"Se prevé una tormenta severa en su región. Prepárese y manténgase a salvo. Descargue la APP". Esto dice un SMS, supuestamente enviado por la Agencia Estatal de Meteorología (AEMET), en el que nos piden que pinchemos en un enlace para descargar su aplicación oficial. Sin embargo, se trata de smishing: los ciberdelincuentes se hacen pasar por la AEMET para redirigirnos a un enlace fraudulento.
El Instituto Nacional de Ciberseguridad (INCIBE) y la empresa de ciberseguridad ESET advierten que el enlace descarga un archivo que contiene malware (software malicioso) para infectar el dispositivo de usuarios de Android. El objetivo, según ESET, es robar las credenciales bancarias de la víctima y, con ello, hacer transferencias a cuentas controladas por los ciberdelincuentes.
Cómo se hacen pasar por la AEMET para redirigirte a un enlace malicioso
La URL del enlace sospechoso del SMS (https://aemet. blog) no tiene nada que ver con la URL de la web oficial de la AEMET (https://www.aemet.es). Actualmente, si pinchamos en el enlace del mensaje, nos llevan a una página web sospechosa (rosybrown-louse-890740.hostingersite.com) que, después, nos redirige a la página web oficial donde descargar las aplicaciones oficiales de la AEMET.
Si introducimos tanto la URL sospechosa del SMS (https://aemet.blog) como la URL de la página web a la que redirige primero (rosybrown-louse-890740.hostingersite.com) en herramientas que analizan la fiabilidad de dominios web como URL Void o Virus Total, ambos portales indican que no son fiables. Por ejemplo, la URL “aemet.blog” se registró en Internet el 10 de noviembre de 2024 en Lituania.
Además, la AEMET ha advertido de ello en sus redes sociales diciendo que es un SMS "falso". En la publicación de Twitter, ahora X, indican que ellos "nunca" envían este tipo de SMS. El INCIBE afirma que el mensaje contiene algunas señales que nos pueden hacer sospechar de su legitimidad, como faltas de ortografía o que se intenta dar una sensación de urgencia.
“Si recibes un mensaje similar, no abras el enlace. Nuestra APP sólo se puede descargar en las stores oficiales”, asegura la agencia.
Además, en caso de emergencia, si la situación lo requiere, la AEMET no nos va a enviar un SMS. Protección Civil envía mensajes de alerta generalizados e inmediatos a los teléfonos móviles localizados en un área afectada por una emergencia o catástrofe natural a través del sistema ES-Alert.
El enlace descarga malware para robar datos bancarios en dispositivos Android
Según explica el INCIBE, al pinchar en el enlace del SMS se descarga un archivo con extensión .apk con código malicioso. El organismo recuerda que nunca debemos instalar aplicaciones de enlaces de los que no conocemos su procedencia. Lo mejor es acudir a las tiendas oficiales como Google Play o App Store.
Josep Albors, responsable de Investigación y Concienciación de ESET España, explica en el blog de ESET que la campaña está especialmente dirigida a usuarios de dispositivos Android y redirige a todos los usuarios que no son Android a la web oficial de la AEMET.
Según detalla Albors, se trata de una aplicación maliciosa con capacidades de troyano bancario (un tipo de software malicioso que se hace pasar por otro programa) y de herramienta de control remoto. “Los delincuentes la utilizarán para robar credenciales de acceso a banca online y carteras de criptomonedas”, afirma. Y añade: “El siguiente paso será tratar de realizar transferencias a cuentas controladas por los delincuentes o muleros que trabajen para ellos, dejando a las víctimas sin dinero en sus cuentas bancarias”.
Consejos para evitar ser víctima de ‘smishing’
Aquí tienes una serie de recomendaciones que puedes seguir cuando te vuelva a llegar un mensaje que use el nombre de tu institución o empresa de confianza:
Mira bien la dirección de la web a la que te redirige antes de pinchar. Normalmente este tipo de notificaciones vienen con un link. Si la URL de esta página web no es de la empresa por la que se hace pasar o es una mezcla de letras, números y el nombre de esa empresa, no introduzcas tus datos. Para ello, fíjate en lo que aparece antes del último punto, ese es el dominio real de la página web.
No descargues ninguna supuesta aplicación. Podría contener malware.
Activa la protección contra spam en tu móvil.
Párate un momento a pensar. Estos mensajes suelen transmitir urgencia para que tomes medidas cuanto antes y sin razonar.
Contrasta con las fuentes antes de dar tus datos. Recuerda que puedes preguntar a la propia organización o contactar con el Instituto Nacional de Ciberseguridad (INCIBE) a través de su línea de ayuda en ciberseguridad.
Qué hacer si hemos sido víctimas de este timo
El INCIBE indica que, si has pulsado sobre el enlace pero no has ejecutado la supuesta aplicación, debes borrar el archivo de la carpeta de descargas lo antes posible.
En cambio, si has ejecutado el archivo, es posible que tu dispositivo esté infectado. El organismo sugiere seguir los siguientes pasos:
Desconecta la conexión Wi-Fi de tu teléfono.
Utiliza un antivirus o las herramientas de seguridad de tu dispositivo para escanear tu móvil e intentar desinfectarlo.
Si tras realizar este paso crees que la infección no ha desaparecido, valora la opción de restablecer los valores de fábrica de tu dispositivo. Esto hará que pierdas los datos y documentos que tengas en el teléfono, por lo que lo recomendable es realizar copias de seguridad de forma periódica.
Recopila las pruebas y denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado.
* Este artículo se ha actualizado el 13/11/2024 para incluir la información proporcionada por el INCIBE y ESET.
Primera fecha de publicación de este artículo: 11/11/2024
