BBVA, Santander, CaixaBank, Laboral Kutxa…Los principales bancos españoles están siendo objeto de un timo por el cual los ciberdelincuentes envían SMS a los clientes a nombre de la propia entidad bancaria y se cuelan en la misma bandeja de entrada que el resto de mensajes que envía el banco. Esto se denomina SMS Spoofing (suplantación de SMS, en su traducción del inglés).
“BBVA Info: un dispositivo desconocido se ha conectado a su banca online. Si no lo reconoce verifique inmediatamente https://bbva.atencion-comercial.pw/”. Si recibes un mensaje como este o similar en la misma cadena en los que recibes el resto de SMS que te envía tu banco cuando, por ejemplo vas a hacer un pago por internet, probablemente pienses que es tu banco el que te lo envía. Pero no, es phishing y pretenden hacerse con tus datos bancarios.
Antes de nada, debes saber que tu banco nunca te va a mandar un SMS con un enlace pidiéndote información.
Si nos fijamos en las imágenes de abajo, estos SMS los recibimos en la misma bandeja de entrada que el resto de mensajes oficiales que nos envía nuestro banco. Aunque cuando los recibimos podemos pensar que es nuestra entidad bancaria la que los envía, un truco para diferenciar un mensaje fraudulento de uno que nos manda nuestro banco es fijarnos en que estos últimos no llevan un enlace, sino códigos que hemos solicitado, como podemos ver.
Las URL de estos mensajes, además, suelen ser muy similares a las de la página oficial de la entidad bancaria que suplanta, lo que puede hacer que pensemos que nos lo han enviado desde nuestro banco. Una vez que accedemos al enlace, algo que no recomendamos hacer, vemos que la página web también es muy parecida a la de nuestro banco.
¿Cómo es posible que estos SMS fraudulentos se agrupen con los que nos envía nuestro banco?
En Maldita.es hemos contactado con expertos en ciberseguridad para que nos expliquen cómo falsifican el remitente de estos mensajes para que nos lleguen a nombre de una determinada empresa o entidad, una “manipulación” que, según han reconocido entidades como BBVA en conversación con este medio, no pueden “controlar”.
Desde el Instituto Nacional de Ciberseguridad (INCIBE) señalan a Maldita.es que el SMS no se envía desde la cuenta de una entidad o banco, ni desde el número del mismo, sino que “los actores maliciosos dan de alta un 'alias'” para el envío de SMS idéntico al alias que utiliza la empresa, con lo que consiguen “que las aplicaciones de mensajería de los teléfonos agrupen el mensaje en la misma conversación legítima, pareciendo que es de la entidad original”.
La utilización de estos alias que hemos mencionado, según el instituto, es “una funcionalidad dentro de los servicios de SMS por la cual se puede sustituir el identificador numérico o número de teléfono del remitente por un identificador alfabético de hasta 11 caracteres”.
Estos mensajes, además, no necesariamente lo reciben los clientes de una entidad bancaria o empresa concreta, “pueden y suelen ser aleatorios, a cualquier persona. No tienen que recoger ni analizar información de los sujetos a los que se los envían”, indica el INCIBE. Aunque “evidentemente, siempre tendrán más éxito en su ataque si lo hacen sobre usuarios concretos pero eso implicaría conocer que lo son”, explican.
Sobre la regulación de esta funcionalidad para evitar este tipo de suplantaciones, según el instituto, dependerá "de las comprobaciones que realicen los proveedores de internet y de la normativa de cada país, por lo que no se puede descartar que los SMS se estén enviando desde algún país extranjero donde los actores hayan conseguido dar de alta ese alias para su uso fraudulento".
Con el INCIBE coincide el maldito y experto en ciberseguridad de empresas y hacker ético, Jorge Louzao: “si buscas en internet 'SMS remitente personalizado', encontrarás que hay decenas de empresas de envío de mensajes que ofrecen ese servicio”, aunque, según el experto, podrían haberlo “enviado desde algún servicio extranjero para dificultar su seguimiento en caso de que alguien denuncie”.
El también maldito, licenciado en telecomunicaciones y experto en ciberseguridad, Iván Forcada, nos explica que “el uso de SMS es considerado inseguro desde hace años. Casi siempre se habla de la inseguridad de usarlos para recibir el segundo factor de autenticación pero lo que no se menciona tanto es la facilidad para suplantar al remitente”.
Teniendo en cuenta lo mencionado, Forcada concluye que hay que seguir educando en ciberseguridad y tener en mente cuando recibamos un SMS que “son inseguros, por lo que no deberíamos utilizarlos para nada importante”, aunque es consciente de su uso por parte de los bancos los cuales, en su opinión, “deberían dejar de utilizar”. Por último, recomienda desconfiar de un SMS “que te pida hacer algo”, especialmente “si hay errores gramaticales, aunque sean pequeños”.
Nuestro banco nunca nos va a pedir información bancaria ni que entremos en la cuenta a través de un enlace
Lo primero que tenemos que tener en cuenta es que, como explica a Maldita.es Jorge Louzao, “los bancos nunca te envían enlaces. Como mucho un aviso para que entres en tu cuenta pero sin darte un enlace, precisamente de manera preventiva para ayudar a identificar mensajes fraudulentos”.
