Seguridad

Cuidado con el timo del SMS

La astucia de los ciberestafadores parece no tener límites en su afán de intentar robar dinero a miles de personas utilizando el tirón de las nuevas tecnologías. Últimamente se están centrando en los SMS, enviando estos mensajes fraudulentos con el único objetivo de obtener información personal y bancaria y desplumar a los que caigan en sus redes.

Es el conocido como smishing es una variante del phising, la estafa que tiene como objetivo obtener a través de internet datos privados de los usuarios, especialmente para acceder a sus cuentas o datos bancarios. El Instituto Nacional de Ciberseguridad de España (INCIBE), y el Banco de España, han alertado de un notable aumento de los ataques de smishing contra los clientes bancarios. Te explicamos qué es y algunas recomendaciones de seguridad básicas para protegerte.

En las últimas semanas se ha extendido una nueva forma de timo que se lleva a cabo a través del teléfono móvil.

Este procedimiento se ejecuta por medio del virus TrojanSMS, también denominado SMSFactory. Es un troyano cuya función es la de desviar dinero, por medio del envío de SMS premium y llamadas a números de teléfono con tarifa especial. Este mensaje cuenta con un número de cuenta bancaria que servirá para identificar quién recibe el dinero por los textos enviados.

Este virus se estaría propagando principalmente a través de publicidad maliciosa, alertas y notificaciones automáticas. Este contenido es visible en páginas web dedicadas a trucos de juegos, sitios de transmisión de vídeos gratis o contenido para adultos. Pero debes de estar atento porque también pueden aparecer en plataformas y espacios más habituales para la mayoría de los usuarios.

Estafa bancaria

Una de las variantes más sofisticadas de este tipo de estafas es el SMS Spoofing, en el cual los delincuentes, para seguir su propósito, utilizará la suplantación de identidad de personas y organizaciones. De forma que en el caso de que quieran obtener la información bancaria de sus víctimas para cometer una estafa o fraude, los atacantes enviarán mensajes SMS haciéndose pasar por la entidad bancaria de la víctima para obtener las credenciales de acceso a su banca electrónica (usuario y contraseña) y el código de un solo uso que se envía al móvil de usuario para confirmar el acceso.

Los atacantes envían mensajes a través de la mensajería instantánea o por SMS en los que se hacen pasar por una organización o entidad de confianza de sus víctimas y comunican, por ejemplo, un cargo no autorizado, una operación fraudulenta, un acceso no permitido o, incluso, la necesidad de una autentificación o mejoras de seguridad. El objetivo de estos mensajes es alarmar al usuario para que realice alguna acción sin pensarlo demasiado.

Los SMS son el método habitual para engañar en nuestros días y BBVA ya avisa de un nuevo malware

La popular entidad bancaria española, BBVA, ha emitido un comunicado, en fechas recientes, donde explica cómo se está llevando a cabo una campaña de SMS que busca suplantar al propio banco y que utiliza malware para infectar los dispositivos móviles. En esta ocasión, y también a través de SMS, el mensaje no pide que los usuarios se descarguen una aplicación para proteger sus terminales, sino que invitan a instalar una app de autenticación en dos pasos, a través de un enlace ubicado en el mismo mensaje de texto.

La aplicación, una vez instalada, pedirá permiso al usuario para poder entrar en las diversas fuentes de información del teléfono móvil en cuestión y, de esta manera, poder realizar un seguimiento de la actividad y robar los datos que sean de su interés. Las excusas utilizadas para forzar al usuario a instalar la app van desde que la cuenta bancaria ha sido bloqueada o suspendida, hasta que se ha producido un intento de acceso sospechoso.

Evidentemente, ningún banco te va a pedir que instales una aplicación en tu teléfono y te diríamos que cualquier tipo de enlace contenido en un SMS sea evitado a toda costa. BBVA añade algunos consejos para estar prevenido, entre los que se encontrarían la descarga de apps desde tiendas oficiales o páginas web del desarrollador, desconfiar de mensajes alarmantesevitar responderlos, únicamente navegar por páginas seguras, que comienzan por https y que tienen un candado cerrado en la barra de navegación. Mejor pecar de exceso de precaución, que de exceso de confianza, al menos cuando a utilizar tu teléfono móvil se trata.

