Cada vez tenemos más armas para tratar de ganar la batalla al fraude que llega a través de nuestro teléfono. Pero no son suficientes. Tanto los operadores como los fabricantes de móviles están lanzando sus propias soluciones, aunque el foco está puesto en el paquete de medidas impulsadas por el Gobierno de España, que pasa principalmente por la implementación de un prefijo 400 para las llamadas y del registro de alias para los SMS.

En el caso de los mensajes de texto, la medida debía entrar en vigor el próximo mes de junio, pero desde el Ministerio para la Transformación Digital y de la Función Pública se ha solicitado una prórroga.

El mecanismo para bloquear el fraude. Recientemente, en la Orden TDF/149/2025, de 12 de febrero, por la que se establecen medidas para combatir las estafas de suplantación de identidad a través de llamadas telefónicas y mensajes de texto fraudulentos, incluía en sus artículos 6, 7 y 8 las particularidades relativas a los SMS/MMS/RCS, como la necesidad de un registro de alias o el bloqueo de mensajes que cuya numeración “no haya sido atribuida, asignada o adjudicada”.

En Xataka Móvil

Cómo evitar las estafas por SMS: guía para detectarlas y no caer en una

Para ello, la Comisión Nacional de los Mercados y la Competencia ha puesto en marcha el Registro de Alias, una base de datos para identificar a los remitentes que utilizan nombres comerciales o marcas en sus mensajes.

El deber de los operadores. Como explica la CNMC, “solo se entregarán a los usuarios españoles los mensajes con alias previamente inscritos en el Registro y asociados a entidades legítimas.

Así, si una empresa quiere enviar mensajes con el nombre de su marca como remitente, deberá registrarlo previamente; de lo contrario, el mensaje tendrá que ser bloqueado”. Este bloqueo corre a cargo de los operadores y debería ponerse en marcha a partir del 7 de junio de 2026.

El punto muerto. Pero, en la práctica, se ha comprobado que esta medida no es tan fácil de ejecutar de una manera efectiva. Por ello, el Ministerio ha emitido un Proyecto de Orden por el que se modifica la Orden TDF/149/2025.

En este documento se explica que “durante el transcurso del periodo de pruebas habilitado al efecto se ha podido constatar de manera fehaciente que el proceso de carga masiva de alias en uso reviste una extraordinaria complejidad no solo desde el punto de vista técnico y operativo, sino también en atención a la concurrencia de una pluralidad de sujetos afectados, cuyas actuaciones han de ser objeto de adecuada articulación y coordinación, en un contexto en el que la inscripción de los alias se encuentra supeditada, entre otros extremos, a la acreditación de la vinculación legítima entre el alias y su titular, así como al cumplimiento de los formatos, requisitos y reglas establecidos en la citada Circular”.

La consecuencia de esto es que se necesita más tiempo, “con la finalidad de posibilitar la correcta culminación del proceso de registro de los alias en uso o futuros y de asegurar la plena operatividad del sistema en su conjunto, se considera necesario proceder a la ampliación del periodo inicialmente previsto”.

100 días de prórroga. Esta iniciativa también está avalada por la patronal del sector digital y tecnológico en España, DigitalES, desde la cual se ha pedido al Ministerio para la Transformación Digital y de la Función Pública “un periodo de transición antes de que entren en vigor los bloqueos automáticos de mensajes SMS, MMS y RCS cuyos remitentes no estén correctamente identificados”, según explican desde EuropaPress, con el fin de falsos bloqueos a las comunicaciones de empresas y administraciones que sí sean legítimas.

De hecho, ya se ha demostrado anteriormente que bloquear los SMS fraudulentos no es la solución, ya que con ello puedes capar también los reales. De momento, la nueva fecha propuesta está fijada para el 15 de septiembre de 2026, momento en el que veremos si la medida puede seguir adelante o se necesita más tiempo.

Imagen de portada | Amparo Babiloni para Xataka (con edición de Gemini)

En Xataka Móvil | Si no es la más cruel de todas las estafas telefónicas, se acerca: se hacen pasar por médicos de un hospital de Madrid

En Xataka Móvil | Pensé que bloqueaba las llamadas Spam y resulta que estaba pidiendo que me llamaran. La trampa se llama consentimiento previo

Las llamadas y mensajes no deseados son un verdadero problema que el Gobierno de España lleva tres años intentando corregir. La medida más reciente pretende marcar el punto de control a quienes se sobrepasan: la CNMC prevé un registro nacional de alias para combatir las estafas. De esta manera podremos saber quién nos envió el mensaje porque aparecerá su nombre en el remitente.

El registro de alias. La circular, recién aprobada por la Comisión Nacional de los Mercados y la Competencia, quiere ser la solución a las estafas que nos llegan por SMS. Seguro que habrás recibido más de una: el banco diciéndote que has tenido un gasto imprevisto o el paquete que no pudieron entregarte por correos. Una vez esté activa la lista, sabrás si el SMS venía realmente del banco o de correos: si no aparece su nombre, será falso.

