Las estafas por SMS existen prácticamente desde que los propios SMS existen. De hecho, son de los timos más frecuentes que nos llegan a través del móvil. Y aunque muchas veces son fáciles de detectar, los hay que pueden llegar a confundir incluso a los más precavidos. Con todo lo que eso entraña.
Este tipo de mensajes pueden poner en serio peligro nuestro móvil, nuestros datos y/o nuestro dinero. Y encontrarnos con estafas muy trabajadas no hace otra cosa que activar nuestras alarmas. Y es por ello por lo que, en este post, trataremos de ofrecerte una guía de detección, prevención y actuación ante estos timos, de forma que puedas seguir a salvo y saber cómo actuar en caso de que ya hayas caído en la trampa.
Smishing, la práctica más habitual para estafar
Para entender que es el smishing debemos decir primero que se trata de una variante del phishing. Este último término es el que se utiliza para referirse a estafas relacionadas con la suplantación de identidad, ya sea de una persona o empresa. Se dice que una estafa es del tipo smishing cuando la suplantación de identidad se lleva a cabo por SMS.
Hay otro término que se suma a esto y es el de SMS spoofing. Este es un añadido que está muy al alza en este tipo de estafas y que se denomina así cuando los cibercriminales logran burlar al sistema de detección de mensajes del móvil y logra que este los reconozca con el nombre real de la entidad a la que están usurpando.
Ejemplo de un SMS de estafa del tipo smishing
Por ver un ejemplo claro de una estafa de smishing que haya utilizado spoofing sirve perfectamente la anterior imagen. En ella vemos que los estafadores están tratando de usurpar la identidad del Banco Santander y para ello han logrado incluso que el móvil los reconozca como "Santander" y puede que incluso los almacene en el mismo hilo de otros mensajes que sí provienen realmente de este banco.
Entidades que tratan de usurpar los estafadores
La usurpación de identidad de personas es más propia en estafas de WhatsApp y similares. Sin embargo, vía SMS suele ser habitual que los estafadores se hagan pasar por servicios de mensajería y entidades bancarias. Correos, DHL, FedEx, Banco Santander, CaixaBank e incluso la Agencia Tributaria. Y esto son solo algunos de los muchos ejemplos.
Ejemplo de estafa usurpando la identidad de Correos
Y, como decíamos anteriormente, estos suelen usar mecanismos que les permiten que los sistemas operativos (iOS y Android) los detecten como auténticos y ni siquiera sean sospechosos de SPAM. Por eso, es normal que estos se encuentren hilados en la misma conversación de mensajes que se reciben de esa entidad o que aparezcan en solitario, pero con el nombre real. Insistimos en que tener el nombre de la empresa como remitente no es sinónimo de fiabilidad.
Contenido del mensaje que se recibe
Un ejemplo más de estafa haciendose pasar por CaixaBank
El contenido exacto del mensaje varía cada vez, pero el contexto suele ser el mismo en cada estafa. Son mensajes que requieren de una acción por parte de la víctima. Por ejemplo, encontramos aquellos que se hacen pasar por una entidad bancaria informando de que ha habido un cargo no autorizado con la tarjeta, que la cuenta está en peligro por un acceso no permitido o similar.
En las variantes de servicios de mensajería encontramos llamadas a la acción ante el pago de un supuesto envío o un cargo de aduanas. Lo que tienen en común tanto estos como los otros mensajes es que incluyen un enlace externo que es el anzuelo de todo. Este enlace debería llevar a la web oficial de la empresa que envía el SMS, pero no es así.
Cuando se accede a esa URL suele haber un clon de la página real de la entidad, en la cual se solicitan datos personales o de pago. En el caso de las entidades bancarias, es frecuente encontrarse con una supuesta interfaz de acceso a la cuenta, la cual ha sido creada por los estafadores y es completamente ajena al banco.
A priori, y pese a que no sea recomendable abrir enlaces recibidos en un SMS, abrir ese enlace no debería suponer ningún tipo de peligro si luego no se rellena ningún tipo de formulario, ni se dan permisos o se descarga nada. Y es que este último es otro anzuelo común, el de pedirte descargar una aplicación supuestamente de confianza y que en su interior incluye un malware.
