Bancos, empresas de paquetería, la Seguridad Social… Cómo los timadores nos la intentan colar a través de los SMS

“Mamá, Papá, se me ha roto el teléfono”. “Tu cuenta bancaria ha sido suspendida”. “Tu paquete está a la espera del pago de aduanas”. No son pocos los mensajes que nos llegan a través de SMS a nuestro teléfono móvil avisándonos de algún imprevisto, de alguna notificación o incluso que nos alertan de una emergencia. Pero mucho cuidado, porque se trata de intentos de timo.

Para ello los criminales no dudan en suplantar la identidad de compañías o de nuestros seres queridos, falsificar páginas web, e incluso colarse en las conversaciones previas que tengamos con nuestro banco. Para evitar que nos la cuelen, recogemos los principales mensajes con los que nos intentan timar a través de SMS.

Cuentas bancarias suspendidas y anulaciones de pagos

BBVA, Santander, CaixaBank, Laboral Kutxa… Los principales bancos españoles están siendo objeto de un timo por el cual los ciberdelincuentes envían SMS a los clientes a nombre de la propia entidad bancaria y se cuelan en la misma bandeja de entrada que el resto de mensajes que envía el banco. Una táctica denominada SMS Spoofing (suplantación de SMS, en su traducción del inglés).

Estos mensajes advierten de la cancelación de nuestra tarjeta, de la anulación de un pago o de supuestas advertencias de que alguien ha accedido a nuestra cuenta. Si recibes un mensaje de este estilo en la misma cadena en los que recibes el resto de SMS que te envía tu banco, probablemente pienses que es tu entidad bancaria quién te lo envía. Pero es un intento de phishing con el que los timadores pretenden hacerse con nuestros datos. En este artículo te damos más detalles sobre cómo diferenciarlos y detectar que estamos ante un timo.

SMS que suplantan a Correos y otras empresas de paquetería

Que el paquete no se ha podido entregar por no pagar las tasas de aduanas, que debes descargarte una aplicación para rastrear tus envíos… estas son algunas de las excusas utilizadas para enviar SMS fraudulentos en nombre de Correos con el fin de conseguir nuestros datos personales y bancarios.

Estos mensajes, que también suplantan la identidad de otras empresas de paquetería como SEUR, incluyen un enlace externo que lleva a una página clonada, en la que piden nuestros datos. Pero es un timo: Correos asegura que “nunca solicita datos personales, bancarios o movimientos económicos por correo electrónico o mensaje de texto”.

La Seguridad Social y la Agencia Tributaria, otras de las víctimas de estos timos

La Seguridad Social y la Agencia Tributaria también son el objetivo de los timadores, que no dudan en suplantar su identidad para intentar hacerse con nuestros datos. Para ello difunden diferentes mensajes asegurando, por ejemplo, que tenemos que actualizar nuestra tarjeta sanitaria.

En concreto hemos visto en diferentes ocasiones cómo los timos suplantando a la Agencia Tributaria aumentan con motivo de la campaña de la declaración de la renta, con mensajes que argumentan que se nos ha calificado para un reembolso de cantidades. Ya lo vimos en la campaña de 2021, y estamos viendo cómo se repite en la campaña de 2022, que terminará el 30 de junio.

Pero recuerda que la Agencia Tributaria nunca va a solicitar por correo o SMS información personal o tus datos bancarios, ni te va a enviar a través de estos canales documentos adjuntos como anexos o información sobre facturas.

Los timadores también suplantan a nuestros seres queridos

No sólo las compañías o las agencias públicas están en el punto de mira de los timadores. Se trata de un nuevo intento de timo a través de SMS, en el que los cibercriminales se hacen pasar por nuestros familiares, en concreto por nuestros hijos, para hacerse con nuestro dinero.

Para ello los timadores se dirigen a sus víctimas asegurando que se trata de nuestro hijo y que su teléfono se ha roto o no está disponible. Acto seguido, los estafadores detallan a la familia que supuestamente se encuentra en una situación crítica o ante un problema, y que necesita dinero de forma urgente para poder solucionarlo. Un mecanismo de ingeniería social que los timadores emplean para manipular a sus víctimas y que tomen decisiones apresuradas.

¿Cómo es posible que estos SMS fraudulentos se agrupen con los reales?

En Maldita.es hemos contactado con expertos en ciberseguridad para que nos expliquen cómo funciona el SMS Spoofing, la táctica con la que los timadores falsifican el remitente de estos mensajes para que nos lleguen a nombre de una determinada empresa o entidad. Una “manipulación” que, según han reconocido entidades como BBVA en conversación con este medio, no pueden “controlar”.

Desde el Instituto Nacional de Ciberseguridad (INCIBE) señalan a Maldita.es que el SMS no se envía desde la cuenta de una entidad o banco, ni desde el número del mismo, sino que “los actores maliciosos dan de alta un 'alias'” idéntico al nombre que utiliza la empresa, con lo que consiguen “que las aplicaciones de mensajería de los teléfonos agrupen el mensaje en la misma conversación legítima, pareciendo que es de la entidad original”. En este artículo te detallamos cómo funciona esta técnica.

Consejos para evitar ser víctima de phishing

No podemos hacer que dejen de llegarte estos casos, pero sí tenemos una serie de recomendaciones que puedes seguir cuando te vuelva a llegar una supuesta alerta o sorteo que use el nombre de tu empresa de confianza.

Si te ha llegado uno de estos SMS o crees que has sido víctima de un timo similar, puedes enviarnos un email a [email protected].