La circular planea la creación del registro, no que ya esté hecho y en marcha: para eso hacen falta unos meses. Dicho registro se basa en la medida de regulación contra las estafas mediante llamadas Y SMS. Los operadores tendrán que consultar el registro antes de entregar los SMS a sus clientes y, de no constar en la lista, anular dicha entrega.

¿Seguro que ese alias es auténtico? No sé, Rick...

Cómo funciona. La base de datos registrará los alias alfanuméricos de las empresas (los nombres que aparecen como remitente: "Correos", "BBVA"…). Para el registro, dichas empresas tendrán que acreditar ante la CNMC que son las titulares del Alias y del resto de datos que se corresponden con el remitente de los SMS. Una vez dados de alta en la lista, las operadoras tendrán la obligación de realizar el siguiente proceso:

• Antes de entregarle un SMS al usuario, deben contrastar los datos de la empresa con el registro de alias.
• De cuadrar los datos, el SMS llega al móvil del usuario junto con el nombre estipulado para la empresa. Correos, por ejemplo.
• Si los datos del remitente no se corresponden con los de la lista, el SMS no se entrega.
• En el caso de que el mensaje de texto tenga un alias no inscrito, carezca de él o provenga de una empresa extranjera sin domicilio en España, el mensaje no se entregará.

Al tener un filtro de remitentes autorizados, que deberán consultar todos los operadores, la teoría dicta que las estafas por SMS deberían reducirse. Desaparecer seguramente no, ya que seguro que los estafadores encuentran algún agujero por el que colarse. Como por ejemplo…

En Xataka Móvil

Hay una buena explicación si no te gusta recibir llamadas telefónicas: puedes tener miedo a perder el control, pero también a las estafas

Las estafas de WhatsApp se escapan del registro. Los alias son una gran manera de comprobar la autenticidad de los números de teléfono, pero solo funcionará en los SMS: los mensajes de WhatsApp se escapan de este filtro. Y es un problema: si esta vía es habitual para los intentos de estafa, seguramente se multiplique cuando la barrera de los SMS se levante.

El 6 de junio es el límite. La CNMC ha especificado el calendario de aplicación para el registro de alias: las empresas pueden ir ya cumplimentando sus datos. Y los proveedores de mensajería pueden ir haciendo pruebas sin estar obligados a cumplir con la circular. Hasta el 6 de junio de 2026, último día para hacer los deberes. El 7 de junio de 2026 entra en vigor el filtro de SMS mediante el registro de alias.

Imagen de portada | Iván Linares editada con ChatGPT

En Xataka Móvil | Quedarse sin cobertura puede ser síntoma de algo mucho peor: una estafa por SIM Swapping

Hay pocas cosas más desesperantes que pedir un código de verificación, quedarte esperando y que no aparezca nada. Lo fácil es culpar a la operadora, y a veces con razón: una incidencia de red, una SIM mal provisionada o un problema con los mensajes cortos puede impedir que el SMS llegue. Pero en un móvil también hay varios puntos que conviene revisar antes de dar por hecho que todo viene de fuera.

La parte buena es que casi siempre hay varias pistas claras. Si no entran llamadas o mensajes, conviene revisar bloqueos, restablecer ajustes de red y comprobar la SIM.

Lo primero es revisar bloqueos y filtros

Un móvil puede dejar de recibir llamadas o mensajes si el número aparece en las listas de bloqueo. Eso no solo afecta a contactos normales: también puede afectar a remitentes automáticos o mensajes que el sistema haya tratado como no deseados. En la app Teléfono y en la de mensajes conviene revisar números bloqueados, spam y mensajes bloqueados antes de seguir tocando nada más.

Esto encaja especialmente bien con los SMS de verificación, porque muchos llegan desde números cortos o remitentes que no guardas en agenda. Si uno de esos canales quedó bloqueado alguna vez, el código puede no aparecer aunque la línea funcione con normalidad.

La app de mensajes y sus permisos también pueden impedir el proceso

Si se usa un Galaxy, Samsung Messages puede configurarse como app SMS predeterminada y, si no está instalada o activa, el usuario puede recurrir a otra app compatible. El detalle importante aquí no es solo qué aplicación usas, sino cuál está marcada como predeterminada y si tiene permisos correctos.

Cuando hay problemas para enviar o recibir mensajes, forzar el cierre de la app, borrar caché y reiniciar el teléfono es lo más adecuado. Es una de las comprobaciones oficiales que la propia marca pone encima de la mesa cuando algo falla en mensajería.

Por eso, si usas una app distinta a la habitual o has cambiado entre Google Messages y Samsung Messages, merece la pena hacer una prueba simple: dejar temporalmente una sola app como predeterminada, abrirla, conceder permisos si los pide y volver a solicitar el código.

Aquí hay además un detalle que a veces pasa desapercibido cuando usas Google Messages: el sistema puede intentar gestionar parte de la mensajería como Chat/RCS y, si la conexión de datos no va fina o hay algún cruce raro entre SMS y chat, el código puede tardar o dar problemas.

