Estafa de 'smishing', como detectarlo y como protegerte: si te piden datos personales, foto del DNI y un 'selfie', ignóralo y denuncia

El Instituto Nacional de Ciberseguridad (Incibe) ha lanzado una advertencia sobre una nueva y peligrosa estafa informática que está circulando.

Esta vez, los ciberdelincuentes han recurrido a una táctica ingeniosa y manipuladora: hacerse pasar por los Servicios Sociales y solicitar a las víctimas que proporcionen tres fotografías, dos del documento nacional de identidad (DNI) y una de su propio rostro. Bajo la excusa de verificar expedientes, esta trampa ha sido bautizada como 'smishing', una variante del 'phishing' que se vale de mensajes de texto (SMS) para engañar a las personas.





Pero,¿Qué es el smishing?


Se trata de un mensaje que, a menudo, afirma ser de tu banco y te pide información personal o financiera, como tu número de cuenta o del cajero automático. Proporcionar la información es tan bueno como dar la clave de tu saldo bancario a los ladrones.

Smishing es una palabra compuesta por "SMS" (servicios de mensajes cortos, más conocidos como mensajes de texto) y "phishing". Cuando los ciberdelincuentes hacen "phishing", envían correos electrónicos fraudulentos que intentan engañar al destinatario para que abra un archivo adjunto cargado de malware o haga clic en un enlace malicioso. El smishing simplemente utiliza mensajes de texto en lugar de correo electrónico.

Los mensajes de texto son el uso más común de los smartphones. Experian descubrió que los usuarios de móviles adultos de entre 18 y 24 años envían más de 2022 textos al mes (de media, son 67 al día) y reciben 1831.

La mayoría de la gente sabe algo de los riesgos de fraudes de correo electrónico. Probablemente has aprendido a desconfiar de los correos electrónicos que dicen "Hola, mira este interesante enlace" y no contienen un mensaje personal real del supuesto remitente. Muchos asumen que sus smartphones son más seguros que los ordenadores, pero la seguridad de los smartphones tiene limitaciones y no puede proteger directamente contra el smishing. Como señaló WillisWire, el cibercrimen dirigido a dispositivos móviles se está disparando, así como el uso de dispositivos móviles.

Otro factor de riesgo es que utilices tu smartphone en cualquier parte, a menudo cuando estás distraído o tienes prisa. Esto significa que tienes más probabilidad de que te pillen desprevenido, con la guardia baja, y respondas sin pensar cuando recibas un mensaje que te solicita información bancaria o para canjear un cupón



¿Cómo detectar el 'smishing'?


La principal característica de los mensajes de texto fraudulentos que utilizan, es que presentan notables deficiencias en la redacción y la ortografía, lo que debería despertar sospechas. Además, la comunicación varía entre un tono formal e informal, una señal clara de que se trata de un intento de engaño.

Estos mensajes incluyen una dirección de correo electrónico a la que se instruye a las víctimas a enviar la información solicitada. Sin embargo, este correo electrónico es un indicador inequívoco de que se trata de una estafa, ya que se trata de un dominio no oficial. Es importante tener en cuenta que organizaciones legítimas, ya sean entidades gubernamentales o empresas, utilizan direcciones de correo electrónico específicas y no dominios genéricos como 'gmail.com' o 'hotmail.com'.

Aquellos que caigan en esta trampa y compartan su información personal corren el riesgo de que los ciberdelincuentes la utilicen para actividades fraudulentas, incluida la suplantación de identidad.

Ejemplos:

Siempre que tengas dudas de la veracidad de un correo o SMS, puedes contactar con la empresa de reparto. Busca en tu navegador la web oficial de dicha empresa y llama al teléfono o correo que proporcionen. Además, muchos de estos servicios han creado un área de respuesta a incidentes para atender casos de posibles fraudes que utilicen su marca e imagen, por lo cual puedes contar con ellos para que te informen sobre algún caso particular. Para comprobar que es la web oficial del servicio de reparto, revisa que la URL comience por https://. Además, debes mirar si el navegador muestra un símbolo de un candado. Al hacer clic en él, mostrará qué tipo de certificado SSL tiene instalada la web.
 




Hay gran variedad de virus destinados a infectar nuestros dispositivos, que utilizan como pretexto el seguimiento de un paquete, especialmente para móviles. Generalmente, intentan engañarnos para que instalemos programas maliciosos que suelen venir ocultos en una “aplicación” de una empresa de reparto para el rastreo de un paquete. Por norma general, antes de descargar la aplicación que te ofrecen a través de un enlace o mensaje, búscala en las tiendas oficiales de tu dispositivo, asegurándote de que es la oficial de la empresa. ¡Nunca descargues una app a través de un QR o enlace que te proporcionen en un SMS o email!





Si recibes un enlace o archivo de una persona conocida, pero no habías pedido que te lo enviara y la explicación que te proporciona no es con el vocabulario que comúnmente utiliza contigo, confirma con esa persona que te lo ha enviado voluntariamente, es decir, que te ha enviado conscientemente dicho enlace y qué contiene o qué vas a encontrar en él. Además, puedes colocar el cursor del ratón sobre el link, sin hacer clic, para saber adónde te va a redirigir. En el caso de un móvil, puedes saber la dirección de destino del enlace presionando varios segundos sobre él.






