Estafas por SMS

Estafas por SMS

Pago atrasado de una multa, bonificación por combustible, pegatina de la DGT... Desde hace algún tiempo, las estafas por SMS van en aumento y cada vez son más difíciles de identificar. Estos numerosos intentos de estafa tienen un único objetivo: obtener sus datos personales y bancarios. Repasamos las últimas estafas y ofrecemos consejos para detectarlas y evitarlas.

Si has recibido mensajes de texto sospechosos en tu teléfono móvil, es posible que hayas sido víctima de una estafa de smishing. Esta práctica maliciosa está en aumento en España, y su crecimiento se debe a la disponibilidad de kits y números de teléfono robados que se pueden encontrar fácilmente en sitios de comercio electrónico y otros sitios web.

El smishing, que es una combinación de las palabras "SMS" y "phishing", es una forma de phishing que se lleva a cabo a través de mensajes de texto. Los atacantes envían mensajes de texto falsos que parecen provenir de organizaciones legítimas o marcas reconocidas, como Seur, Coreos o por la tarjeta sanitaria, para engañar a las personas y robar sus datos personales y bancarios.

Una profusión de kits de smishing

Lo alarmante es que estos kits de smishing, que contienen plantillas y herramientas para lanzar campañas maliciosas, están disponibles en mercados como en Telegram o en el DarkWeb a precios sorprendentemente bajos. Por ejemplo, algunos de estos kits se venden por tan solo 35 euros por unidad. Además, existen "num list", listas de números de teléfonos móviles válidos, que se pueden adquirir por solo dos euros por cada 1,000 números. Estas listas a menudo incluyen la mención de Amazon, lo que indica que los números han sido previamente validados en esta conocida plataforma de comercio electrónico.

El mercado de estafas de smishing está altamente profesionalizado, y existe una oferta completa de kits clés en main que facilitan el lanzamiento de ataques. La creciente sofisticación de estas prácticas es un reflejo de su industrialización. Además, se ofrecen programas de formación tanto en línea como presenciales, lo que demuestra que esta actividad ha alcanzado un nivel de organización y especialización preocupante.

Para protegerse de estas estafas, es esencial estar atento a los mensajes de texto sospechosos y no proporcionar información personal o financiera a través de este medio. Además, se recomienda mantener actualizado el software de seguridad en tu teléfono móvil y utilizar aplicaciones de autenticación de doble factor siempre que sea posible.

La Universidad de Comillas se toma muy en serio la seguridad de sus usuarios y se compromete a proporcionar información y concienciación sobre las mejores prácticas para protegerse de este tipo de ataques. Mantén tus dispositivos seguros y no dudes en informar a la Unidad de Ciberseguridad si recibes mensajes sospechosos o crees que podrías ser víctima de una estafa de smishing.

La prevención es la mejor defensa contra las estafas de smishing. Aquí hay algunas recomendaciones para protegerte y mantener tus datos seguros:

  1. Sospecha de mensajes no solicitados: Si recibes un mensaje de texto inesperado que te solicita información personal o financiera, ten cuidado. Los estafadores a menudo intentan crear una sensación de urgencia para presionarte a actuar sin pensar.
  2. Verifica la fuente: Si recibes un mensaje que parece provenir de una organización o marca conocida, verifica la autenticidad contactando directamente a la entidad a través de sus canales oficiales. No hagas clic en enlaces o proporciona información antes de confirmar su veracidad.
  3. No respondas a mensajes sospechosos: Si recibes un mensaje que te parece sospechoso, no respondas ni hagas clic en enlaces adjuntos. Elimina el mensaje y, si es necesario, informa a la Unidad de Ciberseguridad de la Universidad para que puedan tomar medidas.
  4. Mantén tus dispositivos actualizados: Asegúrate de mantener siempre actualizado el software de seguridad en tu teléfono móvil. Las actualizaciones frecuentes pueden incluir mejoras en la protección contra amenazas conocidas.
  5. Utiliza autenticación de doble factor: Cuando sea posible, activa la autenticación de doble factor en tus cuentas y aplicaciones. Esto agrega una capa adicional de seguridad al requerir una segunda forma de verificación para acceder a tu cuenta.
  6. Sé cauteloso con los números desconocidos: Si recibes mensajes de texto de números desconocidos que te solicitan información personal, evita responder. Si la persona o entidad es legítima, seguramente se comunicarán contigo de otras formas más confiables.
  7. No hagas clic en enlaces enviados por SMS: En lugar de hacer clic directamente en los enlaces incluidos en mensajes de texto, es preferible acceder a los sitios web escribiendo la dirección conocida en el navegador o buscándolos en nuestro motor de búsqueda favorito. Los estafadores a menudo utilizan enlaces engañosos que pueden llevarte a páginas web falsas diseñadas para robar información personal o financiera. Al ingresar manualmente la dirección, puedes asegurarte de que estás accediendo al sitio legítimo y proteger tu seguridad en línea.