Cuál es el objetivo de los estafadores
En resumidas cuentas, el objetivo principal de los estafadores es el de robar tu dinero, ya sea de forma directa o indirecta. Para ello usan mecanismos como los citados anteriormente. En el caso de las estafas relacionadas con bancos, en la mayoría de ocasiones tratan de hacerse con tus credenciales de acceso al banco a través de la web que enlazan en el mensaje.
La víctima introduce sus datos de acceso en esa web pensando que se trata de un acceso de confianza, pero realmente cuando los introduce no accederá a nada y probablemente le aparezca un mensaje de error. Sin embargo, los estafadores tendrán ya a buen recaudo su usuario y contraseña.
En otros casos, como los de servicios de mensajería, se pide directamente realizar un pago, ya sea por bizum, transferencia o a través de una tarjeta de crédito o débito. En este último caso, puede que sea con un importe pequeño y pueda servir a los estafadores para ir agrandando su botín, pero en otras es la llave de acceso para futuros cargos de cantidades mucho más elevadas.
La técnica más sofisticada es la de usar una aplicación que incluya un troyano, lo cual es habitual en móviles Android. Este malware, sea más o menos fácil de detectar, puede lograr acceder a permisos de alto rango en el dispositivo y con ello ser capaz de acceder al control total del dispositivo, incluyendo los mensajes recibidos y con ello burlar el sistema de verificación por SMS de muchos bancos.
También pueden darse estafas en las que únicamente se quieran datos personales de la víctima. Aunque este tipo de estafas no son masivas, sino que son dirigidos a determinadas personas con relevancia suficiente como para que sus datos tengan un alto valor. Véase por ejemplo el spyware Pegasus, aunque en este caso no está tan claro que entrase siempre vía SMS.
Cómo evitar caer en la trampa de estos SMS
Además de ser recomendable tener ya algún filtro anti SPAM para los SMS, hay una serie de recomendaciones a tener en cuenta a la hora de enfrentarse a este tipo de mensajes:
- No te fíes nunca de mensajes de desconocidos por mucho que pueda tener apariencia de ser de confianza.
- No abras los enlaces a páginas web que vayan adjuntos a un mensaje.
- Recuerda que el banco nunca te pedirá datos en un SMS o una llamada, ya sea en respuesta a ese mensaje o llamada o accediendo a su web. De igual forma, tampoco empresas de mensajería y similares suelen usar estos métodos para solicitar algún dato.
- No trates de responder a ese SMS o llamar, ya que la trampa también podría estar ahí y tener algún tipo de tarificación especial que eleve considerablemente el coste de tu mensaje o llamada.
- Contacta siempre con la entidad que te ha enviado el mensaje en caso de dudas, pero no a través de las vías que pone en ese SMS, sino a través de un contacto de confianza que la propia empresa disponga.
- Reporta el mensaje como SPAM y comunícaselo a la entidad a la que hayan tratado de usurpar, así como a la Guardia Civil o Policía.
- Bloquea el número que te envió el mensaje, de forma que también te asegures de que no vuelven a contactarte por esta vía.
Qué hacer si has caído en una estafa por SMS
Como norma principal ante cualquier situación en la que seas víctima de una estafa, lo primero que debes hacer es denunciar ante la policía lo sucedido. De igual forma, es aconsejable que reportes este suceso a la entidad usurpada para que también puedan unirse a la investigación.
Evidentemente, reportarlo ante el banco es clave, haya sido la estafa con ellos o no. Y es que, si los estafadores han accedido a tu cuenta bancaria o tienen datos de tu tarjeta, deberás anular cualquier posible movimiento no autorizado y anular las tarjetas de débito y/o crédito para que no puedan realizar más cobros.
En el caso de que la estafa haya tenido que ver con alguna aplicación que descargases, es aconsejable que restaures por completo el móvil y lo dejes en estado de fábrica. Esta es la forma más eficaz de asegurarte de que eliminas todos los archivos infectados. Eso sí, antes de ello trata de hacer capturas de pantalla y recopilar toda la información clave que pueda solicitarte la policía para acometer la investigación.
En Xataka Móvil | Timos en llamadas telefónicas: las estafas más extendidas y cómo evitar ser víctima de ellas
