Cada vez más el móvil se está convirtiendo en la herramienta que nos acompaña a todas partes y que usamos para todo tipo de gestiones. Los ciberdelincuentes lo saben y continuamente diseñan engaños más sofisticados para meter mano a nuestro dinero, a través del móvil. Uno de ellos es el phishing por SMS. Si áun no eres víctima de este fraude telemático lee atentamente cómo detectarlo. Y si ya lo has sido, te decimos cómo reclamarlo, con la ayuda del despacho de abogados especializado, Sello Legal Abogados.
Tabla de contenidos
Qué es el phishing
La palabra phishing es un anglicismo que se forma de las palabras inglesas «password harvesting fishing» (recolección y pesca de contraseñas).
El objetivo de esta técnica maliciosa es obtener las claves de un usuario de cualquier servicio online para hacer un mal uso de la información y contenido del servicio atacado. Esto incluirá suplantar tu identidad para cometer delitos en tu nombre, enviar spam desde tu cuenta, o directamente, estafar dinero de tu cuenta si el servicio atacado es un banco.
La técnica para hacerlo es suplantar la identidad visual de un tercero por nosotros conocido, haciéndote creer que estás en su web corporativa y en un entorno seguro, con el fin de obtener, mediante engaño, tus claves personales de usuario del servicio emulado.
Las consecuencias pueden ser catastróficas. En caso de que facilitemos nuestros datos bancarios (acceso a cuentas online, claves de tarjetas bancarias, etc.), al phisher, el malvado ciberdelincuente que lanza el ataque a miles de usuarios a la vez, corremos el riesgo de exponer nuestro dinero, activos, claves, información personal, a un tercero. Y este no dudará en hacer el peor uso posible de esta información, activos, dinero, etc.
Si buscas más información al respecto no dudes en leer este artículo sobre el tema.
La nueva práctica del smishing
Básicamente, el engaño del phishing por SMS (smishing) consiste en enviarte un mensaje SMS o MMS a tu móvil haciéndose pasar por un banco del que eres cliente (si no eres cliente de ese banco, ya puedes desconfiar).
O también de una empresa de mensajería que te informa de un problema de aranceles aduaneros con el envío que tienes pendiente de recibir. O de un servicio público o privado conocido por todos y de los que casi todos somos clientes que necesita actualizar tu información personal.
En el caso del mensaje bancario, si aciertan con tu entidad (Caixabank, BBVA, Santander, etc.), el mensaje te informará de que tu cuenta personal bancaria se va a cancelar o está bloqueada y necesitas actualizar tu contraseña. Y que para desbloquearla, debes hacer clic urgentemente en una URL corta que incluye el mensaje SMS.
Si eres incauto y pinchas en la URL, accederás con el móvil a una página o App móvil absolutamente similar a la que uses habitualmente con tu banco. Por tanto, si no eres avispado, caerás en el engaño del «Introduce tus claves para restrablecer tus contraseñas». Y probablemente introduzcas tus claves de usuario de banca personal en esa web fraudulenta para facilitárselas al phisher.
Una vez en su poder tus claves, el ciberdelincuente podrá ingresar en tus cuentas bancarias y tratar de robar tu dinero e información personal mediante compras online o hacer transferencias a bancos de difícil rastreo fuera de la UE.
Un ejemplo real
Este de arriba es un ejemplo del SMS que se recibe del supuesto Banco Santander. Incluso si no eres cliente de ese banco.
En el mensaje se te asegura que tu cuenta ha sido bloqueada temporalmente por razones de seguridad. Y, claro, te ofrecen la «solución»: que la reactives usando tus claves de banca por Internet del Santander.
Y para ello tienes que entrar en la URL: https://santander.es-gestion.gq
Descifremos esta URL para entender mejor cómo nos intentan engañar con el smishing:
- Es un protocolo https, con lo cual nos puede dar idea de que accedes a un dominio seguro. Pero, claro, puede serlo seguro también si un delincuente compra un certificado https. Así que desconfía.