Reconózcalos y evítelos

El proceso suele ser el mismo, tanto si se trata de recoger un paquete como de cambiar una contraseña. Su objetivo es conseguir que haga clic en un enlace que recuperará sus datos personales. Ahora los estafadores también se hacen pasar por sitios web gubernamentales y suplantan la identidad de determinados servicios públicos.

CORREOS EXPRESS: Su paquete no ha podido ser entregado; no se han cobrado las tasas de aduana (1,98€). Puede pagar en este enlace: [enlace fraudulento]

La página fraudulenta tiene un diseño muy parecido al de la entidad suplantada, Correos o Correos Express en estos casos mencionados, por lo que no hace sospechar al usuario de encontrarse ante una web fraudulenta. La forma de comprobarlo es revisando la URL de la web, que no se trata del dominio legítimo, sino de uno que trata de simular el real utilizando el nombre de la empresa en la URL.

Si el usuario pulsa sobre el botón de ‘PAGAR Y CONTINUAR’ se le solicitan sus datos bancarios (número de tarjeta, fecha de caducidad y CCV), con el fin de hacer uso de ellos, para cometer un fraude financiero.

No se descarta que puedan estar usándose mensajes similares o incluso iguales, pero que estén usando el nombre de otras empresas para ejecutar el engaño.

Aunque la detección de la campaña maliciosa ha sido mediante SMS, tampoco se descarta que se pueda extender mediante otros medios, como el correo electrónico o mensajería instantánea.

Otro ejemplo, tienes las estafas por SMS bancarias utilizando los nombres de bancos conocidos. En ellas, se te dice que tu cuenta de banco ha sido suspendida, y que tienes que seguir una dirección que te adjuntan en el mensaje para confirmar tu identidad. Han creado una alarma, y te han empujado a actuar inmediatamente ofreciéndote una solución rápida.

Cuando entres en la web fraudulenta puedes encontrar diferentes cosas, dependiendo del tipo de ataque al que te enfrentes. En todos los casos, repetimos, la idea es que creas que estás en la web real de la empresa por la que el atacante se hace pasar y que sigas las instrucciones de lo que te dicen que hagas.

En algunos tipos de ataque, lo que se te va a pedir es que inicies sesión para robarte tus datos de acceso al banco o a tu cuenta en ese servicio. Si el ataque es muy sofisticado, puede que incluso el atacante use las credenciales de inmediato y te pida por la web fraudulenta que escribas algún tipo de código de confirmación que te llegue por mensaje.

Pero en otros tipos de ataque, se te puede pedir que te descargues alguna aplicación al móvil, y esto sí puede ser peligroso, porque esta app casi siempre será un virus con el que infectarte. Es lo que pasó hace unos meses con los falsos SMS de Correos que infectaron a muchos móviles con el virus FluBot.

También pueden ser mediante llamadas

También hay otros casos en los que los atacantes vayan más allá del SMS, e intenten estafarte llamándote por teléfono y diciéndote que son de tal empresa, y que necesitan algunos datos tuyos. Por ejemplo, alguien puede llamarte diciéndote que es un empleado de tu banco, y puede decirte tu nombre y tu DNI fingiendo que está comprobando tu identidad.

Como te hemos dicho antes, estos datos pueden haberlos obtenido de filtraciones masivas. Una vez capte tu atención diciéndote el nombre y DNI, ese falso empleado puede decirte cosas como que ha habido un problema, y que van a enviarte un enlace para solucionarlo.

Entonces, ese atacante puede iniciar el proceso de entrar en tu cuenta bancaria con los datos que ya tiene, y cuando el banco te envíe el SMS de confirmación con un código, el atacante te pedirá que se lo des para completar el proceso y entrar en tu cuenta. Ha habido casos en los que se ha hecho haciéndose pasa por un banco, pero esto pueden hacerlo fingiendo ser empleados de cualquier otra empresa en la que tengas una cuenta, incluso en Microsoft o Google.

Qué puede pasar si consiguen engañarte

Si consiguen engañarte con estas estafas, el resultado no será bueno. En el mejor de los casos, puede que ser una estafa sencilla y lo único que hagan sea conseguir más datos personales tuyos a través de algún tipo de formulario. Pero cuidado, porque luego con estos datos, cuando pasen unos meses y te hayas olvidado de todo, puede que intenten una estafa más compleja aprovechando que saben más información sobre ti con la que hacerte creer que son quienes dicen ser.

Pero es más común que lo que busquen es robarte el acceso a tu cuenta bancaria o de ese servicio o empresa por el que se estén haciendo pasar. Son comunes las estafas bancarias con esta metodología, y una vez tengan acceso a tu banco, podrían robarte el acceso y hacer operaciones en tu nombre, como enviar dinero a cuentas pertenecientes a los criminales o a sus cómplices.

