Sin lugar a dudas, España es un gran objetivo para las estafas cibernéticas. WhatsApp es sin duda una de las aplicaciones favoritas para esparcir estas campañas, pero lo cierto es que las más populares son las estafas bancarias que suelen mandarse por SMS. La Oficina de Seguridad del Internauta (OSI), en conjunto con la Guardia Civil, ha detectado una serie de amenazas que han hecho objetivo a nuestro país, y que vale la pena advertir de ellas.
Ambas son estafas bancarias con una buena cantidad de similitudes entre ellas pero que a su vez tienen naturalezas distintas. Por ejemplo, la primera se basa en SMS fraudulentos informando de cargos falsos de cuentas bancarias, el famoso smishing en la que se informa a la víctima de forma falsa que se ha realizado un cargo desconocido.
El segundo, si bien también apunta a entidades bancarias, en este caso suplanta directamente a La Moncloa, usando una web fraudulenta que no solo suplanta la web del Gobierno, sino la de varias entidades bancarias. En este segundo caso, la Guardia Civil ha emitido un aviso para evitar que caigan más víctimas.
El smishing
El smishing, como su nombre indica, es una campaña de suplantación de empresas a través de SMS fraudulentos. Debido a las filtraciones de datos masivas que se han sucedido en los últimos años en todo tipo de servicios, los números de teléfono de los usuarios han acabado en bases de datos que los hackers usan para difundir estos SMS.
En el primer caso, la campaña de la que advierte la OSI hace objetivo a entidades bancarias como Targobank o Bankinter. El SMS advierte al usuario de que se ha producido un cargo no supervisado en la cuenta, y le pide acceder a un enlace para restaurar su cuenta. Lógicamente, este enlace es completamente falso.
En este caso, el SMS relata cómo se ah realizado un cargo o una compra con un importe muy específico. La web fraudulenta que enlaza el mensaje pide los datos y credenciales del usuario, por lo que los atacantes se quedan con dichos datos para realizar estafas. El texto del SMS está escrito de tal forma que da una sensación de urgencia al usuario para generarle pánico y que pique en la estafa en el momento.
Un ejemplo. "Se ha realizado un cargo de 1.895 euros en su cuenta. Si no reconoce este pago, verifique inmediatamente". El atacante suplanta la identidad de Bankinter, y escribe una cantidad desorbitada para asustar todavía más al usuario. En algunos casos, se afirma que la cuenta ha sido bloqueada.
Luego está el caso de La Moncloa. El modus operandi es prácticamente el mismo; se envía un SMS con un enlace fraudulento en la que se le promete a la víctima que se puede reclamar un reembolso anual de los impuestos. Es decir, dinero gratis. El enlace lleva a una supuesta web del Gobierno con opciones de entidades bancarias para recibir el supuesto pago. Sencillamente, roban las credenciales de acceso.
En ambos casos, las webs que imitan respectivamente las de las entidades bancarias y la de La Moncloa, imitan los logotipos e identidad comercial de estas organizaciones y compañías. Las webs pueden cambiar dependiendo del SMS, por supuesto, pero todas redirigen a una serie de webs muy específicas.
[La Policía alerta de una nueva estafa: así usan las tarjetas de crédito en cajeros para estafarte]
La mejor forma de protegerse ante estos SMS es nunca clicar sobre los enlaces de estos mensajes, y sobre todo, nunca dar tus credenciales bancarias, especialmente si la entidad que se menciona no es la tuya. Esta clase de avisos se suelen comunicar directamente a la víctima en caso de ser ciertos y no por SMS. Reporta siempre al remitente del mensaje y sobre todo comunícate primero con tu entidad bancaria para confirmar la situación.