Muchos somos los que hemos hecho recientemente compras online. Navidad, reyes, rebajas… nuestra bandeja de entrada del correo electrónico echa humo (actualización del estado de tu pedido, tu pedido está en camino, tu pedido ha sido entregado…) y las notificaciones y SMS del móvil no deja de sonar (compra con su tarjeta por importe X, te entregaremos tu compra, tu pedido se ha entregado...). Son unos meses de muchísima actividad y compras por Internet.
Pero entre todos los SMS hay uno que llama la atención; a pesar de que el móvil lo detecta o lo alerta como SPAM (término general para mencionar a las comunicaciones no solicitadas), aparentemente viene del “Servicio Correos” (no tenemos por qué conocer qué empresas de paquetería utilizan las tiendas para enviar sus pedidos), el texto tiene cierto sentido (sobre todo si se han hecho compras en un conocido market de bajo coste) y el enlace que incluye es https…. ¡tiene que ser real
Desafortunadamente, aunque lo parecen, esos mensajes no son legítimos, las imágenes mostradas pertenecen a casos reales detectados, donde las personas que lo recibieron llegaron más allá e interactuaron con el SMS. Hicieron clic en el enlace e introdujeron el número completo de su tarjeta bancaria, permitiendo así a los ciberdelincuentes obtener información para enrolar las tarjetas en teléfonos móviles con el objetivo de realizar pagos a través de estos, retirar efectivo de los cajeros con contactless, etc.
Pero en otras ocasiones, los ciberdelincuentes consiguen mantener conversaciones con sus víctimas para persuadirles y convencerles de que accedan al enlace malicioso que se les ha remitido por SMS y comenzar así el fraude:
El enlace malicioso que aparece en la conversación conseguía llevar a la víctima a que introdujera los datos completos de la tarjeta bancaria para, al igual que el caso anterior del servicio de paquetería, enrolar la tarjeta en terminales móviles y realizar operaciones a través de ellos.
Pero las técnicas de fraude pueden ser aún más sofisticadas, es lo que se conoce como SMS Spoofing. Con esta técnica, los ciberdelincuentes consiguen suplantar el SMS ID legítimo, llegando a anidarse entre los mensajes que las entidades financieras envían haciendo creer al cliente que ha sido remitida por ella.
Si la víctima accedía al enlace, se abría una página web falsa, con un aspecto similar a la aplicación de la entidad, instando a que el cliente introdujera el usuario y la contraseña de acceso a la banca electrónica y los datos completos de tarjetas bancaria. Afortunadamente, el equipo de Ciberseguridad del banco intervino y la URL destino quedó rápidamente inactiva.
¿Cómo podemos evitar caer en este tipo de engaños?
- Presta atención a todos los SMS que recibas, y si son catalogados como spam por tu teléfono móvil, probablemente lo sean.
- Vigila la redacción de los SMS. En general, los mensajes fraudulentos contienen faltas de ortografía ya que suelen emplear traductores automáticos para redactar su contenido.
- Sospecha de aquellos SMS que te solicitan algún pago, especialmente si te solicitan datos bancarios, de aquellos que pretenden que realices operaciones con carácter urgente, o alertan de suspensión o bloqueo de tarjetas o cuentas. Y si aún tienes dudas, antes de interactuar, contacta directamente y por otra vía con la empresa u organización que debería haberlo enviado para saber si ha sido remitido por ésta.
- Nunca introduzcas datos personales desde los enlaces que aparecen en los SMS, acude a la fuente oficial y autentícate o proporciónalos allí.
- Mantén tu teléfono móvil actualizado siempre a las últimas versiones de sistema operativo y de parches de seguridad.
- Haz una búsqueda por Internet, si se trata de un SMS falso, no serás el único o la única que lo haya recibido y ya haya sido debidamente alertado. Y siempre, siempre… usa el sentido común.