Cómo evitar el temido smishing

Ante el elevado número de ataques de smishing SMS Spoofing, lo más recomendable es adoptar estos consejos:

  • Mantén una actitud de reserva hacia mensajes o SMS inesperados en los que se soliciten datos sensibles, acceder a un enlace web o utilizar un código QR. En caso de duda, es preferible contactar con la entidad o empresa remitente por los canales oficiales para asegurarnos que no se trata de una actividad fraudulenta.
  • No proporciones nunca información de acceso. No facilites la clave de usuario y contraseña, código de acceso que llega por SMS al teléfono móvil para confirmar operaciones o gestiones, ni cualquier otra información personal o bancaria.
  • No cliques en los links a páginas web, o utilices códigos QR que te envían a través de mensajería instantánea o SMS, al igual que en correos electrónicos. Ve directamente a través del navegador o un buscador a la página a la que deseas ir y no a través de links sospechosos o códigos QR.
  • Activa las alertas en la aplicación de banca electrónica para detectar accesos u operaciones no autorizadas.
  • En caso de duda, contacta con la entidad bancaria u organización a través de los canales de comunicación oficiales (teléfono de atención al cliente, contacto a través de la página web o correo electrónico).
  • Denuncia a las autoridades si has sido objeto de una ciberestafa o crees que estás a punto de serlo.

2 Comentarios

  • Aitor

    Cuidado con recibir un mensaje SMS que indica que estás suscrito a Yorgames, una plataforma de descarga de videojuegos, y que tendrás que pagar 50 euros a la semana. Es posible que entres en pánico al no saber de qué se trata y quieras darte de baja pinchando en el enlace que proporciona el mensaje. Se trata de una nueva estafa. Al pinchar en el link se redirigirá a una web fraudulenta en la que, en teoría, se debería cancelar la suscripción. Sin embargo, se lleva al usuario al sistema de pago de aplicaciones de su móvil por lo que, pensando que está cancelando la suscripción, en realidad estará realizando el pago de los 50 euros.

  • Maria

    ¿Te ha llamado Microsoft? Así es la estafa del supuesto servicio técnico que roba tus datos.
    Microsoft no se pone en contacto con los usuarios, a excepción de que se haya solicitado.
    Los ciberdelincuentes han vuelto con la famosa estafa del servicio técnico de Microsoft, teniendo en cuenta que los ciberdelincuentes se hacen pasar por supuestos empleados de la compañía para ofrecer ayudas falsas.

    El primer paso consiste en lograr el contacto telefónico de las víctimas para obtener acceso a sus datos personales y dispositivos mediante los siguientes métodos:

    Los usuarios reciben una llamada en sus móviles y al contestarla, los estafadores se identifican como un servicio técnico para informar que los dispositivos están en riesgo y necesitan acciones.
    Aparece un error en la web mediante una ventana emergente que facilita un falso número de teléfono para solucionar el problema.

    Para otorgarle una mayor credibilidad, los ciberdelincuentes se dirigen a los afectados por sus nombres o con alguna información sobre el equipo. A partir de ese punto, proporcionan una serie de instrucciones e indican una serie de datos técnicos para tratar un error muy serio que requiere unas medidas urgentes.

    Los ciberdelincuentes solicitan la instalación de un programa de acceso remoto, asimismo, dichas herramientas permiten el control de un ordenador o un móvil a distancia porque son útiles para acceder remotamente a otros equipos a través de Internet.

    También pueden ser utilizados para conceder a una persona de confianza el acceso a los dispositivos, sin embargo, se permite a un tercero el control sobre el producto y el acceso a la información.

    ¿Has caído en la estafa? Sigue estos pasos

    Desde Microsoft han informado de este fraude para detectar y reportar la información. Estas son las medidas que recomienda:

    Desconectar el equipo afectado de la red para cortar el acceso remoto de los estafadores.
    Desinstalar cualquier programa instalado por indicación de los supuestos técnicos.
    Analizar el equipo afectado con una herramienta antivirus completa para eliminar cualquier posible malware y aplicar actualizaciones de seguridad.
    Cambiar las contraseñas que estén almacenadas en el equipo.
    En caso de que se haya realizado algún pago, es recomendable cancelar la tarjeta con la que se ha realizado o contactar con el banco para solicitar la anulación de la transacción.

    Las posibles consecuencias

    Los datos almacenados quedan expuestos y accesibles.
    Los atacantes puede acceder a las contraseñas de las redes sociales o correo electrónico para realizar acciones sin un consentimiento previo.
    La propia integridad del equipo puede verse deteriorada
    Los usuarios sufren daños económicos sin los ciberdelincuentes ejecutan cargos no autorizados.