Los ciberdelincuentes no descansan en verano. La Policía Nacional y la Dirección General de Tráfico (DGT) están alertando a los usuarios a través de redes sociales sobre una nueva oleada de mensajes de texto fraudulentos. Consiste en unos SMS que suplantan la identidad de personas o entidades como la DGT, para solicitar el pago de una supuesta sanción y donde se piden los datos bancarios.
Smishing es una palabra compuesta que hace referencia a SMS (los mensajes cortos de texto que se pueden enviar entre teléfonos móviles) y phishing, el término para designar a la estafa de enviar correos electrónicos suplantando la identidad de otra persona, empresa o institución para engañarnos con el objetivo de que facilitemos información sensible sobre nosotros. Se trata de una vuelta de tuerca más en la creciente tendencia de los ciberdelincuentes para sustraer información sensible a los usuarios de internet, en concreto datos personales y bancarios.
Si en el phishing los delincuentes utilizan generalmente correos electrónicos supuestamente enviados por nuestra entidad bancaria, alguna plataforma de pago en la que tengamos una cuenta o servicios como la Agencia Tributaria, Google Drive, Correos y Telégrafos, etcétera, en el caso del smishing se utilizan mensajes de texto en forma de SMS o a través de las distintas aplicaciones de mensajería instantánea. El objetivo continúa siendo el mismo: engañarnos y conseguir que compartamos información personal, realicemos un pago, hagamos clic en un enlace malicioso o se nos descargue un archivo adjunto.
Según la Oficina de Seguridad del Internauta (@osiseguridad), el mayor riesgo de este tipo de ciberataques es el desconocimiento de los usuarios, ya que “no esperan ser engañados a través de un mensaje de texto”. Así, los expertos avisan que, “mientras que la mayoría de nosotros estamos concienciados sobre los riesgos de navegar por Internet, el spam y los correos electrónicos maliciosos, no percibimos el mismo nivel de amenaza cuando se trata de un mensaje de texto que nos notifica una actividad sospechosa. Nos propone una promoción única en la vida o nos informa sobre algún tema importante, todo ello simplemente accediendo a un enlace”.
Si has caído en esta estafa, la Oficina de Seguridad del Internauta recomienda calma y sentido común: “las prisas nunca nos ayudarán cuando se trata de luchar contra los ciberataques basados en la ingeniería social, por lo que pararnos unos minutos a analizar el mensaje que acabamos de recibir siempre es buena idea”. En este sentido, la OSI da estas pistas para identificar y protegerse del smishing:
- Desconfiar de remitentes desconocidos. Si recibimos un mensaje de una persona o entidad desconocida solicitando información, lo más prudente será ignorar y eliminar el mensaje. También debemos desconfiar si se trata de números de teléfono sospechosos.
- Desconfiar de promociones, cupones o concursos. Suelen utilizarse como anzuelos para obtener la atención de los usuarios y conseguir que accedan a enlaces fraudulentos o contactar con un número de teléfono de tarificación especial, por ejemplo.
- No facilitar nunca información personal. Una entidad de confianza jamás nos solicitará datos personales sin previo aviso, y mucho menos a través de un mensaje.
- No hacer clic en los enlaces bajo ningún concepto, ya que pueden llevarnos a webs fraudulentas. Es mejor contrastar la información primero y acceder a las páginas oficiales tecleando la URL en el navegador.
- No bajar archivos adjuntos, pueden contener malware con el que infectar nuestro dispositivo.
- Proteger nuestras cuentas con contraseñas robustas.
Si, aún siguiendo estos consejos, hemos sido víctimas del fraude de los SMS, la OSI recomienda recabar todas las evidencias posibles, como capturas de pantalla, datos de contacto e información personal que hayamos podido compartir con los ciberdelincuentes, y presentarlas ante la policía. También puedes reportarlo directamente al equipo de gestión de incidencias de INCIBE-CERT. Además, si sospechamos que se ha vulnerado la seguridad de nuestras cuentas, es importante que procedamos a cambiar las claves de acceso de nuestro banco, correo electrónico, redes sociales, etcétera.