También puede haber casos no tan serios, pero donde te roben el acceso a una cuenta importante y luego te pidan un rescate a cambio de poder acceder a ella. O que utilicen esa cuenta para hacerse pasar por ti y estafar a otras personas y amigos tuyos que tienen confianza en ti y en lo que les dices.

Los ataques más sofisticados pueden hacer que te descargues un virus en el móvil, como pasaba con el virus FluBot. En aquel caso, el virus sustituía tu app de SMS para que no detectases lo que hacían en tu nombre, y registraba y recopilaba todo lo que haces y escribes en tu móvil, incluyendo nombres de usuario y contraseñas a sus servicios. Con esto, podían robarte prácticamente cualquier cuenta y cualquier cosa.

Cómo evitar estas estafas

Para evitar estos tipos de estafa por SMS debes tener algunas cosas en mente. Lo primero es que tu banco nunca te va a enviar un SMS con enlaces o pidiéndote tus claves para acceder a la cuenta. Como mucho, te enviarán mensajes informativos, para que luego tú vayas a la página web oficial o a su aplicación móvil a hacer la gestión que sea. Y lo mismo pasa con la mayoría de servicios con información sensible.

Por lo tanto, desconfía siempre automáticamente de cualquier SMS que te pida entrar a un enlace para hacer cualquier tipo de gestión. Da igual si es porque tu casa se está incendiando o por si te han robado dinero, no piques, no entres en ese enlace.

Si te fijas, estos mensajes siempre enviarán enlaces falsos que intentan hacerse pasar por los verdaderos. Esto es algo que es importante saber para poder identificarlos correctamente. Por ejemplo, la URL del BBVA es BBVA.es, y por mucho que haya otros subdominios primero, siempre siempre siempre acabará en bbva.es.

Si la dirección contiene el nombre bbva o bbva.es pero acaba de forma diferente, como bbva.es.engaño.xyz, ese engaño.xyz es el que determina la web a la que accedes, y así identificas que es fraudulenta. Las webs fraudulentas de los mensajes pueden ser calcos idénticos a las reales, y por eso, entres o no entres, es importante revisar siempre las direcciones para comprobar que son la de verdad.

También es importante que seas capaz de reconocer las páginas que recortan enlaces. Si en la dirección hay un símbolo /, todo lo que hay después pertenece a la web anterior. Volviendo al ejemplo, si la web es engaño.xyz/bbva.es, el bbva.es ya no será la página principal, puesto que está después del /.

Y si te quedas con la duda por el mensaje que puedas haber recibido, entra siempre manualmente desde la app o la web oficial del banco o servicio. Vamos, que nunca pulses en la dirección que te envían por SMS, sino que vayas al navegador y escribas manualmente la dirección de tu banco para entrar en él. Si la notificación es real, te aparecerá también en el área de notificaciones de la app o la web de tu banco.

Además de esto, también debes saber que ni un banco ni un servicio importante, nunca te van a llamar por teléfono para pedirte códigos de confirmación ni que les digas ninguna información que te llegue por mensaje. Nunca hagas caso a estas llamadas, por mucho que digan tu nombre, tu DNI, o el nombre de familiares u otros datos sensibles.

Además de esto, una web real de un banco y servicio nunca te va a pedir que te bajes un archivo APK para instalar una aplicación. Lo que hará será enlazar a las tiendas oficiales de Android o iOS para que te bajes su app desde ahí, pero si intentan que te bajes el archivo de la aplicación para instalarlo a mano, seguro que es un virus.

Qué hacer si te han robado con un SMS fraudulento

Nadie es perfecto, y puede que sin quererlo hayas acabado siendo una víctima de uno de estos fraudes. En estos casos, es útil saber qué puedes hacer y cómo denunciar este tipo de estafas o robos. Primero siempre tienes que revisar qué datos pueden haberte robado, y si te han robado información de contacto, información bancaria, o directamente dinero. Si te roban dinero, es importante recopilar todos los datos posibles de la estafa para denunciar.

Si te roban información de contacto

Uno de los mejores escenarios en los que te puedes encontrar con estas estafas es que simplemente les des información de contacto como tu número de teléfono o correo electrónico, además de tu nombre o apellidos. Esto no supone una amenaza inminente, pero son datos que pueden usarse esos datos para futuros ataques, tanto hacia ti como hacia otras personas en tu nombre.

Por eso, si te han robado información de contacto debes estar preparado para que te lleguen más llamadas, SMS o correos fraudulentos en un futuro, y prestar especial atención a posibles mensajes y ofertas que te lleguen para no volver a caer en la trampa y acabar dando información más seria sobre ti.