No suele ser lo más común, pero merece la pena comprobar que la app tiene buena conexión y no se está liando entre el canal tradicional del SMS y las funciones de chat.

Si nada de esto funciona, la SIM y la operadora siguen siendo sospechosos habituales

En caso de que todo falle, sí debemos considerar a la parte externa como responsable. Es recomendable comprobar que la SIM esté bien insertada y activa, y también restablecer los ajustes de red si los mensajes no entran. En móviles con doble tarjeta, la SIM elegida por defecto para mensajes puede influir en la recepción de verificaciones, algo especialmente relevante si alternas líneas personales y de trabajo.

También puedes probar algo muy simple: activar y desactivar el modo avión durante unos segundos. Ese gesto obliga al móvil a soltar y recuperar la conexión con la red, y a veces basta para que la línea vuelva a enganchar bien con la antena y entren por fin esos SMS que se habían quedado en el limbo.

Si el problema aparece solo con códigos de verificación y no con SMS normales, la operadora también puede tener parte de culpa. Hay casos en los que los mensajes de shortcode, servicios automáticos o ciertos remitentes internacionales no entran correctamente, y ahí ya toca hablar con la compañía para confirmar que la línea no tenga restricciones. Esta parte no depende solo del móvil.

La ruta más sensata en un móvil para comprobar todos los posibles culpables es: revisar números y mensajes bloqueados, confirmar qué app lleva los SMS por defecto, limpiar caché de esa app, reiniciar el teléfono, comprobar la SIM y, si sigue fallando, restablecer ajustes de red. Si aun así los SMS de verificación no llegan, entonces sí tiene bastante sentido mirar a la operadora o al propio servicio que está enviando el código.

En Xataka Móvil

El Galaxy S26 Ultra no es tan continuista como pensábamos. Su teleobjetivo estrena un sistema de lentes que no esperábamos todavía

En resumen, lo que puedes probar para recuperar esos SMS de verificación que no llegan

• Modo avión: actívalo y desactívalo para forzar que el móvil se reconecte a la red.
• Filtro de spam: revisa mensajes bloqueados o no deseados en la app de teléfono y en la de mensajes.
• App por defecto: confirma que solo una app gestione los SMS y que tenga permisos correctos.
• RCS o Chat: si usas Google Messages, comprueba que no haya líos entre el chat y el SMS tradicional.
• Limpieza: borra la caché de la app de mensajes y vuelve a probar.
• SIM y red: revisa la SIM, reinicia el móvil y restablece los ajustes de red si nada funciona.

No garantiza arreglar todos los casos, pero sí te evita culpar al sitio equivocado. Porque a veces el culpable es la red, sí, pero otras veces está dentro del propio móvil y escondido en algo tan poco épico como una app de mensajes cambiada o un remitente bloqueado hace meses.

Imágenes | Manuel Naranjo, Xataka

 En Xataka Basics | RCS vs WhatsApp, Telegram y otras apps: ventajas, desventajas y por qué ya no necesitas apps de mensajería

En Xataka Móvil | Si tu móvil ya no recibe actualizaciones, no lo tires: cinco recomendaciones para mantener tu teléfono lo más seguro posible

Telegram es una buena alternativa a WhatsApp, aunque últimamente la app de Meta se está empeñando en añadir funciones sospechosamente parecidas, desde los canales hasta los nombres de usuario que llegarán próximamente, entre otros. Con más de 1.000 millones de usuarios activos al mes, Telegram ya es una de las aplicaciones de mensajería más populares.

Aunque sigue siendo gratis, hace tres años lanzó un modelo de suscripción de pago, Telegram Premium, como “parte de la monetización sostenible de Telegram” y que permite desbloquear funciones exclusivas. El problema es que el carácter voluntario de esta suscripción se puede empezar a diluir si la plataforma toma por costumbre exigir a sus usuarios que pasen por caja para cosas tan simples como recibir el SMS de verificación para iniciar sesión.

Qué está ocurriendo. En algunos países, Telegram está empezando a poner problemas para recibir la verificación por SMS, que es la llave que permite que iniciemos sesión en una cuenta de esta aplicación.

En Xataka Móvil

Cambiar WhatsApp y Telegram por alternativas europeas: cuáles son las mejores y qué ventajas tienen

En principio, esto aplicaría solo al momento de registrar una nueva cuenta o en caso de no tener la sesión iniciada en otros dispositivos. Pero no siempre es así: sin cumplir ninguno de estos dos requisitos, lo he vivido en mis propias carnes al tratar de iniciar sesión en mi cuenta de Telegram.

Una semana de Premium para poder iniciar sesión. En mi caso, me apareció el siguiente mensaje: “las empresas de telecomunicaciones de tu país cobran precios muy altos a Telegram por los SMS”. Y como Telegram necesita enviar un SMS para verificar el número de teléfono, te solicita que te suscribas durante una semana a Telegram Premium para cubrir el coste de este mensaje. El precio es de 1,39 euros por este período.

Mi caso no es el único y, lo que es peor, algunos usuarios de Reddit han explicado que tras pagar seguían sin poder iniciar sesión.

