Smishing: Una palabra tonta para un grave riesgo de fraude

Había algo claramente sospechoso cuando Beth, una discapacitada de 50 años de Carolina del Norte que nos pidió que no usáramos su apellido, recibió dos mensajes de texto diciendo que tenía dinero disponible para agregarlo a la cartera digital de su teléfono. 

Un mensaje decía: “Beth, pon esto en tu cartera y úsalo cuando quieras”. El otro decía: “El saldo de esta cuenta es tuyo. No hay que compartirlo.” Ambos mensajes incluían hiperenlaces.

Beth se acababa de convertir en el blanco de “smishing”, una táctica cada vez más común que los criminales están usando para cometer fraude.

En lugar de hacer clic en los enlaces incorporados, Beth borró los mensajes y los reportó al Better Business Bureau, una organización de vigilancia empresarial. “El dinero no te cae del cielo”, dijo a Consumer Reports, al explicar por qué los mensajes levantaron sus sospechas. Beth dice que ha estado en alerta máxima por fraude desde que fue blanco de llamadas de estafadores que dicen ser funcionarios del IRS o de la Administración del Seguro Social. 

La palabra smishing combina SMS, el formato técnico principal para los mensajes de texto, y phishing. Al igual que en otros ataques de phishing, los delincuentes se disfrazan de empleados del gobierno, representantes de soporte técnico, amigos perdidos desde hace mucho tiempo o instituciones financieras y tratan de atraer a las personas para que divulguen datos personales que podrían conducir a compras fraudulentas con tarjetas de crédito o al robo de identidad.

En 2018, la Comisión Federal de Comercio registró 93,331 quejas sobre mensajes de texto no deseados, incluyendo intentos de smishing. Esto representa un aumento del 30 por ciento con respecto al año anterior. Las quejas han seguido aumentando en 2019.

Los expertos en seguridad dicen que una de las razones del aumento de los mensajes de texto es que hoy en día la gente confía más en los mensajes de texto que en las llamadas telefónicas o los correos electrónicos. 

“Los mensajes de texto han reemplazado a la llamada telefónica como el canal de comunicación más popular entre los consumidores. Así que mientras ignoramos las llamadas telefónicas, estamos condicionados a responder a los mensajes de texto, y los estafadores lo están utilizando en su beneficio”, dice Al Pascual, cofundador de Breach Clarity, que desarrolla herramientas de protección contra el robo de identidad. Asimismo, dice: “los radares de los consumidores no están a la altura de los mensajes de texto como lo están con los correos electrónicos, y los delincuentes están teniendo éxito gracias a eso”.

Estafas bancarias y robo de identidad

Aunque Beth no fue engañada, muchas otras personas sí lo son.  

“Con la adopción de mensajes SMS para la autenticación de dos pasos, donde se envía un código de verificación, la gente está más acostumbrada a recibir códigos en SMS”, dice Javvad Malik, un defensor de la seguridad de KnowBe4, una empresa que se especializa en tecnología antiphishing y capacitación en concientización sobre phishing. 

Por ejemplo, a finales de 2018, los hackers de Ohio enviaron mensajes de texto falsos a usuarios haciéndose pasar por Fifth Third Bank, una institución bancaria regional que recientemente había introducido cajeros automáticos de dinero sin tarjeta que permiten a los usuarios obtener dinero en efectivo utilizando sólo un teléfono móvil.

Los textos falsos engañaron a unas 125 víctimas para que revelaran sus nombres de usuario y contraseñas y, según los registros de la corte, los criminales robaron $106,000 de cajeros automáticos en Illinois, Michigan y Ohio. Cuatro personas fueron detenidas en relación con el crimen. El caso está en curso y, hasta ahora, una persona ha sido acusada en el Tribunal de Distrito del Distrito Sur de Ohio.   

Además, los delincuentes pueden tener acceso a algo más que a la cuenta bancaria de la víctima. 

Los estafadores “pueden enviar un SMS con un enlace para que activen una tarjeta de crédito, y llevar a los usuarios a una página que les pide que introduzcan varios tipos de información personal”, dice Malik. También se puede engañar a las víctimas para que descarguen aplicaciones maliciosas que pueden utilizarse para interceptar mensajes o para recopilar datos personales de manera oculta. 

Con la información personal correcta a la mano, los delincuentes pueden usar el nombre de otra persona para abrir tarjetas de crédito, alquilar propiedades y cometer otros delitos. 

Cómo evitar el smishing

“Los delincuentes eligen el smishing porque funciona”, dice Pascual. Expertos en seguridad como él dicen que los consumidores pueden tomar varias medidas para protegerse de los mensajes de texto de aspecto sospechoso. 

• Ten cuidado con los mensajes que dicen ser de agencias gubernamentales, como el IRS o la Administración del Seguro Social. El IRS nunca te enviará un mensaje de texto no solicitado ni iniciará el contacto a través de mensajes de texto, correo electrónico o medios sociales. La Administración del Seguro Social permite que las empresas de mercadotecnia envíen correos electrónicos para crear conciencia sobre los servicios en línea del Seguro Social, y utiliza mensajes de texto para la autenticación de dos factores, pero sólo si tú has establecido esa medida de seguridad a través de tu cuenta en línea.  

• Una señal reveladora de que puedes estar siendo blanco de smishing es que un mensaje está tratando de transmitir un sentido de urgencia. Este tipo de estafas a menudo implican que se requiere una respuesta inmediata para aprovechar una oferta o para evitar una penalización.

• No te dejes engañar por un lenguaje amistoso y familiar. Los mensajes de texto pueden usar tu nombre. Aunque a menudo provienen de números desconocidos, a veces parecen haberse originado en un número de teléfono que tú reconoces. 

• Nunca hagas clic en enlaces incorporados de mensajes de texto sospechosos. Pueden contener un código malicioso que podría contaminar tu teléfono móvil.

• No respondas a mensajes de texto sospechosos, incluso si el mensaje dice que puedes responder “STOP” para evitar futuros mensajes. Cualquier respuesta de tu parte confirmará a los estafadores que el número está en uso, y estarás invitando a recibir más textos.

• Borra todos los textos sospechosos.

• Asegúrate de que el sistema operativo de tu teléfono esté actualizado. Android e iOS se actualizan constantemente con características de seguridad mejoradas. En los modelos Android y iPhone, la página de configuración del teléfono debe indicar qué sistema estás usando y si hay una actualización disponible. 

• Si recibes un texto sospechoso de una entidad que suena oficial y deseas comprobarlo, no utilices ninguna información contenida en el mensaje. Mejor llama o envía un correo electrónico a la compañía o agencia gubernamental directamente, utilizando un número de teléfono oficial de una factura reciente u otra fuente válida de información.

• También debes alertar del ataque a las autoridades encargadas de aplicar la ley, enviando un reporte o queja a la FCC o a la Comisión Federal de Comercio.

Inscríbete para recibir Lo último – nuestro boletín mensual. Recibe contenido nuevo entregado directamente a tu correo electrónico.

Consumer Reports is an independent, nonprofit organization that works side by side with consumers to create a fairer, safer, and healthier world. CR does not endorse products or services, and does not accept advertising. Copyright © 2019, Consumer Reports, Inc.