El Santander ha alertado de que vuelve a circular un mensaje de texto enviado indiscriminadamente a teléfonos móviles a través de SMS y que supuesamente serían enviados por la entidad bancaria, pero no. Es un intento más de los estafadores por crear confusión, engañarte y quedarse con tus datos bancarios desde tu propio terminal, es lo que se conoce como 'smishing', un tipo de ataque de ingeniería social, muy parecido al 'phishing'. Y claro, como los ciberdelincuentes tienen a las víctimas, en el caso de que caigan en el engaño, operando con su teléfono móvil, es muy difícil detectar la sustracción en tiempo real de cantidades de dinero de sus cuentas corrientes.
Cibercrimen
Con este tipo de mensajes los ciberdelincuentes pretenden conseguir información confidencial (contraseñas, datos bancarios) de las personas a las que les llega un SMS con un enlace fraudulento adjunto.
Además, la Policía Nacional advierte de forma recurrente de este cibercrimen a través de sus redes sociales. Según la entidad bancaria, el SMS detectado tiene como remitente 'SANTANDER' y comienza así "Nuevo dispositivo conectado a su banca online, si no reconoce dicha acción verifique inmediatamente" y se adjunta un enlace fraudulento.
Otros usuarios han recibido otro tipo de mensajes como este: "Nuestro sistema nos alerta de un pre-cargo no autorizado de 2090,99 EUR con su tarjeta. para cancelar el cobro sigue nuestro enlace" y de igualmanera se adjunta un enlace engañoso que nos llevaría a un entorno web que no es del banco.
¿Qué es el smishing?
El smishing es una variante del phishing para conseguir información confidencial (contraseñas, datos bancarios...) de usuarios. El Instituto Nacional de Ciberseguridad de España (INCIBE), a través de su Oficina de Seguridad del Internauta (OSI), y el Banco de España, han alertado de un notable aumento de los ataques de Smishing contra los clientes bancarios. Te explicamos qué es y algunas recomendaciones de seguridad básicas para protegerte.
¿Qué es y para qué sirve?
El smishing es un tipo de ataque de ingeniería social que se realiza a través de la mensajería del teléfono móvil o por SMS. El objetivo es obtener información personal, contraseñas, números de tarjetas de crédito y/o números de cuentas bancarias y en general cualquier tipo de información sensible o confidencial que permite a los ciberdelincuentes cometer estafas o fraudes electrónicos.
Para conseguir su propósito, el atacante utilizará la suplantación de identidad de personas y organizaciones. De forma que en el caso de que quieran obtener la información bancaria de sus víctimas para cometer una estafa o fraude, los atacantes enviarán mensajes SMS haciéndose pasar por la entidad bancaria de la víctima (SMS Spoofing) para obtener las credenciales de acceso a su banca electrónica (usuario y contraseña) y el código de un solo uso que se envía al móvil de usuario para confirmar el acceso.
¿Cómo se realiza?
Los atacantes envían mensajes a través de la mensajería instantánea o por SMS en los que se hacen pasar por una organización o entidad de confianza de sus víctimas y comunican, por ejemplo, un cargo no autorizado, una operación fraudulenta, un acceso no permitido o, incluso, la necesidad de una autenticación o mejoras de seguridad. El objetivo de estos mensajes es alarmar al usuario para que realice alguna acción sin pensarlo demasiado.
La comunicación puede inducir al usuario a que llame a un determinado número de teléfono para realizar la gestión, donde se solicitarán los datos que necesita el atacante; o a que pinche en un link que le redigirá a una página web maliciosa, donde se le pedirá al usuario que introduzca sus credenciales de la banca electrónica (usuario y contraseña) u otros datos sensibles.
El Smishing es la variante más simple de este tipo de ataques, aunque los ciberdelincuentes pueden realizar estafas más elaboradas, como el SMS Spoofing, ya que son más difíciles de detectar para los usuarios.
En el SMS Spoofing, los atacantes consiguen que los mensajes se reciban en nombre del propio Banco, logrando que incluso llegue a nuestro hilo de mensajes legítimo con la entidad. Esto lo pueden realizar gracias a servicios que dan forma al remitente. Es decir, al usuario que envía el mensaje. Por lo que la recomendación es siempre desconfiar de mensajes que solicitan información personal o bancaria y contactar con la entidad mediante canales oficiales para confirmar la veracidad del mensaje, así como para reportar a la entidad la suplantación.
Recomendaciones de seguridad: cómo evitar smishing
Ante el elevado número de ataques de smishing y SMS Spoofing, lo más recomendable es adoptar algunas recomendaciones y hábitos de seguridad:
- Mantener una actitud de reserva hacia mensajes o SMS inesperados en los que se soliciten datos sensibles, acceder a un enlace web o utilizar un código QR. En caso de duda, es preferible contactar con la entidad remitente por los canales oficiales para asegurarnos que no se trata de una actividad fraudulenta.
- No proporcionar nunca información de acceso: usuario y contraseña, código de acceso que llega por SMS al teléfono móvil para confirmar operaciones o gestiones, ni cualquier otra información personal o bancaria.
- No hacer clic en los links a páginas web, o utilizar códigos QR que nos envían a través de mensajería instantánea o SMS, al igual que en correos electrónicos. Ve directamente a través del navegador o un buscador a la página a la que deseas ir y no a través de links sospechosos o códigos QR.
- Activar las alertas en la aplicación de banca electrónica para detectar accesos u operaciones no autorizadas.
- En caso de duda, contactar con la entidad bancaria u organización a través de los canales de comunicación oficiales (teléfono de atención al cliente, contacto a través de la página web o correo electrónico).
- Recuerda que, como entidad bancaria, nunca se te pedirá a través de mensajes de texto ni llamadas inesperadas tu información bancaria.