La solución: los clientes de terceros. Aunque tener la sesión de Telegram iniciada en otros dispositivos se supone que debería servir para saltarnos la obligación de verificar el número por SMS, en mi caso ni siquiera esto me eximió. 

De momento, una forma de recuperar tu cuenta de Telegram sin pasar por caja es iniciar sesión a través de un cliente como Forkgram, descargable desde terceros como Github o F-Droid, precisamente porque la verificación por SMS solo aplica a las aplicaciones oficiales.

Imagen de portada | Generada con Gemini

En Xataka Móvil | Telegram se pega un tiro en el pie y cede los datos de más de 20.000 usuarios a las autoridades. Su privacidad vuelve a estar en entredicho

En Xataka Móvil | Las llamadas de WhatsApp y Telegram tienen un problema en Rusia: Moscú las está bloqueando a 100 millones de usuarios

La suplantación de identidad o phising está a la orden del día y nos llega desde diferentes vías y emulando ser actores relevantes en nuestro día a día: nuestro banco, Correos, la comercializadora de energía y hasta la todopoderosa Google. Escapar del pishing no es tan fácil como antes: no basta con fijarse en el texto y posibles erratas, imágenes pixeladas o enlaces cuyo texto evidencia que estamos ante alguien que dice ser que no es.

De hecho, el phising es cada vez más sofisticado, tanto que hasta pueden hacer dudar a un experto en tecnología como Andrés Torrubia, ingeniero y emprendedor especializado en Deep Learning, cofundador de Medbravo y alguien recurrente cuando toca hablar de Inteligencia Artificial en Xataka: de lo que podrá hacer la IA en una década, de cómo empezar con la IA o qué PC montarse para trabajar con IA.

Este mensaje parece de Google porque está en Google

Andrés Torrubia contaba hace escasos días que había recibido un mensaje supuestamente de Google que parecía tan real que le saltaron todas las alarmas. El SMS en cuestión decía en inglés que "Alguien está intentando recuperar tu cuenta de Google. ¿No eres tú? Toca en [enlace] para rechazar esta petición y revisar tu cuenta".

El mensaje en cuestión llegaba en el mismo hilo de otros mensajes de Google, por lo que no despertaba sospechas. El enlace también parecía real (de hecho, lo era), así que pinchó en esa URL corta que le llevó a una página de inicio de sesión de Google. Torrubia lleva a cabo una buena práctica de seguridad: analizar de arriba a abajo esa web, constatando que tiene el candado, por lo que es una conexión segura y de Google.

Como explica el ingeniero, estamos ante una suplantación de identidad avanzada: los atacantes han usado el Google Site Builder para hacer una pagina de login albergada en Google Sites para que parezca de Google tanto a nivel de diseño como de dominio, por lo que a simple vista podría colar. Asimismo, cuenta que la actualizan cada minuto, probablemente para esquivar que analizadores automáticos detecten que su misión es capturar contraseñas.

Andrés Torrubia da la mejor medida de seguridad posible para evitar este tipo de estafas, una buena práctica a aplicar siempre que nos llegue cualquier mensaje que nos invite a introducir una contraseña: "Nunca uses el mismo canal con el que te avisan de algo de seguridad para hacer cualquier proceso de seguridad". O lo que es lo mismo, que si el banco te avisa de cualquier intento de operación y te adjunta un enlace para verificar, no lo uses: ve a la app de tu banco y prueba. O en este caso, ve a la app de Google o a tu cuenta de Gmail y accede en busca de esa información o de la opción de cambiar la contraseña. De forma independiente, nunca siguiendo enlaces.

En la propia publicación del experto en tecnología alguien menciona también una nueva función de implementación este 2025 en el Plan contra las estafas telefónicas y por SMS del Gobierno del estado: los SMS fraudulentos ya no podrán llegar a la misma carpeta o hilo que uno oficial, ya que habrá una base de datos con nombres o códigos alfanuméricos verificados, para que no se hagan pasar por un banco, compañía o administración.

En Xataka Móvil | Mucho cuidado con los archivos SVG adjuntos en correos: cada vez se usan más para estafar y hay una razón

En Xataka Móvil | Si tu móvil ya no recibe actualizaciones, no lo tires: cinco recomendaciones para mantener tu teléfono lo más seguro posible

Portada | Important icons created by nangicon - Flaticon

Imagina que recibes un SMS que parece ser de tu banco y, sin saber que se trata de una estafa, facilitas las claves de acceso a tu banca online. Ocurrió en Palencia y la víctima perdió un total de 59.974 euros después de que los estafadores realizasen una serie de transferencias no autorizadas tras conseguir sus claves. El dinero fue repartido entre diferentes cuentas bancarias y posteriormente se retiraba en metálico o se enviaba a otras cuentas.

El caso ha dado lugar a una compleja investigación por parte de la Guardia Civil de Palencia, que en el marco de la conocida como ‘Operación Crosslink’ ha investigado a cinco personas como presuntas autoras de delitos de estafa a través del método smishing, blanqueo de capitales y pertenencia a grupo criminal. Hasta el momento, la víctima solo ha logrado recuperar unos 14.000 euros de los casi 60.000 que le fueron sustraídos de su cuenta bancaria.

