(+34) 910 42 42 93 [email protected]

sms confianza

Creo que todos estaremos cuando digo que hoy en día, recibir un SMS comercial, es sí o sí considerado invasivo, y lo peor de todo, potencialmente peligroso.

¿La razón? Pues todas las campañas de fraude que intentan usar este protocolo de comunicación para engañar a sus víctimas.

Crear campañas de smishing (fraude vía SMS) es tan fácil y económico, que aunque el porcentaje de éxito sea muy bajo, sigue mereciendo la pena hacerlo.

Así, no es raro que de vez en cuando recibamos, supuestamente, un envío de Correos que espera ser recogido, o que un banco (en el que probablemente ni siquiera tenemos cuenta) nos alerta de que van a cobrarnos una comisión si no entramos de inmediato a cancelarla, o que la Agencia Tributaria/La Dirección de Tráfico nos ha interpuesto una multa por algún trámite que en teoría hicimos mal.

Obviamente, todo son timos, pero como llegan por el mismo canal (SMS) que usan las fuentes originales, e incluso algunas veces vienen identificadas como ellas (en vez de salir un número de teléfono aleatorio, sale el nombre de Correos, o del Banco Santander, o de Hacienda…), pues la gente cae en el timo.

Y luego nos escriben preguntando qué pueden hacer.

Un problema que la industria ha creado

Lo fácil, llegados a este punto, sería decir que lo mejor que podemos hacer es dejar de usar los SMS para comunicaciones con clientes/usuarios de este tipo de servicios.

¿El problema? Pues que no siempre existe una buena alternativa al SMS como canal informativo.

O bien esa notificación nos llega vía App instalada en el móvil, o bien nos llega vía email. Pero claro, tenemos que tener en cuenta que no todo el mundo está dispuesto a instalar decenas de aplicaciones en su móvil (incluso a lo mejor ni siquiera pueden o saben), y que también hay un porcentaje significativo de usuarios que no revisan habitualmente su correo electrónico, o que ni tan siquiera tienen uno.

Sin embargo, un número de teléfono, y por tanto un SMS, pues es lo más habitual del mundo.

A cambio, recordemos que el SMS no ha sido diseñado para realizar comunicaciones de este tipo, y que aunque hay acercamientos a un sistema, por ejemplo, que centralice la identificación de envíos vía SMS, como ya hemos visto anteriormente, falla más que una escopeta de perdigones (es posible hoy en día aparentar que un SMS se envía desde otro número de teléfono, por tanto, usurpando la identificación de cualquier número).

2FA aplicado a los SMS

Para remediarlo, algunas compañías como Correos están empezando a añadir en sus SMS un código alfanumérico, generado de forma pseudo-aleatoria, y que hace las veces de segundo factor de autenticación.

De esta manera, cualquier usuario que reciba un SMS o correo de Correos, puede ir a su página web, colocar el código de seguridad, y confirmar si en efecto ese código corresponde a un envío legítimo de correos, o es un fraude.

El código, por cierto, solo funciona la primera vez que se prueba. En el caso de que otra persona (o tú mismo) vuelvas a pedir la verificación, te avisará de que ese código es legítimo pero ya ha sido verificado, de manera que podría servir para evitar el uso por parte de los cibercriminales (con la primera víctima quizás pueda servir, pero la segunda sabrá que ese código ya ha sido verificado anteriormente, y si no lo hizo esta persona… ¿quién lo hizo?).

En otros casos, sin embargo, se está apostando por incluir datos personales como el DNI del cliente.

Es cierto que este sistema es bastante más básico e inseguro (a fin de cuentas, puede que los cibercriminales sí tengan el DNI de la persona también), pero reduce significativamente el éxito de las campañas fraudulentas, habida cuenta de que entonces ya no les valdrá con crear un envío masivo genérico. Tendrán que personalizarlo para cada víctima, aumentando considerablemente los costes de implementación.

No hay una solución definitiva en mente

Sea como fuere, el caso es que todas las medidas aportadas hasta ahora se quedan cojas.

Incluso esa web de verificación de Correos tiene el problema clásico de cualquier campaña de phishing, sea vía SMS, sea por el canal que sea: Los cibercriminales pueden recrear la plataforma de verificación, redirigiendo a la misma desde el porpio SMS, para que el usuario piense que ese código es único para él, cuando en la práctica se ha enviado masivamente el mismo código (o cualquier código da como resultado un verificado).

Que al final todo se reduce a la misma esencia del éxito de estos timos: Atacan a la persona, no al dispositivo, llevándole a una web que parece ser la oficial, pero que está bajo el control de los ciberciminales.

Y mientras no consigamos resolver de forma eficiente y definitiva este problema, seguiremos teniendo víctimas…

Qué deberíamos hacer para minimizar el riesgo a caer en un timo vía SMS

  1. Desconfiar por defecto en las comunicaciones que nos lleguen vía SMS: Es triste decirlo, pero a falta de un sistema que realmente permita identificar fraude de contenido legítimo, lo mejor que podemos hacer es, por defecto, desconfiar de todo lo que nos llegue.
  2. Verificar el contenido por otro canal: Si aún así, queremos saber si en efecto lo que dice el mensaje es verdad, lo mejor que podemos hacer es buscar el número de teléfono del servicio en particular (nada de llamar al mismo número que aparece en el mensaje) para contrastar información. A nuestro gestor de banco, a la oficina de Correos más cercana… Eso o presentarnos físicamente en el local en cuestión y preguntarles sobre ese SMS.
  3. No abrir nunca enlaces de un SMS: Aunque nos llegue una notificación supuestamente oficial, lo mejor que podemos hacer para contrastarla es acceder desde la app oficial o desde la web (buscándola en Google), pero no desde el propio enlace en el mensaje, ya que este podría llevarnos a otra web distinta con el mismo diseño.

Y por supuesto, sigue siendo muy recomendable recordar los 3 puntos que tenemos que revisar para identificar campañas de phishing.

En CyberBrainers ayudamos a empresas y usuarios a prevenir, monitorizar y minimizar los daños de un ataque informático o una crisis reputacional. Si estás en esta situación, o si quieres evitar estarlo el día de mañana, escríbenos y te preparamos una serie de acciones para remediarlo.

Otros timos que deberías conocer

Pablo F. Iglesias
Pablo F. Iglesias

Pablo F. Iglesias es Consultor de Presencia Digital y Reputación Online, director de la Consultora CyberBrainers, escritor del libro de ciencia ficción «25+1 Relatos Distópicos» y la colección de fantasía épica «Memorias de Árganon», un hacker peligroso, y un comilón nato 🙂


Suscríbete a nuestro boletín de reputación online
Recibe de manera totalmente gratuita, una vez al mes, un informe con recomendaciones de seguridad y reputación.
Suscríbete a nuestro boletín de reputación online
Recibe de manera totalmente gratuita, una vez al mes, un informe con recomendaciones de seguridad y reputación.