Desde hace unos meses, se viene interceptando una serie de comunicaciones de suplantación de identidad vía SMS, lo que se conoce como smishing. En esta ocasión, nos envían una comunicación en la que diferentes bancos y servicios por los que se hacen pasar supuestamente nos informan de que nuestra cuenta con ellos ha sido desactivada.
Los distintos timos y estafas de ingeniería social siempre están evolucionando y tratando de conseguir nuevas fórmulas para que las víctimas caigan en sus redes. Generalmente se basan en situaciones de emergencia y alertas para que la víctima actúe de forma menos cautelosa.
El timo de la cuenta desactivada
Las situaciones de urgencia suelen ser uno de los grandes activos para los ciberdelincuentes que se valen de las estafas de ingeniería social. Estas situaciones pueden pillar a la víctima con la guardia baja y ser más propensos a picar.
ESET España🚨¡Alerta #phishing!🚨 Envío de SMS suplantando a @caixabank intentan robar credenciales de acceso y código de verificación para robar dinero de las cuentas. ¡No piques! https://t.co/JHfTxO5xT912 de mayo, 2021 • 10:40
Son cada vez más frecuentes los mensajes de texto SMS fraudulentos que comienzan con «Lamentamos informarle que su cuenta ha sido desactivada. Por su seguridad le rogamos que complete la siguiente verificación [enlace]».
En realidad, se trata de una estafa de phishing (smishing al ser vía SMS). Al hacer clic en enlace, lleva a una supuesta página de la entidad bancaria que suplanta, pero en realidad es una web falsa (web spoofing) cuyo único objetivo es capturar tus datos personales.
Después de introducir el código de identificación y la clave de acceso, al pulsar en «Entrar» lleva a una página en la que se solicita al usuario su firma electrónica. Al introducir la firma y pulsar en «Aceptar», se solicita el número de teléfono. Una vez introducido, solicita que se introduzca la clave SMS que se acaba de enviar supuestamente al número de teléfono facilitado.
En este punto, el proceso parece bloquearse, pero realmente supone que para entonces ya es demasiado tarde y tienen todos los datos de interés para poder robar dinero de tus cuentas o comprar con cargo a tu dinero.
Cómo evitar caer en una estafa de smishing
Por regla general, hay que desconfiar de todos aquellos mensajes alarmantes que tengan tono de urgencia o contengan faltas de ortografía o errores gramaticales. En caso de recibirlos, nunca hay que responder a este tipo de mensajes sospechosos ni pulsar en los enlaces que contienen.
De forma general conviene revisar detenidamente cualquier enlace recibido a través de SMS, observar si engloban palabras o caracteres extraños, y ante la duda no abrirlos nunca y recurrir a los canales oficiales como tu banca online para revisar si hay algún tipo de alerta. Si el enlace viene acortado y te dificulta establecer si es legítimo o no, puedes usar servicios como Unshorten que nos devuelven el link real que se enconde detrás de Bitly o similares.
Desde el INCIBE nos dan una serie de recomendaciones para evitar caer en la trampa de los ciberdelincuentes:
- No accedas a los mensajes de usuarios desconocidos o que no hayas solicitado, bórralos directamente.
- No contestes a estos SMS en ningún momento.
- Ten cuidado al hacer clic sobre enlaces, aunque sean de contactos conocidos.
- Si el SMS tiene un enlace y este te redirige a la descarga de una app, no la descargues en ningún caso. Las aplicaciones enviadas a través de un enlace por SMS suelen estar infectadas por cualquier malware.
- Si tienes dudas, consulta directamente con la entidad implicada a través de sus canales oficiales.
Si por desgracia ya has caído en una estafa de este tipo, los pasos a seguir deberían ser los siguientes, también según el Instituto Nacional de Ciberseguridad:
- Ponte en contacto de inmediato con tu entidad bancaria para informar de lo que ha sucedido y cancelar posibles transacciones que se hayan podido efectuar.
- Si has facilitado también datos personales, como el número de teléfono o el correo, permanece atento y comprueba que no seas objeto de otro tipo de fraude por esos medios o que no te suplanten.
- También podrás denunciar esta situación ante las Fuerzas y Cuerpos de Seguridad del Estado (FCSE).