La víctima facilitó las claves de acceso a su banca online tras recibir un SMS fraudulento

En un comunicado publicado en su cuenta oficial de X (anteriormente conocida como Twitter), la Guardia Civil de Palencia explica que la investigación dio lugar a la identificación de cinco personas residentes en Ceuta, Córdoba, Granada, León y Lugo que abrían cuentas bancarias a su nombre en diferentes entidades y las utilizaban para recibir el dinero sustraído. Posteriormente lo transferían a otras cuentas (algunas de ellas en España y otras en Chipre, Francia y Reino Unido) para complicar el rastreo del dinero.

En Xataka Móvil

Si te llaman de tu compañía de internet y te dicen que van a cambiarte el router, desconfía. Es un engaño y puede salirte muy caro

Lo cierto es que el smishing es una técnica muy utilizada por los estafadores para intentar engañar a sus víctimas y consiste en el envío de SMS fraudulentos que suplantan la identidad de empresas y bancos. Uno de los objetivos más habituales de los estafadores es hacerse con nuestras credenciales bancarias, algo que a veces consiguen generando sensación de urgencia. Por ejemplo, indicando que se ha detectado una transferencia sospechosa y pidiéndonos acceder a nuestra cuenta para bloquearla de inmediato, algo que puede hacer que muchos bajen la guardia y actúen por impulso.

La Guardia Civil de Palencia ha confirmado que los resultados de la investigación se han puesto en manos del Juzgado de Instrucción nº 4 de Palencia, que será el encargado de continuar con el caso. Además, ha aprovechado para compartir una serie de recomendaciones para evitar caer en este tipo de estafas. Lo primero que recomiendan es no pulsar enlaces incluidos en los SMS que parezcan proceder de un banco. El motivo es que las entidades financieras nunca solicitan datos personales ni bancarios de este modo. Además, insisten que en nunca deberíamos facilitar claves de acceso, contraseñas, códigos PIN o de verificación.

En caso de ser víctimas de una estafa de este estilo, es imprescindible ponernos en contacto lo antes posible con nuestra entidad bancaria, de forma que puedan bloquear la tarjeta y tomar las medidas pertinentes cuanto antes. Por supuesto, también debemos denunciar la situación ante las autoridades. Llegados a este punto, es interesante recordar que hace unas semanas, el Tribunal Supremo se ponía del lado de las estafas bancarias y ordenaba a Ibercaja la devolución de un total de 56.474,63 euros a un cliente que fue víctima de una estafa de SIM Swapping.

Imagen de portada | Ibrahim Boran (Unsplash)

En Xataka Móvil | Llevo años usando una llave de seguridad para reforzar la seguridad de mis cuentas y evitar el phishing

En Xataka Móvil |  El diccionario de las estafas telefónicas: qué son Phishing, Smishing, Vishing y Spoofing

Ante los constantes intentos de fraude y habituales filtraciones de datos, toda precaución para reforzar la seguridad de nuestras cuentas es poca. Además de evitar el uso de contraseñas simples y de asegurarnos de no utilizar la misma contraseña en diferentes plataformas, la verificación en dos pasos o 2FA es un método de seguridad básico que conviene habilitar siempre que esté disponible. Haciéndolo evitaremos que terceras personas accedan a nuestra cuenta, incluso aunque hayan averiguado la contraseña.

Hay muchos métodos de verificación en dos pasos, aunque uno de los más habituales es el uso de un código enviado por SMS. Al introducir correctamente nuestro nombre de usuario y contraseña en una plataforma en particular, el sistema nos envía un código para confirmar que realmente somos nosotros. Parece simple, pero ayuda enormemente a reducir el acceso no autorizado a las cuentas. Aunque proteger tu cuenta con códigos recibidos por SMS es mejor que nada, lo cierto es que no es la mejor opción.

El uso de SMS como sistema de autenticación tiene sus riesgos

El motivo principal por el que el uso de mensajes de texto como sistema de verificación en dos pasos es una opción poco recomendable es el ‘SIM swapping’, un tipo de estafa consistente en la duplicación fraudulenta de la tarjeta SIM de la víctima. En caso de que alguien logre hacerse con un duplicado de nuestra SIM y averigüe nuestras contraseñas recibirá los mensajes de verificación sin mayores problemas, por lo que podrá acceder a todas las cuentas en las que hayamos habilitado este sistema.

En Xataka Móvil

Parece un simple cable, pero es una sofisticada herramienta con la que cualquiera puede colarse en tu móvil

A pesar de que pueda parecer algo descabellado, la técnica se ha utilizado para suplantar la identidad de personalidades como Jack Dorsey, conocido por ser el cofundador de Twitter: en 2019, Dorsey perdía temporalmente el acceso a su cuenta de Twitter debido a un ataque de ‘SIM swapping’ y los atacantes publicaron varios mensajes en su nombre durante el tiempo que tuvieron acceso a su cuenta. En cualquier caso, no hace falta ser un personaje público para ser víctima del ‘SIM swapping’: también en 2019, un usuario de la red social contó que unos estafadores le vaciaron la cuenta bancaria tras robarle su línea de móvil.