Si te roban información bancaria

En el caso de que te roben información bancaria, entonces es algo más serio. Si obtienen los datos de tu tarjeta quizá podrían utilizarlos para realizar pagos en tu nombre. Si detectas que ha podido pasar esto, conviene cancelar la tarjeta que haya sido comprometida para evitar que esto pase y pedirle otra nueva a tu banco.

Tanto si te han robado datos bancarios como si directamente ya los han usado para sustraerte dinero, o incluso aunque solo hayas detectado la estafa pero no hayas picado, siempre es de vital importancia que avises a la entidad bancaria. De esta manera, pueden intentar investigar quién es el estafador, y también avisar al resto de clientes para que extremen las precauciones.

Sobre los robos de información bancaria, debes saber que si han sacado dinero con tus datos no podrás recuperarlo. Hay otros casos en los que las noticias son mejores. Si han usado tus datos para realizar pagos en tu nombre en algún establecimiento, puedes contactarlo para intentar obtener una devolución.

Y si se ha hecho una transferencia bancaria en tu nombre, el banco podría cancelarla o revertirla, aunque siempre depende del banco de destino, y de si el estafador ha movido el dinero a una cuenta tercera para que no puedas recuperarlo. Por eso vuelvo a decirte que es importante contactar siempre con el banco y explicarlo todo, para ver si hubiera alguna manera de recuperar el dinero.

Contacta con instituciones suplantadas

Aunque lo hemos mencionado antes, vamos a hacer un inciso para recalcar que siempre es importante avisar a la entidad, servicio o empresa por la que se hayan hecho pasar. Es útil que te pongas en contacto con ellos por correo y redes sociales, y les expliques el tipo de estafa que te han encontrado. Inclsuo si no has picado. Así, estas entidades o empresas podrán investigarlo y/o avisar al resto de usuarios o clientes.

Además, también es muy útil que avises por redes sociales de las campañas de phishing, ya que unos retuits a tiempo pueden hacer que este aviso les llegue a otros usuarios antes de que la empresa o el servicio reaccione, y así puedes evitar que otras personas se vean afectadas.

Si te roban el acceso a una cuenta y servicio En el caso de que te hayan robado el acceso a alguna de tus cuentas online, entonces tendrás que proceder con los métodos de cada servicio para recuperar el acceso. Por ejemplo, si has hecho la configuración previa necesaria, vas a poder recuperar tus cuentas de Apple, Google o Microsoft, y también recuperar tu cuenta de WhatsApp y el resto de principales servicios.

Debes tener en cuenta que hay veces en las que estos procedimientos pueden tardar un poco, por lo que es importantísimo avisar a tus contactos mientras no tengas acceso a tu cuenta, para evitar que puedan utilizarla para engañarles haciéndoles pensar que eres tú para hacerles caer en alguna otra estafa o robarles sus datos.

Aquí, si estás leyendo esto porque ya te han robado una cuenta no hay mucho más que hacer, simplemente tendrás que lidiar con los procesos de cada servicio o acudir a sus sistemas de atención al cliente. Pero en adelante, intenta tener activada la verificación en dos pasos en todas las cuentas donde se permita, para que así sea más difícil que te las roben.

También es importante cambiar la contraseña en cuanto recuperes la cuenta, cambiarla en todos los servicios donde repitas esta contraseña, ya que los atacantes podrían intentar acceder a otras cuentas donde repitas el mismo nombre de usuario y contraseña. Esta es solo una de las muchas razones por las que siempre es recomendable no repetir nunca ninguna contraseña en tus servicios online.

Y por supuesto, cuando recuperes una cuenta que te han robado, deberías dar por hecho que te han robado toda la información que haya en ella, como contactos, número de teléfono, correo, o tus fotografías. Por eso es importante que avises a tus contactos por si acaso, y que prestes atención a futuras campañas de phishing.

Denuncia las estafas por SMS fraudulentos

Y también es importante denunciar este fraude a las autoridades, y que así se pueda investigar y consigan encontrar y detener a los responsables. Para esto hay varios caminos. Por ejemplo, puedes plasmar tu denuncia en el formulario online de la Policía Nacional, que está en esta página web. En ella, eligiendo el método de denuncia en línea, se te guiará paso a paso por su formulario donde plasmar la denuncia por phishing.

También podrás denunciar el fraude en la Guardia Civil, en cuyo formulario online podrás interponer denuncias por estafas cibernéticas. En la web a la que accedes, verás que podrás realizar la denuncia de forma presencial, o utilizar su sede electrónica para hacerlo, donde se te exigirá tu firma digital.

Y también puedes contactar con el Instituto Nacional de Ciberseguridad, que tiene varios métodos para denunciar fraudes y ataques digitales. Vas a poder llamarles al número gratuito 017, contactarles por WhatsApp o por Telegram, o usar su formulario web para empresas o particulares.