Nueva estafa por SMS: Mensajes engañosos se hacen pasar por Bancos a través de un link

Recientemente la Oficina de Seguridad del Internauta (OSI) ha publicado alertas por varias campañas de fraude. En una de ellas los delincuentes intentan suplantar a la empresa de paquetería Correos, empujando al usuario a introducir el número de su calle para recibir un supuesto paquete. El enlace que acompaña al mensaje tiene como objetivo robar los datos bancarios y personales de la víctima. Tras hacer clic en este, se redirigirá al usuario a la supuesta web de Correos, la cual mostrará un informe de seguimiento del supuesto paquete retenido. Todo ello es falso, aunque sea muy creíble en apariencia.

Cada vez más, el smishing gana terreno a la seguridad digital. Este mecanismo de estafa combina las palabras SMS y phishing y busca obtener información confidencial de las personas, tales como contraseñas o datos de tarjetas de crédito, mediante un enlace fraudulento en el que el usuario hace clic. A diferencia del phishing, que funciona a través del correo electrónico, el smishing realiza el envío de mensajes de texto a través de teléfonos móviles, camuflándolos bajo la supuesta autoridad de una entidad legítima como bancos, tiendas u organismos estatales.

Mensaje fraudulento / Foto: OSI.

En caso de recibir este tipo de mensajes, la OSI nos explica que el procedimiento a seguir es marcarlo como spam o correo no deseado y eliminarlo de la bandeja de entrada, en el caso de no haber introducido ningún tipo de dato personal en el enlace. En el caso de haberlo hecho, es importante informar a la entidad bancaria con la que se trabaje para que puedan tomar las medidas necesarias, como desactivar las tarjetas. Así mismo, recomiendan vigilar los movimientos de las cuentas y avisar de un posible cargo no autorizado. Tras recopilar las evidencias del fraude, hay que acudir a las Fuerzas y Cuerpos de Seguridad del Estado para interponer una denuncia adjuntando las pruebas obtenidas y seguir el proceso conveniente.

Suplantación a entidades bancarias

Otro de los engaños más habituales mediante mensajes y enlaces falsos es el que suplanta a entidades bancarias como CaixaBank, Santander, BBVA y Kutxabank. De nuevo, mediante una campaña de smishing, en los SMS fraudulentos se informa al usuario de que se ha realizado un cargo en su cuenta o que esta ha sido bloqueada, como explica la OSI. Para resolver la supuesta incidencia se adjunta un enlace, el cual redirecciona a una web fraudulenta con el objetivo de robar las credenciales de acceso a la banca online de la víctima.

Ejemplo de la página a la que dirige un link engañoso y que simula la página oficial del banco./ Foto: OSI.

Al acceder al enlace adjunto, el usuario verá una página falsa que se asemeja mucho a la legítima, y se le solicitará que ingrese sus credenciales de inicio de sesión, pero es falsa. Una vez ingresadas las credenciales y pulsado el botón de iniciar sesión, los ciberdelincuentes ya habrán robado nuestros datos.

Suplantación a la Agencia Tributaria y a las Fuerzas y Cuerpos de Seguridad del Estado

Circulan también en Internet otros potenciales peligros. El primero es una campaña de suplantación a la Agencia Tributaria, mediante el uso de la técnica de phishing. Esta pretende distribuir diversos tipos de malware o programas maliciosos. Para ello se envían dos tipos de mensaje, como indica la OSI: uno que alerta al usuario sobre un error debido a documentación inválida aprovechando la campaña de la declaración de la renta, y otro, que pretende ser un reembolso de impuestos del pasado año fiscal. En estos correos electrónicos se añade un enlace que descarga un archivo fraudulento comprimido con un ejecutable (.msi).

Para poder prever la amenaza existen varios indicios de falsedad. Por un lado, que el dominio del remitente no guarde ninguna relación con el de la Agencia Tributaria. Por otro lado, que se perciba un tono de urgencia que presione a la víctima. Y, por último, que el texto del correo electrónico presente errores de ortografía y de redacción.

También circulan una serie de correos electrónicos fraudulentos que buscan suplantar la identidad de la Policía Nacional y la Guardia Civil –como ya advirtió elcierredigital.com–. El motivo único es extorsionar a la víctima para que conteste al correo en el que se le acusa de cometer una serie de delitos relacionados con pornografía.

Carta falsa de la Guardia Civil que acusa de delitos de pornografía al receptor.

Además, se presiona a la víctima para que responda en un plazo limitado con una justificación y se le amenaza con una posible orden de detención en caso de no hacerlo. Algunos asuntos de los correos detectados hasta el momento son “su invitación” o “Justicia Nacional la pruebas información en su contra”. La incorrección gramatical o las posibles faltas ortográficas nos pueden hacer dudar rápidamente de su veracidad.

Otros casos de suplantación pasan por avisos de la Seguridad Social; correos electrónicos del supuesto Ministerio del Interior que invitan a la víctima a comprobar si ha sido elegido miembro de una mesa electoral del 23J pinchando en un enlace fraudulento; alertas del supuesto peligro en el que se encuentra un familiar, o falsos descuentos y promociones de comercios.

Ante el bombardeo de estafas, la Oficina de Seguridad del Internauta ofrece frecuentemente en sus redes sociales y en su página web consejos y avisos para mejorar la seguridad y solucionar vulnerabilidades en la red. Además, cuenta con vídeos explicativos, cuestionarios y portales de preguntas para formar a la ciudadanía y evitar la ciberdeliencuencia.

Consejos para protegerte del smishing

Para evitar posibles estafas, la Policía Nacional siempre recomienda que se verifique la legitimidad del mensaje a través de los propios canales oficiales de las empresas, que no se faciliten los datos bancarios y personales, y que se revisen los enlaces antes de usarlos.

Es recomendable desconfiar de ofertas o descuentos que te solicitan reaccionar de inmediato. Así mismo, ninguna institución financiera o estatal te enviará mensajes de texto pidiéndote datos con un simple enlace. Desde BBVA aconsejan no responder nunca los correos electrónicos que soliciten dinero, envíos de giros, datos bancarios, contraseñas o datos de tarjetas de crédito y no hacer clic en los enlaces de estos mensajes.

En caso de creer que el mensaje puede ser verdadero y que proviene, por ejemplo, de su banco, debe ingresar al sitio web de la institución escribiendo la dirección directamente en la barra del navegador, para evitar hacerlo en alguna página web realizada por el atacante.