Hoy en día, el smishing (suplantación de identidad a través de SMS) es muy popular entre los ciberdelincuentes, y cada vez se desarrollan amenazas más sofisticadas. Ya no se dirigen solo a los clientes de las grandes instituciones financieras, y también hace tiempo que quedaron atrás aquellos mensajes con faltas de ortografía o en un idioma incorrecto que permitían a los usuarios darse cuenta de que algo no iba bien.
Fraude a los a clientes de Laboral Kutxa
Actualmente, se recurre al uso de un lenguaje casi perfecto y sitios web falsos, que, incluso para los expertos en la materia resulta casi imposible percibir, a simple vista, si estamos ante un mensaje falso o uno real.
Avast, marca de consumo líder mundial en seguridad digital y privacidad de Gen™ (NASDAQ: GEN), ha detectado un caso de smishing cuyo objetivo eran son los clientes de un pequeño banco regional de España llamado Laboral Kutxa. El mensaje llegó vía SMS utilizando un español perfecto:
El enlace empieza por "https", lo que puede hacer creer a los usuarios que es real, ya que hace años una de las cosas en las que todos nos fijábamos cuando hacíamos transacciones online era que hubiera una conexión segura, y esa "s" de https significa seguro.
No haga caso a los SMS inesperados
Actualmente, casi todas las conexiones web son "seguras", en el sentido de que el tráfico de los navegadores está cifrado. No obstante, este hecho ya no implica la seguridad de los usuarios.
Al hacer clic en el enlace, este dirige al usuario a la página de inicio de sesión del banco, que imita casi a la perfección a la real. La de la izquierda es la de phishing, mientras que la de la derecha es la real del banco:
Los ciberdelincuentes están mejorando, y la mayoría de los clientes no podrían darse cuenta de que están en un sitio de phishing. Si se cae en la trampa, el sitio les pedirá el número de teléfono móvil:
Y después, reclamarán la confirmación mediante un código SMS:
Por supuesto, si se llega a este punto significará que la cuenta ha sido comprometida.
Con la llegada de herramientas de Inteligencia Artificial fáciles de usar la sofisticación de los ataques no hará más que mejorar, es imprescindible seguir un par de reglas:
- Nunca hacer clic en un enlace que se reciba por SMS, no importa lo urgente que sea el tema (de hecho, cuanto más urgente parezca, más posibilidades hay de que sea una estafa)
- Instalar un antivirus en el dispositivo para que pueda detectar y bloquear sitios de phishing, en caso de un clic erróneo, por ejemplo.
Al día siguiente de conocer este caso, la Policía Nacional de España detuvo a 17 personas que habían estado llevando a cabo una estafa de smishing y habían robado 145.000 euros a 170 víctimas.