Teniendo en cuenta todo lo anterior, lo mejor es optar por un método de verificación más seguro, como las aplicaciones que generan códigos de verificación (también conocidas como TOTP). A día de hoy tenemos un gran número de alternativas, siendo Google Authenticator una de las más populares. Mi favorita es Bitwarden Authenticator, una opción gratuita y de código abierto que está disponible tanto en iOS como en Android. Independientemente de la app por la que nos decantemos, será necesario introducir el código generado por la app para iniciar sesión en los sitios web en los que estamos registrados, para lo que se requiere acceso físico a nuestro móvil.

Otra alternativa son las conocidas como llaves de seguridad, un pequeño dispositivo físico que tendremos que conectar al ordenador (o usarlo mediante NFC en el móvil) para confirmar nuestra identidad. Una de las ventajas principales de las llaves de seguridad frente a las apps de códigos es su capacidad de verificar la identidad del dominio al que intentamos acceder, lo que puede protegernos incluso de casos de phishing. Por destacar una posible pega, puede que nos quedemos sin iniciar sesión si no tenemos la llave encima y no hemos configurado un método alternativo.

A pesar de que hay alternativas más seguras que los mensajes de texto como método de verificación en dos pasos, esto no significa que debas dejar de utilizar este sistema. Si la plataforma en cuestión no ofrece otra alternativa, la verificación por SMS es mejor que nada y conviene utilizarla, ya que puede protegerte de accesos no autorizados. Aun así, es preferible decantarnos por alternativas como las mencionadas si existe la posibilidad y nos interesa reforzar nuestra seguridad.

Imagen de portada | Sergio Asenjo (Xataka Móvil)

En Xataka Móvil | Si has perdido el móvil, esto es lo que ofrecen Google, Samsung y Apple para recuperarlo

En Xataka Móvil | Qué pasa si no tienes el PIN activo en tu SIM y por qué es peligroso andar sin PIN por la vida

El spoofing telefónico consiste en la suplantación del número de teléfono de empresas y bancos, una técnica que hace posible que los estafadores se pongan en contacto con sus víctimas haciéndose pasar por un empleado del banco. Incluso en caso de duda, la persona que recibe la llamada puede bajar la guardia al comprobar que el número desde el que le están llamando corresponde a su banco, algo que ha llevado a víctimas de este tipo de estafas a perder todos sus ahorros.

Si algo está claro es que el problema de las estafas telefónicas y de los SMS fraudulentos es una realidad, lo que nos obliga a estar constantemente bloqueando los números de los que proceden estas llamadas y mensajes. Al hacerlo evitaremos seguir recibiendo llamadas y mensajes de dichos números, pero ante casos de spoofing telefónico hay un problema: también dejaremos de recibir las comunicaciones reales procedentes del banco.

La suplantación de identidad telefónica es un problema real que conlleva grandes riesgos

Le ha ocurrido a un usuario de X, que cuenta que a principios de año recibió un mensaje de texto en el que se indicaba que su cuenta del BBVA había sido bloqueada. Como viene siendo habitual en este tipo de estafas, el mensaje incluía un enlace que lleva a las víctimas a una página fraudulenta. Consciente de que se trataba de un engaño (ni siquiera era cliente del BBVA), decidió bloquear el número del remitente para evitar recibir más mensajes.

En Xataka Móvil

La ofensiva del Gobierno contra el spam ya da resultados: los operadores están bloqueando 235.600 llamadas todos los días

La sorpresa llegó meses después, cuando decidió abrirse una cuenta en el BBVA. Como parte del proceso tenía que recibir un SMS, pero el mensaje de texto no llegaba. Fue entonces cuando recordó que meses atrás recibió un mensaje fraudulento suplantando la identidad del banco y bloqueó el número de teléfono del que procedía. Dado que los estafadores estaban usando el número del banco, al bloquearlo estaba impidiendo que el BBVA pudiese ponerse en contacto con él, ya fuese por mensaje de texto o llamada telefónica.

Lo cierto es que el problema de las estafas es tan grande que el Gobierno lleva un tiempo trabajando para erradicarlas: a finales del año pasado supimos que estaban ultimando una serie de medidas para ponerles las cosas muy complicadas a los estafadores y en febrero de este año se aprobó la orden que contiene estas medidas. Algunas entraron en vigor en marzo, mientras que otras se pondrán en marcha este mismo fin de semana. La última llegará dentro de un año, cuando se habilitará una base de datos con los alias que empresas y entidades quieran usar en sus SMS.

