A estas alturas si nos llega un SMS al móvil de cualquier supuesta empresa de paquetería de la que no estamos esperando ningún pedido, puede que nos haga pensar que se trata de un caso más de phishing, con el fin de obtener nuestros datos.
Sin embargo, no es tan fácil identificarlo si lo recibimos a nombre de nuestro banco y se agrupa en la cadena de SMS con el resto de las notificaciones de autorizaciones de pago. Esto se llama 'SMS spoofing' (suplantación de SMS, en su traducción del inglés). Mediante técnicas de ingeniería social, envían un mensaje que recibimos desde el número habitual del que recibimos las comunicaciones bancarias, por ejemplo los pagos de Bizum, lo que lo dota de fiabilidad. Como os contamos en Maldita.es, le ha ocurrido a clientes de BBVA, aunque este modus operandi no necesariamente tiene por qué suplantar a un banco ni tiene que estar dirigido solo a clientes. Además, ya tiene precedentes, como podemos ver en este SMS que suplantaba a Correos.
¡ALERTA DE PHISING!
— Correos (@Correos) September 6, 2019
Algunos de nuestros clientes están recibiendo estos SMS suplantando la identidad de #Correos. Por favor, no pinches ningún enlace, no des tus datos y elimina el mensaje. #NoPiques pic.twitter.com/bShzpyFuuJ
¿Cómo envían un SMS fraudulento a nombre de una entidad?
En Maldita.es hemos contactado con expertos en ciberseguridad para que nos expliquen cómo falsifican el remitente de estos mensajes para que nos lleguen a nombre de una determinada empresa o entidad, una “manipulación” que, como han reconocido entidades, como el BBVA en conversación con este medio, no pueden “controlar”.
Desde el Instituto Nacional de Ciberseguridad (INCIBE) señalan a Maldita.es que el SMS no se envía desde la cuenta de una entidad o banco, ni desde el número del mismo, sino que “los actores maliciosos dan de alta un 'alias'” para el envío de SMS idéntico al alias que utiliza la empresa, con lo que consiguen “que las aplicaciones de mensajería de los teléfonos agrupen el mensaje en la misma conversación legítima, pareciendo que es de la entidad original”. Afirman que no es lo habitual pero que ya se ha detectado el mismo modus operandi en otras campañas, como la mencionada de Correos.
La utilización de estos alias que hemos mencionado, según el instituto, es “una funcionalidad dentro de los servicios de SMS por la cual se puede sustituir el identificador numérico o número de teléfono del remitente por un identificador alfabético de hasta 11 caracteres”.
Estos mensajes, además, no necesariamente lo reciben los clientes de una entidad bancaria o empresa concreta, “pueden y suelen ser aleatorios, a cualquier persona. No tienen que recoger ni analizar información de los sujetos a los que se los envían”, indica el INCIBE. Aunque “evidentemente, siempre tendrán más éxito en su ataque si lo hacen sobre usuarios concretos pero eso implicaría conocer que lo son”, explican.
Sobre la regulación de esta funcionalidad para evitar este tipo de suplantaciones, según el instituto, dependerá “de las comprobaciones que realicen los proveedores de internet y de la normativa de cada país, por lo que no se puede descartar que los SMS se estén enviando desde algún país extranjero donde los actores hayan conseguido dar de alta ese alias para su uso fraudulento”.
Con el INCIBE coincide el maldito y experto en ciberseguridad, Jorge Louzao: “si buscas en internet 'SMS remitente personalizado', encontrarás que hay decenas de empresas de envío de mensajes que ofrecen ese servicio”, aunque, según el experto, podrían haberlo “enviado desde algún servicio extranjero para dificultar su seguimiento en caso de que alguien denuncie”.
El también maldito, licenciado en telecomunicaciones y experto en ciberseguridad, Iván Forcada, nos explica que “el uso de SMS es considerado inseguro desde hace años. Casi siempre se habla de la inseguridad de usarlos para recibir el segundo factor de autenticación pero lo que no se menciona tanto es la facilidad para suplantar al remitente”.
Teniendo en cuenta lo mencionado, Forcada concluye que hay que seguir educando en ciberseguridad y tener en mente cuando recibamos un SMS que “son inseguros, por lo que no deberíamos utilizarlos para nada importante”, aunque es consciente de su uso por parte de los bancos los cuales, en su opinión, “deberían dejar de utilizar”. Por último, recomienda desconfiar de un SMS “que te pida hacer algo”, especialmente “si hay errores gramaticales, aunque sean pequeños”.
Ante la duda, haz las operaciones desde la aplicación o página oficial de una entidad y no desde el link que recibes con el SMS
Según Louzao, “los bancos nunca te envían enlaces, como mucho un aviso para que entres en tu cuenta pero sin darte un enlace precisamente de manera preventiva para ayudar a identificar mensajes fraudulentos como ese”. De hecho, entidades como el BBVA o CaixaBank indican en sus respectivas páginas web que “nunca” te solicitarán “tu información bancaria por correo electrónico o SMS”.
Por tanto, y para evitar caer en uno de estos mensajes fraudulentos, lo que recomienda el INCIBE es que “nunca” accedas a tu cuenta desde estos enlaces, aunque te lo envíen desde el número del banco o desde otra entidad de confianza, “ya que puede llevar a webs suplantadas”.
Como alternativa, hazlo a través de la página o aplicación oficial de estas empresas y, ante la duda, ponte en contacto con ellas.
Consejos para evitar ser víctima de phishing
No podemos hacer que dejen de llegarte estos casos, pero sí tenemos una serie de recomendaciones que puedes seguir cuando te vuelva a llegar una supuesta alerta o sorteo que use el nombre de tu empresa de confianza.
- Fíjate bien en el link que te envían. Si te llega un mensaje, presta atención al link que te envían y si lleva el nombre de la empresa.
- Si una institución supuestamente se está poniendo en contacto contigo, pero el SMS no está dirigido a tu nombre, sospecha.
- Observa si el SMS contiene faltas de ortografía o frases sin sentido.
- Contrasta con las fuentes antes de dar tus datos. Estos mensajes transmiten urgencia para que no te dé tiempo a reaccionar. Recuerda que puedes preguntar a la propia compañía, a la Policía o a la Guardia Civil o a nosotros a través de nuestro servicio de WhatsApp.
- Mantén actualizado el sistema operativo y el antivirus.
Si te llega un SMS sospechoso, puedes contactar con la Oficina de Seguridad del Internauta (OSI) del Instituto Nacional de Ciberseguridad (INCIBE) o también utilizar su línea de ayuda en ciberseguridad. También es recomendable denunciarlo a la Policía Nacional o ante la Guardia Civil.
Y recuerda que puedes enviarnos un email a [email protected] para contarnos tu caso, si has sido víctima de este o cualquier otro fraude.
En este artículo han colaborado con sus superpoderes los malditos y expertos en ciberseguridad Jorge Louzao e Iván Forcada.
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de WhatsApp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.
Primera fecha de publicación de este artículo: 15/07/2021