La suplantación de identidad de empresas o entidades de confianza para la ejecución de estafas o fraudes electrónicos. El “smishing”.
Javier Sastre
Abogado – Área Legal de SAYMA.
Siguiendo con nuestras circulares para la prevención de estafas y fraudes de los que podemos ser víctimas utilizando medios electrónicos (e-mail, sms, chats, etc,…) analizamos una de las fórmulas que están siendo actualmente utilizadas por los ciberdelincuentes para llevar a cabo estas estafas o fraudes, es el denominado “SMISHING”, que no es mas que una variante del “PHISHING”, consistente en el envío de mensajes de texto fraudulentos a nuestros dispositivos móviles, personales o de empresa, para conseguir que facilitemos acceso a nuestra información confidencial de usuario (contraseñas, datos bancarios, etc…) y poder materializar estos fraudes o estafas.
La forma mas habitual de comisión de estos fraudes consiste en el envío de mensajes de texto (SMS) a las víctimas, haciéndose pasar por todo tipo de entidades de confianza, como bancos, empresas públicas de la Administración, empresas de mensajería, tiendas o comercios, familiares o amigos y comunicar, por ejemplo, un cargo no autorizado, una operación fraudulenta, un acceso no permitido o, incluso, la necesidad de una autenticación o mejoras de seguridad. El objetivo de estos mensajes es alarmar al usuario para que realice alguna acción sin pensarlo demasiado.
La comunicación puede inducir al usuario a que llame a un determinado número de teléfono para realizar la gestión, donde se solicitarán los datos que necesita el atacante; o a que pinche en un link que le redigirá a una página web maliciosa, donde se le pedirá al usuario que introduzca sus credenciales de la banca electrónica (usuario y contraseña) u otros datos sensibles.
El objetivo, como siempre, es obtener toda nuestra información personal (usuario y contraseñas, correos, número de teléfono, domicilio…) e información bancaria, para con ellas llevar a cabo nuevos fraudes o hacerse con nuestro dinero.
Recomendaciones de seguridad: cómo evitar smishing
Lo mejor para evitar ser víctima de estas prácticas es adoptar algunas recomendaciones y hábitos de seguridad:
- Mantener una actitud de reserva hacia mensajes o SMS inesperados desconfiando de todos aquellos en los que se soliciten datos sensibles, que nos pidan acceder a un enlace web o utilizar un código QR.
En caso de que queramos verificar la realidad del mensaje recibido lo adecuado es que contactemos directamente con la entidad remitente a través de sus canales oficiales o que tengamos ya reconocidos o verificados para asegurarnos que no se trata de una actividad fraudulenta.
- No proporcionar nunca información de acceso: usuario y contraseña, código de acceso que llega por SMS al teléfono móvil para confirmar operaciones o gestiones, ni cualquier otra información personal o bancaria.
- No hacer clic en los links a páginas web, o utilizar códigos QR que nos envían a través de mensajería instantánea o SMS, al igual que en correos electrónicos.
Lo recomendable es acceder a la página a la que deseas ir directamente a través del navegador o un buscador de los que usamos habitualmente y no a través de links sospechosos o códigos QR.
- Activar las alertas en la aplicación de banca electrónica para detectar accesos u operaciones no autorizadas.
- En caso de duda, contactar con la entidad bancaria u organización a través de los canales de comunicación oficiales (teléfono de atención al cliente, contacto a través de la página web o correo electrónico).
- Recuerda que, las entidades bancarias normalmente no te pedirá a través de mensajes de texto ni llamadas inesperadas tu información bancaria, y que habitualmente este tipo de entidades ya disponen de toda la información que necesitan, por lo que si tratan de obtener algún dato personal, podemos desconfiar de su autenticidad.
- También es importante leer detenidamente el mensaje en busca de errores ortográficos y gramaticales o fallos en la traducción.
Si ha sido víctima de este tipo de delitos o tiene alguna sospecha, no dude en contactar con nuestro Departamento Jurídico.