INCIBE) señala a Maldita.es que el SMS no se envía desde la cuenta del banco ni desde el número del mismo, sino que “los actores maliciosos dan de alta un 'alias' para el envío de SMS idéntico al alias que utiliza la entidad bancaria, con lo que consiguen que las aplicaciones de mensajería de los teléfonos agrupen el mensaje en la misma conversación legítima, pareciendo que es de la entidad original”. Afirman que no es lo habitual pero que ya se ha detectado el mismo modus operandi en otras campañas.

La utilización de estos alias que hemos mencionado, según el instituto, es “una funcionalidad dentro de los servicios de SMS por la cual se puede sustituir el identificador numérico o número de teléfono del remitente por un identificador alfabético de hasta 11 caracteres”.

Sobre la regulación de esta funcionalidad para evitar este tipo de suplantaciones, indican que “depende de las comprobaciones que realicen los proveedores de internet y de la normativa de cada país, por lo que no se puede descartar que los SMS se estén enviando desde algún país extranjero donde los actores hayan conseguido dar de alta ese alias para su uso fraudulento”.

Con el INCIBE coincide el maldito y experto en ciberseguridad, Jorge Louzao: “si buscas en internet 'SMS remitente personalizado', encontrarás que hay decenas de empresas de envío de mensajes que ofrecen ese servicio”, aunque, según el experto, podrían haberlo “enviado desde algún servicio extranjero para dificultar su seguimiento en caso de que alguien denuncie”.

El también maldito, licenciado en telecomunicaciones y experto en ciberseguridad, Iván Forcada, nos explica que “el uso de SMS es considerado inseguro desde hace años. Casi siempre se habla de la inseguridad de usarlos para recibir el segundo factor de autenticación pero lo que no se menciona tanto es la facilidad para suplantar al remitente”. Esto se denomina 'SMS Spoofing'.

Teniendo en cuenta lo mencionado, Forcada concluye que hay que seguir educando en ciberseguridad y tener en mente cuando recibamos un SMS que “son inseguros, por lo que no deberíamos utilizarlos para nada importante”, aunque es consciente de su uso por parte de los bancos los cuales, en su opinión, “deberían dejar de utilizar”. Por último, recomienda desconfiar de un SMS “que te pida hacer algo”, especialmente “si hay errores gramaticales, aunque sean pequeños”.

El mismo modus operandi ya se empleó para suplantar a Correos

Como mencionaba el INCIBE, esta práctica de suplantar a una entidad a través de un SMS con su nombre ya ha ocurrido anteriormente.

En 2019, Correos ya alertó a través de su perfil de Twitter de un mensaje que se enviaba en su nombre alegando que un paquete no se había podido entregar debido a que no se habían pagado las tasas.

En Maldita.es, además, ya os hablamos de este tipo de mensaje, también en 2019. Una usuaria de Maldita.es recibió este SMS y pinchó puesto que justo estaba esperando un paquete, y facilitó sus datos personales y bancarios para solucionar el pago de los "aranceles aduaneros". Cuando aceptó, pensando que quedaría todo solucionado, fue redirigida a otra página en la que se le facilitaba un nombre de usuario, una contraseña y su dirección de correo electrónico.

Timo Correos
Timo Correos
Cedida

Fue en ese paso cuando se dio cuenta de que había sido víctima de phishing, puesto que en la letra pequeña leyó que le habían apuntado en una "membresía platinum que incluye una prueba gratuita de nueve días para People Unit In Love".

Después recibió otro SMS en el que pedían que confirmara sus credenciales puesto que "de lo contrario, su paquete será devuelto al remitente".

Ella no accedió a ello y canceló su tarjeta de crédito, pero vio que ya habían retenido 48 euros de su cuenta y que a su correo electrónico había llegado un mail confirmando su suscripción.

Tras responder diciendo que no les había autorizado a realizar dicho pago y solicitando un reembolso, las personas detrás de este caso de phishing devolvieron esos 48€, por lo que si tú también has sido víctima de este u otro similar, puedes mandarles un correo diciendo que quieres cancelar la suscripción.

Ante la duda, haz las operaciones desde la aplicación o página oficial de una entidad y no desde el link que recibes con el SMS

Según el experto en ciberseguridad Jorge Louzao, “los bancos nunca te envían enlaces, como mucho un aviso para que entres en tu cuenta pero sin darte un enlace precisamente de manera preventiva para ayudar a identificar mensajes fraudulentos como ese”. De hecho, entidades como el BBVA o CaixaBank indican en sus respectivas páginas web que “nunca” te solicitarán “tu información bancaria por correo electrónico o SMS”.

Por tanto, y para evitar caer en uno de estos mensajes fraudulentos, lo que recomienda el INCIBE es que “nunca” accedas a tu cuenta desde estos enlaces, aunque te lo envíen desde el número del banco o desde otra entidad de confianza, “ya que puede llevar a webs suplantadas”.

Como alternativa, hazlo a través de la página o aplicación oficial de estas empresas y, ante la duda, ponte en contacto con ellas.

Consejos para evitar ser víctima de phishing

Los ciberdelincuentes redirigen a los usuarios a páginas web falsas.
Los ciberdelincuentes redirigen a los usuarios a páginas web falsas.
Freepik

No podemos hacer que dejen de llegarte estos casos, pero sí tenemos una serie de recomendaciones que puedes seguir cuando te vuelva a llegar una supuesta alerta o sorteo que use el nombre de tu empresa de confianza.

1. Fíjate bien en el link que te envían. Si te llega un mensaje, presta atención al link que te envían y si lleva el nombre de la empresa.

2. Si una institución supuestamente se está poniendo en contacto contigo, pero el SMS no está dirigido a tu nombre, sospecha.

3. Observa si el SMS contiene faltas de ortografía o frases sin sentido.

4. Contrasta con las fuentes antes de dar tus datos. Estos mensajes transmiten urgencia para que no te dé tiempo a reaccionar. Recuerda que puedes preguntar a la propia compañía, a la Policía o a la Guardia Civil o a nosotros a través de nuestro servicio de WhatsApp.

5. Mantén actualizado el sistema operativo y el antivirus. Si te llega un SMS sospechoso, puedes contactar con la Oficina de Seguridad del Internauta (OSI) del Instituto Nacional de Ciberseguridad (INCIBE) o también utilizar su línea de ayuda en ciberseguridad. También es recomendable denunciarlo a la Policía Nacional o ante la Guardia Civil.

Y recuerda que puedes enviarnos un email a timo@maldita.es para contarnos tu caso, si has sido víctima de este o cualquier otro fraude.

Mostrar comentarios

Códigos Descuento