- El dominio de esta URL, no es Santander, como pudiera pensarse, sino es-gestion.gq.
- El sufijo .gq de este dominio es de Guinea Ecuatorial así que nueva razón para desconfiar aquí en España.
- El trozo de la URL «santander» se llama subdominio y es lo que, unido al «es» con el que comienza el dominio es-gestion.gq, podemos caer en el engaño.
- Si buscas información del titular del dominio no hay ningún dato visible.
Cómo denunciar un caso de phishing por SMS
Hay básicamente tres tipos de acciones que puedes (debes) llevar a cabo en caso de sufrir un phishing por SMS. Por un lado comunicarlo a tu banco de inmediato y denunciarlo a las fuerzas de seguridad del Estado. Y por otro buscar asesoramiento jurídico para recuperar tu dinero estafado en caso de sufrir un perjuicio económico o moral.
Comunicar a tu banco
Informa a tu banco del mensaje recibido para que ellos puedan, a su vez, informar al resto de clientes de ese intento concreto de fraude online. Y para que puedan bloquear tu cuenta y medios de pago de inmediato.
Denunciar a los cuerpos de seguridad del Estado
Si recibes uno de estos mensajes SMS fraudulento pero no lo has abierto, y por tanto no has sufrido ninguna estafa, dalo a conocer públicamente. Idealmente, denúncialo ante la Guardia Civil o la Policía Nacional.
Esta vía será mejor que la distribución directa en redes sociales, ya que estos organismos tienen mucha más llegada a más gente a través de sus perfiles en redes sociales.
- La Guardia Civil dispone de un Grupo de Delitos Telemáticos (GDT) dentro de su Unidad Central Operativa. Disponen de un formulario por el que puedes denunciar un delito informático o telemático.
- Por su parte, el Cuerpo Nacional de Policía dispone de una unidad de delitos tecnológicos donde puedes denunciar todo tipo de hechos presuntamente delictivos relacionados con Internet y la tecnología. Por ejemplo, pornografía infantil, fraudes en Internet, abusos sobre menores, amenazas, extorsiones, fraudes en Internet, virus informáticos, delitos contra la propiedad intelectual etc.
Reclamar a tu banco
Si has sido víctima de uno de estos mensajes SMS fraudulento relacionado con tu banco y te han robado dinero de tu cuenta, no desesperes, porque puedes reclamar. Y es recomendable hacerlo con el asesoramiento de un despacho de abogados solvente.
Ahora puedes, con la asistencia letrada de un abogado/a experto/a, denunciar a tu entidad financiera por no haber implementar las medidas de seguridad oportunas para proteger tu cuenta bancaria.
Qué podemos hacer para evitar estas estafas por SMS
La mejor receta para evitar caer en las redes de un phishing de cualquier tipo, incluídos los phishing por SMS, es desconfiar. Hay que desconfiar de cualquier SMS que nos llegue pidiéndonos hacer algo no habitual y con apariencia de ser un servicio real que conocemos. O que nos conmina a una acción(entrar en una web, pinchar en un enlace, facilitar o actualizar datos personales) con cierta urgencia.
Ningún banco, empresa o servicio público oficial te puede pedir que ingreses tus claves de usuario por ningún medio ni por ningún motivo. De hecho, ellos no deben tener acceso a tus claves de usuario. Si se te han olvidado, deberán poder permitirte generar una nueva clave, pero no deberían tener acceso a las mismas.
En segundo lugar, es recomendable avisar a las personas menos avezadas en el uso de las nuevas tecnologías a estar prevenidas de este tipo de técnicas de captación de información sensible por el móvil o el PC. Las personas mayores y los niños con móvil son los grupos de población más susceptibles de caer en estos engaños.
Recuerda que el objetivo de este tipo de mensajes es buscar tu reacción rápida e irreflexiva. Es decir, que ante su estímulo, hagas clic en la URL que incluye el mensaje, para pedirte tus claves de acceso a ese servicio. Y como poco, para introducir un gusano o virus informático en tu móvil (lo que se conoce en inglés como malware), que te puede causar mucho daño.