Recibir un intento de estafa por SMS es tan habitual que casi ni le prestamos atención, lo hemos llegado a normalizar. Otra vez ese paquete que están intentando entregar o los 500 euros que cobraron por error: tras el primer conato de alarma caemos en que no es más que otro intento de phishing. Por desgracia los SMS están dejando paso a otra gran vía para las estafas: WhatsApp. Y de aquí no es tan sencillo escaparse.
Recibir un SMS del banco y que en realidad sea una tapadera para robarnos las credenciales de acceso ya no nos parece extraño, la suplantación de los remitentes en los mensajes de texto, o «SMS Spoofing» (todo suena más molón en inglés), está a la orden del día. De hecho, nuestra recomendación es que pongáis en cuarentena cada SMS que recibáis y no le hagáis caso incluso aunque estéis esperando realmente un paquete. Las comunicaciones en el móvil son cada vez menos confiables.
La mejor recomendación: poner en duda cualquier mensaje, sea el que sea y venga de quien venga
Los SMS dominaban la mensajería cuando WhatsApp no existía
Las estafas con el smartphone como hilo conductor están a la orden del día, esto es una realidad. Desde el típico SMS de Correos que hemos recibido todos, y que nos insta a pagar por un retraso en la entrega o similar, al mensaje que se cuela entre la bandeja de entrada alertando de que nos han cobrado un dinero que no esperábamos; todo con la idea de que accedamos rápidamente a un portal falso del banco para así robarnos los datos de acceso.
Una vez el SMS pasó de ser un medio de comunicación personal a convertirse en una herramienta de doble autorización los estafadores pusieron todo su empeño en colar por los mensajes de texto sus caballos de Troya. Y son peligrosamente realistas, nosotros mismos hemos estado a punto de picar más de una vez; con familiares que no tuvieron tanta suerte y acabaron estafados.
«¿Estás esperando un paquete? Me ha llegado un aviso». Ese SMS inocente encierra una estrategia de ataque apoyada en diversos factores.
- Suplantación del número de teléfono original. Mediante el SMS Spoofing los estafadores pueden camuflarse de empresa oficial colando su gancho incluso en la misma cadena de mensajes auténticos. Esto añade una peligrosa verosimilitud a la estafa.
- Psicología aplicada al mensaje. Los estafadores suelen apoyarse en la urgencia y en la desesperación para atacar la parte más vulnerable de sus víctimas. Un cargo extraño en la cuenta que hay que cancelar cuanto antes, una tarjeta que se dio de baja, un paquete que se ha perdido... La idea es pillar desprevenidos con un mensaje que inste a una rápida actuación.
- URL y página de aterrizaje idénticas a la original. Estamos viendo auténticas viguerías en las páginas a las que direccionan los SMS de estafa: resulta muy difícil distinguir una web falsa de la real. Incluso en la dirección web, a menudo la URL es casi exacta. Hay que fijarse muy bien.
- Ingeniería social para añadir verosimilitud al engaño. Conocer a la víctima ayuda en gran medida a que la estafa sea más efectiva. Saber qué banco utiliza, si está esperando un paquete, quiénes son los contactos cercanos o algo que se está convirtiendo en habitual: los SMS de WhatsApp con el código para iniciar sesión. Mucho cuidado con estos códigos cuando llegan sin haberlos solicitado.
Robar una cuenta de WhatsApp pidiendo el código de autenticación es una estrategia que está logrando el «hackeo» de una notable cantidad de cuentas; fraude que se aprovecha después para pedir dinero a los contactos aprovechando la citada ingeniería social, por ejemplo. De hecho, WhatsApp es tan omnipresente que el siguiente paso para allanar las estafas es trasladarlas desde el campo de los SMS al de WhatsApp.
Los «hackeos» de WhatsApp y las estafas que llegan después
Si hemos aceptado que los SMS son una fuente inagotable de timos, y tras la recomendación de no fiarse jamás de un mensaje de texto si no llega segundos después de que lo hayamos solicitado (y ni aun así, mejor comprobarlo dos veces), toca poner la lupa en los chats de WhatsApp: hay que sospechar de todo lo que nos llegue por esa vía, incluso si la conversación es con alguien conocido. Ante la más mínima duda, desconfiemos.
La ingeniería social está haciendo especial mella en WhatsApp, es la vía perfecta para centralizar los ataques porque es una herramienta muy extendida (llega a casi el 90 % de españoles). Los estafadores aprovechan esta aplicación para contactar con las personas cercanas a quienes roban las cuentas. Y reciclan la misma estrategia que la utilizada en los SMS: apelan a la urgencia y a la cercanía sentimental para amplificar el ataque.
Es relativamente habitual el timo de quien se hace pasar por otra persona y logra que sus amigos o familiares le envíen dinero por una supuesta situación de urgencia. O la suplantación de una empresa a través de WhatsApp Business. Incluso existen casos de phishing dentro de las empresas con credenciales robadas después de que los estafadores se hicieran pasar por altos cargos de la compañía.
En una aplicación de mensajería que usan más de 2.000 millones de personas resulta lógico que las estafas e intentos de fraude vayan escalando y reinventándose. Y contra ellas sólo tenemos un arma: el sentido común. Poner en duda todo lo que nos llegue por WhatsApp es una garantía de seguridad, incluso aunque el mensaje provenga de nuestra madre.
Imagen de portada | Midjourney editada
En Xataka Móvil | Los 29 mejores trucos para dominar al máximo WhatsApp
Ver 8 comentarios