De hecho, entidades como el BBVA o CaixaBank indican en sus respectivas páginas web que “nunca” te solicitarán “tu información bancaria por correo electrónico o SMS”. Desde el Banco Santander también aconsejan “desconfiar de mensajes que solicitan información personal o bancaria y contactar con la entidad mediante canales oficiales para confirmar la veracidad del mensaje, así como para reportar a la entidad la suplantación”.
También advierten de ello en redes sociales como Twitter cuando los usuarios les preguntan por mensajes que han recibido y de los que sospechan.
Si has recibido un SMS o un EMAIL como este, ignóralo, se trata de un intento de fraude.
— LABORAL Kutxa (@LABORALkutxa) January 17, 2022
En el caso de que hayas accedido al enlace e introducido las credenciales, modifica lo antes posible la contraseña y contacta con 900 929 029. pic.twitter.com/6Dxye8o4aN
Ante la duda, entra en tu cuenta a través de la app o banca online pero nunca mediante enlaces que recibas
Como podemos ver en los distintos ejemplos, en los SMS fraudulentos que recibimos en la cadena de mensajes que los que nos envía nuestro banco suelen ponernos múltiples excusas para que entremos en nuestra cuenta y proporcionemos nuestros datos bancarios: “Un dispositivo desconocido se ha conectado a su banca online”, “se ha iniciado sesión desde un nuevo dispositivo”, “su cuenta ha sido bloqueada”...
Pero todos tienen algo en común: intentan meternos prisa para que no nos dé tiempo a reaccionar y accedamos al enlace. Por tanto, lo que recomienda el INCIBE es que “nunca” accedas a tu cuenta desde estos enlaces, aunque te lo envíen desde el número del banco o desde otra entidad de confianza, “ya que nos pueden llevar a webs suplantadas”.
Como alternativa, hazlo a través de la página o aplicación oficial de estas empresas y, ante la duda, ponte en contacto con ellas y pregúntales.
Otros casos detectados
Aunque en los últimos días estamos viendo un aumento de estos casos, estos SMS llevan un tiempo llegando a las bandejas de entrada de los usuarios. Uno muy viral fue el que circuló el pasado mes de julio a nombre del BBVA, avisando al cliente de que su cuenta había sido bloqueada.
⚠️ #CIBERSEGURIDAD | Si recibes un #SMS en el que te comunican que se ha producido un intento de acceso sospechoso a tu cuenta, no proporciones tu información privada a través del enlace ?.
— BBVA en España (@BBVA_espana) May 28, 2021
Obtén más información aquí:
?https://t.co/SjS4Jf35CZ pic.twitter.com/gNy3qAR5ac
Y no sólo afecta a los bancos. Correos también fue objeto de esta suplantación en el año 2019. Los clientes recibieron mensajes fraudulentos a nombre de la empresa de paquetería en la misma bandeja de entrada que recibían información sobre sus pedidos.
¡ALERTA DE PHISING!
— Correos (@Correos) September 6, 2019
Algunos de nuestros clientes están recibiendo estos SMS suplantando la identidad de #Correos. Por favor, no pinches ningún enlace, no des tus datos y elimina el mensaje. #NoPiques pic.twitter.com/bShzpyFuuJ
Consejos para evitar ser víctima de phishing
No podemos hacer que dejen de llegarte estos casos, pero sí tenemos una serie de recomendaciones que puedes seguir cuando te vuelva a llegar una supuesta alerta o sorteo que use el nombre de tu empresa de confianza.
- Fíjate bien en el link que te envían. Si te llega un mensaje, presta atención al link que te envían y si lleva el nombre de la empresa.
- Si una institución supuestamente se está poniendo en contacto contigo, pero el SMS no está dirigido a tu nombre, sospecha.
- Observa si el SMS contiene faltas de ortografía o frases sin sentido.
- Contrasta con las fuentes antes de dar tus datos. Estos mensajes transmiten urgencia para que no te dé tiempo a reaccionar. Recuerda que puedes preguntar a la propia compañía, a la Policía o a la Guardia Civil o a nosotros a través de nuestro servicio de WhatsApp.
- Mantén actualizado el sistema operativo y el antivirus.
Si te llega un SMS sospechoso, puedes contactar con la Oficina de Seguridad del Internauta (OSI) del Instituto Nacional de Ciberseguridad (INCIBE) o también utilizar su línea de ayuda en ciberseguridad. También es aconsejable denunciarlo a la Policía Nacional o ante la Guardia Civil.
Además, es recomendable que compruebes si tu móvil ha sido infectado con un virus después de pinchar en un enlace de phishing.
Y recuerda que puedes enviarnos un email a [email protected] para contarnos tu caso, si has sido víctima de este o cualquier otro fraude o para consultarnos. En Maldita.es también te hemos explicado en qué circunstancias el banco nos debe devolver el dinero que nos han quitado en una ciberestafa y cómo reclamarlo.
En este artículo han colaborado con sus superpoderes los malditos y expertos en ciberseguridad Jorge Louzao e Iván Forcada.
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de WhatsApp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.
Primera fecha de publicación de este artículo: 27/01/2022