“Mamá, Papá, se me ha roto el teléfono”. “Tu cuenta bancaria ha sido suspendida”. “Tu paquete está a la espera del pago de aduanas”. No son pocos los mensajes que nos llegan a través de SMS a nuestro teléfono móvil avisándonos de algún imprevisto, de alguna notificación o incluso que nos alertan de una emergencia. Pero mucho cuidado, porque se trata de intentos de timo.
Para ello los criminales no dudan en suplantar la identidad de compañías o de nuestros seres queridos, falsificar páginas web, e incluso colarse en las conversaciones previas que tengamos con nuestro banco. Para evitar que nos la cuelen, recogemos los principales mensajes con los que nos intentan timar a través de SMS.
Cuentas bancarias suspendidas y anulaciones de pagos
BBVA, Santander, CaixaBank, Laboral Kutxa… Los principales bancos españoles están siendo objeto de un timo por el cual los ciberdelincuentes envían SMS a los clientes a nombre de la propia entidad bancaria y se cuelan en la misma bandeja de entrada que el resto de mensajes que envía el banco. Una táctica denominada SMS Spoofing (suplantación de SMS, en su traducción del inglés).
Estos mensajes advierten de la cancelación de nuestra tarjeta, de la anulación de un pago o de supuestas advertencias de que alguien ha accedido a nuestra cuenta. Si recibes un mensaje de este estilo en la misma cadena en los que recibes el resto de SMS que te envía tu banco, probablemente pienses que es tu entidad bancaria quién te lo envía. Pero es un intento de phishing con el que los timadores pretenden hacerse con nuestros datos. En este artículo te damos más detalles sobre cómo diferenciarlos y detectar que estamos ante un timo.
SMS que suplantan a Correos y otras empresas de paquetería
Que el paquete no se ha podido entregar por no pagar las tasas de aduanas, que debes descargarte una aplicación para rastrear tus envíos… estas son algunas de las excusas utilizadas para enviar SMS fraudulentos en nombre de Correos con el fin de conseguir nuestros datos personales y bancarios.
Estos mensajes, que también suplantan la identidad de otras empresas de paquetería como SEUR, incluyen un enlace externo que lleva a una página clonada, en la que piden nuestros datos. Pero es un timo: Correos asegura que “nunca solicita datos personales, bancarios o movimientos económicos por correo electrónico o mensaje de texto”.
La Seguridad Social y la Agencia Tributaria, otras de las víctimas de estos timos
La Seguridad Social y la Agencia Tributaria también son el objetivo de los timadores, que no dudan en suplantar su identidad para intentar hacerse con nuestros datos. Para ello difunden diferentes mensajes asegurando, por ejemplo, que tenemos que actualizar nuestra tarjeta sanitaria.
En concreto hemos visto en diferentes ocasiones cómo los timos suplantando a la Agencia Tributaria aumentan con motivo de la campaña de la declaración de la renta, con mensajes que argumentan que se nos ha calificado para un reembolso de cantidades. Ya lo vimos en la campaña de 2021, y estamos viendo cómo se repite en la campaña de 2022, que terminará el 30 de junio.
Pero recuerda que la Agencia Tributaria nunca va a solicitar por correo o SMS información personal o tus datos bancarios, ni te va a enviar a través de estos canales documentos adjuntos como anexos o información sobre facturas.
Los timadores también suplantan a nuestros seres queridos
No sólo las compañías o las agencias públicas están en el punto de mira de los timadores. Se trata de un nuevo intento de timo a través de SMS, en el que los cibercriminales se hacen pasar por nuestros familiares, en concreto por nuestros hijos, para hacerse con nuestro dinero.
Para ello los timadores se dirigen a sus víctimas asegurando que se trata de nuestro hijo y que su teléfono se ha roto o no está disponible. Acto seguido, los estafadores detallan a la familia que supuestamente se encuentra en una situación crítica o ante un problema, y que necesita dinero de forma urgente para poder solucionarlo. Un mecanismo de ingeniería social que los timadores emplean para manipular a sus víctimas y que tomen decisiones apresuradas.
¿Cómo es posible que estos SMS fraudulentos se agrupen con los reales?
En Maldita.es hemos contactado con expertos en ciberseguridad para que nos expliquen cómo funciona el SMS Spoofing, la táctica con la que los timadores falsifican el remitente de estos mensajes para que nos lleguen a nombre de una determinada empresa o entidad. Una “manipulación” que, según han reconocido entidades como BBVA en conversación con este medio, no pueden “controlar”.
Desde el Instituto Nacional de Ciberseguridad (INCIBE) señalan a Maldita.es que el SMS no se envía desde la cuenta de una entidad o banco, ni desde el número del mismo, sino que “los actores maliciosos dan de alta un 'alias'” idéntico al nombre que utiliza la empresa, con lo que consiguen “que las aplicaciones de mensajería de los teléfonos agrupen el mensaje en la misma conversación legítima, pareciendo que es de la entidad original”. En este artículo te detallamos cómo funciona esta técnica.
Consejos para evitar ser víctima de phishing
No podemos hacer que dejen de llegarte estos casos, pero sí tenemos una serie de recomendaciones que puedes seguir cuando te vuelva a llegar una supuesta alerta o sorteo que use el nombre de tu empresa de confianza.
- Fíjate bien en el remitente. En los casos de phishing el remitente suele ser diferente al oficial. No obstante, si el SMS te llega dentro del mismo hilo de mensajes oficiales de la empresa, tampoco tiene por qué ser real, como ocurre en este caso y ha pasado en otras ocasiones.
- Analiza el enlace al que te redirige el SMS. Presta atención a la dirección web a la que te redirige el mensaje y si la URL es oficial.
- Cuidado al pinchar en los elementos de la web si no te dirigen a ningún sitio, te pide verificar tus datos o instalar una aplicación móvil.
- Observa si el SMS contiene faltas de ortografía o frases sin sentido.
- Contrasta con las fuentes antes de dar tus datos. Estos mensajes transmiten urgencia para que no te dé tiempo a reaccionar. Si te llega un mensaje sospechoso como este recuerda que puedes contactar con la Oficina de Seguridad del Internauta (OSI) del Instituto Nacional de Ciberseguridad (INCIBE) o también puedes utilizar su línea de ayuda en ciberseguridad. También puedes denunciarlo a la Policía Nacional o ante la Guardia Civil e informarnos a nosotros a través de nuestro servicio de WhatsApp (+34 644 229 319).
Si te ha llegado uno de estos SMS o crees que has sido víctima de un timo similar, puedes enviarnos un email a [email protected].