Creo que todos estaremos cuando digo que hoy en día, recibir un SMS comercial, es sí o sí considerado invasivo, y lo peor de todo, potencialmente peligroso.
¿La razón? Pues todas las campañas de fraude que intentan usar este protocolo de comunicación para engañar a sus víctimas.
Crear campañas de smishing (fraude vía SMS) es tan fácil y económico, que aunque el porcentaje de éxito sea muy bajo, sigue mereciendo la pena hacerlo.
Así, no es raro que de vez en cuando recibamos, supuestamente, un envío de Correos que espera ser recogido, o que un banco (en el que probablemente ni siquiera tenemos cuenta) nos alerta de que van a cobrarnos una comisión si no entramos de inmediato a cancelarla, o que la Agencia Tributaria/La Dirección de Tráfico nos ha interpuesto una multa por algún trámite que en teoría hicimos mal.
Obviamente, todo son timos, pero como llegan por el mismo canal (SMS) que usan las fuentes originales, e incluso algunas veces vienen identificadas como ellas (en vez de salir un número de teléfono aleatorio, sale el nombre de Correos, o del Banco Santander, o de Hacienda…), pues la gente cae en el timo.
Y luego nos escriben preguntando qué pueden hacer.
Índice de contenido
Un problema que la industria ha creado
Lo fácil, llegados a este punto, sería decir que lo mejor que podemos hacer es dejar de usar los SMS para comunicaciones con clientes/usuarios de este tipo de servicios.
¿El problema? Pues que no siempre existe una buena alternativa al SMS como canal informativo.
O bien esa notificación nos llega vía App instalada en el móvil, o bien nos llega vía email. Pero claro, tenemos que tener en cuenta que no todo el mundo está dispuesto a instalar decenas de aplicaciones en su móvil (incluso a lo mejor ni siquiera pueden o saben), y que también hay un porcentaje significativo de usuarios que no revisan habitualmente su correo electrónico, o que ni tan siquiera tienen uno.
Sin embargo, un número de teléfono, y por tanto un SMS, pues es lo más habitual del mundo.
A cambio, recordemos que el SMS no ha sido diseñado para realizar comunicaciones de este tipo, y que aunque hay acercamientos a un sistema, por ejemplo, que centralice la identificación de envíos vía SMS, como ya hemos visto anteriormente, falla más que una escopeta de perdigones (es posible hoy en día aparentar que un SMS se envía desde otro número de teléfono, por tanto, usurpando la identificación de cualquier número).
2FA aplicado a los SMS
Para remediarlo, algunas compañías como Correos están empezando a añadir en sus SMS un código alfanumérico, generado de forma pseudo-aleatoria, y que hace las veces de segundo factor de autenticación.
De esta manera, cualquier usuario que reciba un SMS o correo de Correos, puede ir a su página web, colocar el código de seguridad, y confirmar si en efecto ese código corresponde a un envío legítimo de correos, o es un fraude.
El código, por cierto, solo funciona la primera vez que se prueba. En el caso de que otra persona (o tú mismo) vuelvas a pedir la verificación, te avisará de que ese código es legítimo pero ya ha sido verificado, de manera que podría servir para evitar el uso por parte de los cibercriminales (con la primera víctima quizás pueda servir, pero la segunda sabrá que ese código ya ha sido verificado anteriormente, y si no lo hizo esta persona… ¿quién lo hizo?).
En otros casos, sin embargo, se está apostando por incluir datos personales como el DNI del cliente.
Es cierto que este sistema es bastante más básico e inseguro (a fin de cuentas, puede que los cibercriminales sí tengan el DNI de la persona también), pero reduce significativamente el éxito de las campañas fraudulentas, habida cuenta de que entonces ya no les valdrá con crear un envío masivo genérico. Tendrán que personalizarlo para cada víctima, aumentando considerablemente los costes de implementación.
No hay una solución definitiva en mente
Sea como fuere, el caso es que todas las medidas aportadas hasta ahora se quedan cojas.
Incluso esa web de verificación de Correos tiene el problema clásico de cualquier campaña de phishing, sea vía SMS, sea por el canal que sea: Los cibercriminales pueden recrear la plataforma de verificación, redirigiendo a la misma desde el porpio SMS, para que el usuario piense que ese código es único para él, cuando en la práctica se ha enviado masivamente el mismo código (o cualquier código da como resultado un verificado).
Que al final todo se reduce a la misma esencia del éxito de estos timos: Atacan a la persona, no al dispositivo, llevándole a una web que parece ser la oficial, pero que está bajo el control de los ciberciminales.
Y mientras no consigamos resolver de forma eficiente y definitiva este problema, seguiremos teniendo víctimas…
Qué deberíamos hacer para minimizar el riesgo a caer en un timo vía SMS
- Desconfiar por defecto en las comunicaciones que nos lleguen vía SMS: Es triste decirlo, pero a falta de un sistema que realmente permita identificar fraude de contenido legítimo, lo mejor que podemos hacer es, por defecto, desconfiar de todo lo que nos llegue.
