MENÚ

SMS personalizados que te piden tus datos personales o que descargues un archivo, ¿cómo obtienen nuestro nombre y número y qué podemos hacer?

Publicado Mar 25, 2021, 8:29:00 AM
Comparte

Cada día nos enviáis a través de nuestro chatbot de WhatsApp (+34 644 22 93 19) SMS que habéis recibido, muchos de ellos relacionados con empresas de paquetería, en los que te piden tus datos personales y/o bancarios o bien pretenden instalarte un malware. Estos mensajes se refieren a la persona por su nombre de pila o por el nombre con el que alguien lo ha guardado en su agenda. ¿Cómo consiguen estos datos? 

Consiguen nuestros datos a través de aplicaciones que se instalan nuestros contactos del móvil y buscando en redes sociales o foros

Estos mensajes también los recibimos vía email, como ya os hemos contado en Maldita.es en otras ocasiones. No obstante, en los últimos meses hemos notado que ha habido un gran aumento de casos de SMS en los que nos contactan por nuestro nombre y nos piden que proporcionemos nuestros datos o que descarguemos un archivo. Iván Forcada, licenciado en telecomunicaciones, experto en ciberseguridad y maldito que nos ha prestado sus superpoderes, indica que “el término más adecuado para explicar los casos de phishing en los que te piden los datos a través de SMS es smishing.

“Lo que pretenden es obtener nuestros datos o instalar un archivo malicioso”, explica Marta Beltrán, directora del Máster en Ciberseguridad y Privacidad de la Universidad Rey Juan Carlos. Por lo general, indica que hay dos formas de personalizar estos mensajes: por un lado, nos investigan a través de redes sociales, foros o páginas web “si es un ataque muy dirigido” y, por otro, se debe a que un contacto tuyo “se ha instalado una aplicación maliciosa en su móvil sin saberlo y le ha dado permiso para acceder a sus contactos, por lo que han sacado todos sus números y nombres asociados”.

En la misma línea, el experto en ciberseguridad y maldito que también nos ha prestado sus superpoderes, Jorge Louzao, añade que existe un gran problema en “cómo facilitamos los datos de nuestros contactos gratuitamente a través de las aplicaciones, por lo que, tarde o temprano, esas aplicaciones pueden tener un problema de ciberseguridad y esos datos acaban disponibles en abierto, como ocurrió con Telegram”.

Los atacantes que envían estos mensajes, “juegan a un gran volumen” explica José María Fuentes, vicepresidente del comité de normalización sobre ciberseguridad, y “no les importa si un pequeño número de personas pican, ya que les resulta rentable”. En el caso de la paquetería, “como está en auge”, indica Fuentes, “la probabilidad de que un usuario cualquiera pique, aumenta”. 

Asimismo, Beltrán relaciona se produzcan estas prácticas y este modus operandi con que llevamos “el móvil encima en todo momento” y es fácil que tengamos una reacción impulsiva y pinchemos en el link sin pensarlo dos veces. En Maldita.es ya hemos explicado otras veces que estos mensajes, en ocasiones, transmiten urgencia para que no nos dé tiempo a pensar.

Los SMS tienen menos filtros que los correos electrónicos

El motivo por el que cada vez envían más SMS, explica Forcada, se debe a que “los SMS no tienen filtros anti-spam ni filtros antivirus y sólo hace falta saber el número de teléfono del destinatario”. También incide en que “el correo electrónico ha mejorado mucho en términos de seguridad, y prácticamente todos los proveedores de correo, como Gmail, Outlook o Yahoo tienen incorporados filtros antispam y antivirus, sin embargo, esto con los SMS no existe”. Asimismo, indica que otra de las causas es que “es muy poco frecuente que tengamos instalados antivirus en el teléfono móvil”.

¿Qué podemos hacer si recibimos unos de estos SMS?

Hemos pedido a los expertos que den recomendaciones sobre cómo actuar ante la recepción de uno de estos SMS:

Si se trata de un SMS inesperado, Louzao recomienda eliminarlo. Pero si coincide que estamos esperando un paquete a través de la presunta empresa que nos ha enviado el SMS, hemos abierto la URL del enlace que adjunta y nuestro navegador o antivirus no ha mostrado un aviso de phishing, el experto en ciberseguridad indica que podemos denunciar la web en Safebrowsing, el equipo de navegación segura de Google.

Beltrán, por otra parte, hace hincapié en que tengamos los sistemas operativos de los móviles actualizados, y que sólo debemos descargar aplicaciones de sitios oficiales “mirando que sean legítimas y que no piden permisos raros”.

También es importante que sigamos los pasos que en Maldita.es recomendamos con el phishing tradicional. En esta línea, Forcada subraya que debemos: revisar el remitente, es decir, buscar el número en Google, verificar si hay errores tipográficos, nunca hacer click en la URL que venga en el SMS, salvo que estemos muy seguros, no dar información ni descargar aplicaciones e instalar un antivirus en el móvil.

La Oficina de Seguridad del Internauta (OSI), además de instalar un antivirus, recomienda que avisemos a nuestros contactos si hemos pinchado en el link y se nos ha descargado una aplicación maliciosa. En este caso, también debemos restaurar el dispositivo “a valores de fábrica”.

Casos de phishing a través de SMS personalizados

En Maldita.es estamos alertando de los casos de phishing a través de SMS que pretenden obtener tus datos o instalarte un malware. El SMS de FedEx ha sido uno de los que más hemos recibido a través de nuestro chatbot en las últimas semanas. La web a la que te dirigen, suplanta la imagen corporativa de FedEx e incluye un botón para descargar la aplicación con la que, supuestamente, puedes rastrear tu paquete. Cuidado, no pinches porque se te descargará un malware en tu móvil, según ha alertado la OSI.

Otro ejemplo es el que te pide que confirmes tus credenciales de entrega hoy o de lo contrario tu paquete de Amazon será devuelto. Sin embargo, cuando accedes al mismo te llevan a otra página en la que en ningún momento hacen referencia a ese paquete, sino a un supuesto sorteo de Amazon. La realidad es que ni la URL es de dicha empresa ni esta ha promocionado la promoción.

El SMS de “Envío Express” también ha sido uno de los que más veces nos habéis enviado en los últimos meses. En este caso, te piden que proporciones datos personales, como tu nombre y apellidos y dirección postal y, una vez introducidos estos, la página procede a reclamarte tus datos bancarios. Además, te señala que pagarás 0 euros y aún así te piden que ingreses el número de tu tarjeta. No los introduzcas, es una estafa.

Para ver más casos de phishing sobre los que hemos alertado, puedes visitar nuestra página de Maldito Bulo. Y ya sabes, si recibes alguno de estos SMS y tienes sospechas, puedes enviárnoslo a nuestro chatbot de WhatsApp (+34 644 22 93 19) para que lo verifiquemos.

Si has sido estafado puedes denunciarlo ante los Cuerpos y Fuerzas de Seguridad del Estado y llamar al teléfono 017 del Instituto Nacional de Ciberseguridad (INCIBE).

En este artículo ha colaborado con sus superpoderes los malditos Iván Forcada, licenciado en telecomunicaciones y experto en ciberseguridad y Jorge Louzao, experto en ciberseguridad.

Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de WhatsApp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.


Primera fecha de publicación de este artículo: 05/03/2021