¿Te exigen con urgencia que compruebes algo en el SMS o correo? ¡Desconfía de las prisas! Es una de las estrategias utilizadas para captar la atención de las posibles víctimas.





¿Cómo me puedo proteger?


De hecho, puedes mantenerte seguro sin hacer nada en absoluto. El ataque solo puede provocar daños si muerdes el anzuelo. Hay algunas cosas que debes tener en cuenta que te ayudarán a protegerte contra estos ataques. 

・Debes considerar las alertas de seguridad urgentes y los canjes de cupones, ofertas u oportunidades que requieren que actúes rápido como signos de advertencia de un intento de pirateo.

・Ninguna institución financiera o empresa te enviará un mensaje de texto que te pide que actualices la información de tu cuenta o que confirmes el código de tu tarjeta de cajero automático. Si recibes un mensaje que parece ser de tu banco o de una empresa con la que haces negocios, y te pide que hagas clic en algo en el mensaje, se trata de un fraude. Llama a tu banco o a la empresa directamente en caso de duda.

・Nunca hagas clic en un enlace o número de teléfono de un mensaje del que no estás seguro.

・Busca números sospechosos que no parezcan números de teléfono móvil auténticos, como "5000". Como señala Network World, estos números están relacionados con servicios de correo electrónico como mensaje de texto, que los estafadores a veces utilizan para evitar proporcionar sus números de teléfono reales.

・No guardes tu tarjeta de crédito o información bancaria en el smartphone. Si no contienen la información, los ladrones no pueden robarla, incluso aunque filtren malware en tu teléfono.

・Niégate a morder el anzuelo, simplemente no respondas.

・Informa de todos los ataques de smishing para tratar de proteger a los demás.

・Mantén tus dispositivos actualizados y protegidos con antivirus, ellos son la primera barrera defensiva contra los programas maliciosos.

・Inhabilita la opción “Instalación de aplicaciones de orígenes desconocidos” en la configuración de tus dispositivos para no descargar aplicaciones no deseadas de fuentes no oficiales o desconocidas.

・No descargues aplicaciones o programas a través de enlaces recibidos, búscalos en las tiendas y webs oficiales.

・Realiza copias de seguridad de tus dispositivos frecuentemente para no llevarte disgustos y almacena dichas copias en lugares externos a tu dispositivo, como discos externos o en un servicio en la nube.

・No facilites tus datos a páginas que pienses que son sospechosas o que desconoces su legitimidad.

・No abras archivos adjuntos ni ejecutables sin confirmar la entidad del emisor del mensaje.

・Si te solicitan un pago a través de SMS o correo, desconfía y consulta directamente a las fuentes implicadas a través de otras vías, asegurándote de que son las oficiales.

Recuerda que, al igual que el phishing por correo electrónico, el smishing es un delito de engaño. Depende de engañar a la víctima para que coopere haciendo clic en un enlace o proporcionando información. De hecho, la protección más sencilla contra estos ataques es no hacer nada en absoluto. Mientras no contestes, un mensaje de texto malintencionado no puede hacer nada. Ignóralo y desaparecerá.



¿Qué hacer si te intentan estafar?



Lo más habitual es que las personas que no han proporcionado información personal bloqueen al remitente y eliminen el mensaje como medida de precaución. Sin embargo, aquellos que hayan caído en la trampa deben tomar medidas adicionales. El Instituto Nacional de Ciberseguridad (Incibe) recomienda conservar todas las pruebas y presentar una denuncia ante las autoridades de seguridad. Además, recomienda seguir una serie de pasos que puedes realizar si has entregado datos personales:

・Guarda todas las evidencias del caso, como capturas, enlaces, correos, SMS, para así poder presentar una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado. Para ello utiliza testigos online.

・Informa del fraude a INCIBE o solicita ayuda a través de la línea gratuita de ayuda en ciberseguridad para que reducir el número de víctimas lo antes posible.

・Practica durante los siguientes meses el 'egosurfing' (buscarse a sí mismo en internet) para así ver si tus datos personales quedaron expuestos en la red, te recomendamos que utilices herramientas como Google Dorks.

・En caso de duda, contacta con los Servicios Sociales de tu provincia para verificar que realmente necesiten alguna información por tu parte.

Recuerda siempre verificar que las notificaciones que recibes son de fuentes oficiales, prestando atención a la redacción y a qué datos sería normal que te solicitaran.



Darle la importancia necesaria a cualquier mensaje susceptible de ser una estafa


El sentido común es clave para protegerse de estas estafas. Siempre debemos verificar la autenticidad de las comunicaciones que recibimos, prestando especial atención a los errores gramaticales, las direcciones de correo electrónico sospechosas y los enlaces que nos faciliten.

Las instituciones legítimas absolutamente nunca solicitarán información personal a través de correos electrónicos genéricos, ya que tienen sus propios dominios.

La ciberseguridad es una responsabilidad compartida, y mantenerse informado y alerta es crucial para evitar caer en trampas digitales como esta.


No hay comentarios:

Publicar un comentario