- Verificar el contenido por otro canal: Si aún así, queremos saber si en efecto lo que dice el mensaje es verdad, lo mejor que podemos hacer es buscar el número de teléfono del servicio en particular (nada de llamar al mismo número que aparece en el mensaje) para contrastar información. A nuestro gestor de banco, a la oficina de Correos más cercana… Eso o presentarnos físicamente en el local en cuestión y preguntarles sobre ese SMS.
- No abrir nunca enlaces de un SMS: Aunque nos llegue una notificación supuestamente oficial, lo mejor que podemos hacer para contrastarla es acceder desde la app oficial o desde la web (buscándola en Google), pero no desde el propio enlace en el mensaje, ya que este podría llevarnos a otra web distinta con el mismo diseño.
Y por supuesto, sigue siendo muy recomendable recordar los 3 puntos que tenemos que revisar para identificar campañas de phishing.
En CyberBrainers ayudamos a empresas y usuarios a prevenir, monitorizar y minimizar los daños de un ataque informático o una crisis reputacional. Si estás en esta situación, o si quieres evitar estarlo el día de mañana, escríbenos y te preparamos una serie de acciones para remediarlo.
Monitorización y escucha activa
Ponemos nuestras máquinas a escuchar para identificar potenciales fugas de información, campañas de fraude/extorsión y usurpación de identidad que estén en activo, y/o datos expuestos de ti o de tu organización.
Planes de autoridad y Presencia Digital
Ayudamos a organizaciones y particulares a definir la estrategia e implementar acciones digitales que mitiguen los posibles daños reputacionales que pueda sufrir en el futuro.
Gestión de crisis reputacionales
Cuando el mal ya está hecho, establecemos un calendario de acciones para reducir su duración e impacto, y que la organización y/o persona pueda volver a la normalidad lo antes posible.
Servicio de asesoramiento a víctimas de fraude
Desde CyberBrainers ofrecemos un servicio de asesoramiento a víctimas de cualquier tipo de fraude cibernético.
Gracias a él, revisamos cada caso por separado, te explicamos qué opciones tienes, y te ofrecemos soporte en aquello que necesites (ayuda legal, asesoramiento técnico para evitar problemas futuros…).
Además, si hay posibilidad de recuperar el dinero robado, te ayudamos con la recuperación.
Si has sido víctima de alguno de estos timos, ponte en contacto con nosotros y revisaremos el caso.
Otros timos que deberías conocer
- 3 elementos que delatan a las campañas de phishing o fraude por email
- ¿Qué hacer en caso de haber sido víctima de un fraude?
- ¿Como recuperar el dinero robado?
- Cómo nos protegemos de los fraudes en Internet
- El día que ligué con una capitana del US Army (fraude de la novia rusa)
- Cómo funciona el timo de la extorsión a cambio de no divulgar supuesto contenido sexual o pornográfico
- Cómo estafaron a mi pareja con un producto vendido en Instagram
- Cómo funcionan los fraudes de descargar libros o películas GRATIS
- Cómo estafaron a mi madre con un producto vendido por Wallapop
- Cómo funciona la estafa del pellet
- Cómo funciona el fraude que se hace pasar por un aviso de la DEHÚ
- Cómo funciona el robo de cuentas de WhatsApp y para qué se utiliza
- Qué tipos de fraude por Wallapop existen
- Cómo me intentaron estafar con el alquiler de un piso
- Cómo funcionan los fraudes por Facebook
- Cómo funciona el timo de la compra de fotos o arte NFT
- Cómo me estafaron 400 euros con un producto vendido en Amazon
- Cómo funcionan los fraudes basados en iCloud
- Cómo funciona la estafa del chulo y las prostitutas
- Cómo funciona el fraude de BlaBlaCar
- Cómo funciona el fraude del viejo contacto
- Cómo funcionan las estafas con criptomonedas de tipo Rug Pull
- Cómo funcionan los fraudes dirigidos a creadores de contenido
- El papel de los muleros en el cibercrimen
- Así de fácil es caer en una campaña de phishing
- Cómo saber si ese producto de Apple que estás comprando es verdadero o falso
Pablo F. Iglesias es un empresario e inversor español especializado en la Consultoría de Presencia Digital y Reputación Online, fundador de la agencia de reputación CyberBrainers, de la startup EliminamosContenido, y del sello editorial Ediciones PY. Además, es un reconocido escritor con su saga de ciencia ficción "25+1 Relatos Distópicos" y "Historias Conectadas", y la colección de fantasía épica "Memorias de Árganon". Dedica sus "horas libres" a concienciar sobre las oportunidades y riesgos del entorno digital, ya sea en charlas, talleres, sus escritos en blogs y las colaboraciones con medios de comunicación.