Suplantación de SMS y del identificador de llamadas

11/01/2022

Los ciberdelincuentes cada vez emplean técnicas más sofisticadas. No solo se hacen pasar por quienes no son, sino que también imitan y suplantan los canales habituales de contacto de los bancos. Esta nueva entrada de la serie «Protégete contra el fraude» te permitirá actuar y sospechar en caso de que ocurra.

Como ya sabrás, el smishing es el envío de un SMS a tu móvil simulando ser tu banco con el objetivo de robarte información privada o hacerte un cargo económico, generalmente adjuntado un enlace a una página fraudulenta. Suelen ser más o menos fáciles de detectar.

No obstante, cabe la posibilidad de que estos SMS aparezcan en la misma sección donde con anterioridad habían llegado otros SMS reales de la entidad como los que te envían para las autorizaciones de pagos. ¿Cómo es eso posible? Cabe reemplazar el número de teléfono móvil desde el cual se envía el mensaje por un texto alfanumérico que aparenta ser la entidad, para que el destinatario, cuando lo reciba, no sospeche del emisor y acceda a realizar la operativa solicitada. Esta técnica, conocida como SMS spoofing, se realiza mediante diversas páginas web y aplicaciones móviles que permiten enviar SMS desde una fuente desconocida suplantando una identidad conocida con relativa facilidad. Fíjate en el ejemplo que te presentamos a continuación:

Algo parecido es posible en el caso de las llamadas. La suplantación de identidad telefónica (caller ID spoofing) consiste en que identificador de llamadas muestre un número de teléfono diferente al del teléfono desde el cual se realizó la llamada. En este caso el ataque se dirige a los números de atención telefónica de la entidad.

¿Qué puedo hacer para detectar y prevenir este tipo de fraude?

  • En el caso de los SMS, algunos móviles incorporan detectores de spam y bloquean este tipo de mensajes.
  • Aunque los recibes en el mismo sitio que el resto de mensajes de la entidad, fíjate en el formato o contenido, o si tienen faltas de ortografía.
  • También existen aplicaciones que te permiten conocer la identidad real del que te llama.
  • En cualquier caso, recuerda que desde la entidad nunca te pedirán que les facilites contraseñas o claves completas.
  • Usa el sentido común: coteja que lo que te dicen realmente es verdad, por ejemplo, si te llaman diciéndote que se ha hecho una operación fraudulenta, accede a tu posición y verifica que es cierto. O si no te cuadra lo que te dicen, cuelgas y les llamas tú.
  • Si no has realizado tú una operación, no tiene sentido que te llegue una clave temporal y mucho menos que el banco sea quien te la solicite verbalmente por teléfono. Y no, tu banco no necesita un código para anular esa supuesta operación fraudulenta.
¿Te ha parecido útil esta información?