Si en algún momento recibes una llamada de alguien que asegura ser empleado del banco, lo mejor es cortar la comunicación y ponernos nosotros mismos en contacto con el banco buscando el número en internet, además de tener en cuenta que nuestra entidad bancaria nunca nos pedirá ninguna dató confidencial (como claves bancarias o contraseñas). Si has recibido un SMS sospechoso, es importante evitar pulsar en ningún enlace. Hace unas semanas, el Tribunal Supremo se ponía del lado de las víctimas estafas al considerar que los bancos deben hacerse responsables del dinero perdido en caso de estafa.

Imagen de portada | Brett Jordan (Unsplash)

En Xataka Móvil | Llevo años usando una llave de seguridad para reforzar la seguridad de mis cuentas y evitar el phishing

En Xataka Móvil | Hay una oleada de estafas telefónicas que parece no terminar nunca. Estas son las más comunes y así puedes protegerte

Hace un par de meses mi pareja sufrió el hackeo de su correo electrónico y entonces descubrimos en nuestras carnes la importancia de la autenticación de doble factor. Hubo cuentas que fueron atacadas en un abrir y cerrar de ojos, pero otras que tenían autenticación de doble factor aguantaron más.

Sí, la estrategia de claves de mi chica era manifiestamente mejorable (en casa del herrero, cuchillo de palo), pero lo de que no bastara con la contraseña y tener que recurrir a un SMS o a un código recibido al correo electrónico supone una capa extra de seguridad que puede ser efectivo en hackeos y en filtraciones masivas de datos.

Eso sí, la autenticación de dos pasos no es infalible: con phising, malware o algo como interceptar esos códigos puede burlarse. Y es más fácil y común de lo que  parece. En este artículo exploramos las cinco principales vías para atacar con éxito la autenticación de doble factor. Así que la próxima vez que pase (si es que pasa), estaremos más preparadas.

Interceptando los SMS

Para esta amenaza hay dos elementos clave: el centro de servicio de mensajes cortos que actúa como intermediario entre el emisor y el receptor y que los SMS no están cifrados.

La ruta de los SMS atraviesa siempre este centro de servicio, de modo que al enviar un SMS este pasa por el centro y luego este lo reenvía al destino. Así, aunque el receptor no esté disponible temporalmente, lo recibirá tarde o temprano ya que el centro lo retiene hasta que pueda ejecutarse la entrega. Eso sí, este centro es susceptible de ataques.

Como además los SMS no tienen encriptación, cualquiera que llegue hasta ellos puede leerlos. Y es más, si llega atacar el centro y tiene acceso a los mensajes, también puede hasta modificarlos para poner en su lugar un enlace de phising.

¿Cómo minimizar este riesgo? Habida cuenta que no tenemos potestad ni en el centro de mensajes ni en los SMS, lo mejor es elegir otro método de autenticación que no sean los SMS, ya que es el método más inseguro. Si no es posible, mejor leer con atención el contenido y nunca pulsar sobre enlaces que lleguen desde números desconocidos.

Con phising

El phising hace referencia a la suplantación de identidad para ofrecernos enlaces que parecen buenos pero no lo son. Y aunque existen apps como navegadores o de mensajería que intentan detectarlos, alguno puede escaparse. Si te llega un mensaje y tocas sobre en enlace y en el sitio de destino introduces tu cuenta de usuario y contraseña, ya has caído.

¿Incluso con una cuenta con autenticación de doble factor? Sí. Si el atacante tiene tus datos y los usa después para intentar entrar en tu cuenta y el servicio en cuestión tiene autenticación 2FA, entonces te llegará un mensaje. Si introduces el código en el sitio falso, el atacante también lo recibirá y podrá usarlo para acceder a tu información o cambiar tu contraseña.

Hay servicios, apps y webs que cuentan con una segunda capa de seguridad que al confirmar ciertos cambios importantes requieren de nueva autenticación, pero son minoría. Si no es el caso, nuestra recomendación es extremar precauciones con esos mensajes y a dónde te llevan. Antes de introducir las credenciales, presta atención a todo: cómo está escrito, el número de origen, si funcionan el resto de enlaces... además, siempre te queda una alternativa: en lugar de añadir tus credenciales desde el enlace, sáltate ese paso y acude a la web escribiéndola por tu cuenta o acudiendo a la app en cuestión.

A través de otra cuenta

Me explico: para evitarnos crear otras contraseñas, hay servicios que ofrecen la posibilidad de crear cuentas a partir de otras, por ejemplo valiéndonos de nuestras cuentas de Google, Apple o Facebook. Este sistema se llama 'OAuth' y aunque es cómodo, añade nuevos riesgos. El primero de todos es que si alguien ataca con éxito esa cuenta madre, las que estén vinculadas correrán peligro.

Pero hay más: los atacantes pueden suplantar el proceso de consentimiento de OAuth para saltarse la autenticación de doble factor. La idea es la siguiente: te llega un mensaje de phising como el anterior induciéndote a iniciar sesión con tu otra cuenta. Justo después recibirás una notificación legítima de esa cuenta madre solicitando los permisos. Si dices que sí, darás acceso a la información esquivando la autenticación de doble factor.

Como en el caso anterior, la mejor forma de protegerse es prestando atención al mensaje de phising recibido: el número de procedencia, cómo es el enlace (qué pone y lo largo que es), la forma en la que está escrito y si hay errores ortográficos o de gramática. Y si notas que además pide más acceso y a más cosas, sospecha.

Ojo al bombardeo de notificaciones push

Hay apps que emplean notificaciones push para autenticarse, algo bastante común si intentas iniciar sesión desde otro dispositivo (por ejemplo, en tu cuenta de iCloud). Si alguien tiene tu correo y tu contraseña puede usar el simple pero efectivo truco de bombardearte con estas solicitudes a ver si hay suerte y apruebas alguna por error.

Esquivar esta bala es tan "sencillo" como aprobar solo las que reconozcas, evitar las demás y si lo detectas, cambiar cuanto antes contraseña por otra mejor para reforzar tu cuenta. Ojo porque en este proceso tendrás que entrar, lo que implica aprobar una solicitud legítima que puede perderse entre las falsas.

Las cookies del inicio de sesión son susceptibles de robo

Cada vez que inicias sesión en una web, esta genera y guarda un cookie de inicio de sesión para que sigas dentro en ese momento y próximamente, incluso aunque salgas de ella. La clave está en qué tiempo de caducidad tienen.

Si alguien roba tu cookie de inicio de sesión entonces podrá llegar a tu cuenta sin tener que introducir tus credenciales ni necesitar la autenticación. Además lo hará sin que te des cuenta. Puede que te resulte más incómodo, pero la forma de esquivar esta amenaza pasa por cerrar sesión de forma manual, algo especialmente recomendable en aquellos servicios que almacenen información sensible.

En Xataka Móvil | Este es el manual anti-hackeo de la NSA para proteger nuestros móviles y conexión a Internet

Portada | Alejandro Alcolea

Mientras contamos los días para la entrada en vigor de las nuevas medidas del Gobierno para luchar contra las llamadas comerciales y las estafas, los mensajes fraudulentos que circulan vía SMS siguen siendo una realidad. Hay algunos especialmente peligrosos, ya que suplantan la identidad de entidades oficiales e incluso de bancos. Una de las campañas más persistentes es la de mensajes falsos de la DGT, que después de varios años sigue llegando a nuestros móviles.

Si a lo largo de los últimos días has recibido una notificación fraudulenta que supuestamente procede de la DGT, no estás solo: desde el Instituto Nacional de Ciberseguridad alertan del envío de notificaciones falsas suplantando la identidad de la DGT. Los emails y SMS que están circulando nos informan de una supuesta multa de tráfico que en realidad no existe con el objetivo de robar nuestros datos bancarios.

Mucho cuidado si recibes un mensaje de este estilo: se trata de una estafa

Como viene siendo habitual en este tipo de engaños, el modus operandi de los estafadores consiste en generar sensación de urgencia para evitar que nos lo pensemos mucho y caigamos en la trampa. Para conseguirlo, las notificaciones falsas que están circulando por correo electrónico y mensaje de texto nos instan a realizar el pago de la sanción lo antes posible y evitar así un recargo.

En Xataka Móvil

El colmo del phishing es suplantar a la Policía. Cuidado con los correos que te citan para ir a comisaria

Según la información facilitada por el INCIBE, la notificación que recibimos por correo electrónico hace referencia a una sanción por estacionamiento ilegal en una zona regulada. El importe a pagar es de 35 euros. En cuando al mensaje que llega por mensaje de texto, nos notifica de una multa de 50 euros por exceso de velocidad. Ambas notificaciones incluyen un enlace para el pago de la supuesta sanción.

Imagen | INCIBE

Al pulsar en el enlace acabaremos en una página fraudulenta que imita la apariencia de la web oficial de la DGT, llegando incluso a utilizar el logo del organismo. Una vez en la web, la víctima introduce sus datos personales y el número de la tarjeta con la que quiere pagar la sanción, incluyendo la fecha de caducidad y el CVC. Y no solo eso, ya que también solicitan el PIN de la tarjeta, un dato que jamás debemos facilitar. Todo estos datos quedan automáticamente en manos de los estafadores.

Si recibes un mensaje de este estilo, lo mejor que puedes hacer es borrarlo y bloquear al remitente. En caso de haber facilitado tus datos personales y bancarios, es importante ponerte en contacto con tu entidad bancaria lo antes posible y denunciar la situación ante las autoridades pertinentes. 

Recuerda que la DGT no envía notificaciones de multas por mensajes de texto o por correo electrónico, sino que lo hace por correo postal. Alternativamente, existe la posibilidad de habilitar las notificaciones electrónicas a través de la ‘Dirección Electrónica Vial’. Si recibes un aviso de una multa de tráfico por SMS o email, se trata de un fraude.

Imagen de portada | Imagen de Julian Hochgesang (Unsplash)

En Xataka Móvil | Los casos de phishing por email y SMS son cada vez más difíciles de detectar. Así puedes comprobar si un enlace es peligroso

En Xataka Móvil | Hay una oleada de estafas telefónicas que parece no terminar nunca. Estas son las más comunes y así puedes protegerte