Seguramente ya habrás utilizado Bizum para enviar dinero. La experiencia es gratificante al ver que tu destinatario tiene el importe disponible en unos 10 minutos o quizá menos, y además se le ha avisado de ello.

Pero esta idílica situación, tenía que tener algún problema tarde o temprano habiendo “money” de por medio, y, como ya sabrás, dependiendo del vínculo de tu número de teléfono con tu cuenta bancaria.

Y es que los “cibermalos” ya se han puesto manos a la obra para idear nuevas estafas que tienen que ver con este método. Si bien existe la delincuencia por medios muy técnicos (ingeniería, hackers y tal…), también existen los “otros”, o sea, los de toda la vida como el tocomocho o la estampita. Me explico: la estafa por la palabra, ya sea dicha o escrita.

Lo que ahora se ha detectado es la sencilla combinación de ambos. Por ejemplo, recibes un SMS que no esperas, en el que te informan de una devolución de dinero por BIZUM: ¡OJO! el SMS puede que no sea para recibir dinero, sino para hacerte un cobro y robarte. Esto es lo que se ha dado en llamar "Smishing".

Pero ¿qué es el smishing?

Smishing es un tipo de phishing para conseguir información confidencial (contraseñas, datos bancarios, ...) de terceras personas. En otras palabras, mientras en el phishing utiliza el correo para delinquir, en el smishing usa la mensajería instantánea o SMS, y ambos son tipos de ataques con ingeniería social (conjunto de técnicas que usan los cibercriminales para engañar a los usuarios incautos para que les envíen datos confidenciales, infecten sus computadoras con malware o abran enlaces a sitios infectados).

Ateniéndonos a los usos delictivos detectados hasta ahora podríamos decir que el modus operandi de los atacantes es enviar el mensaje haciéndote saber que te ha correspondido un premio, que existe un problema con tu cuenta bancaria o bien que has recibido un paquete que está a tu disposición. El objetivo de todos ellos es obtener información personal, contraseñas, números de tarjetas de crédito y/o números de cuentas bancarias y en general cualquier tipo de información sensible o confidencial.

Ten en cuenta que, para conseguir su propósito, el atacante suplantará la identidad de personas y organizaciones, ya sean gubernamentales, proveedores, clientes o compañeros/jefes de tu trabajo. Estos datos los habrán obtenido probablemente de otros usuarios que no dieron importancia a dar ese tipo de información, o también por datos que existen en internet, en webs de las empresas, redes sociales, etc.

El mensaje “gancho” suele incluir información para que llames a un número de teléfono para gestionar el conflicto/regalo/etc., o también un link a una página web disfrazada donde se te pedirán los datos que el atacante necesita.

En realidad, tomando unas pequeñas medidas de seguridad evitaremos ser víctimas de estos ciberdelincuentes. Vamos a enumerar algunas que te sean fáciles de recordar e incluso que puedas convertirlas en un hábito.

• Precaución: Sé precavido ante los SMS o correos que aparentan ser de entidades bancarias o servicios conocidos (Dropbox, Facebook, Google Drive, Apple ID, Correos, Agencia Tributaria, etc.) con mensajes que no esperabas, que son alarmistas o extraños. En caso de duda siempre será preferible que contactes con la empresa o entidad remitente, pero no en los teléfonos que se te indiquen en el propio mensaje. Así podremos comprobar si se trata de una actividad fraudulenta.

• No clic a enlaces: No hagas clic en enlaces de correos electrónicos o WhatsApps que te lleguen de alguien que no conoces o de compañías en las que no tienes contratado ningún servicio. Ve directamente a través del navegador o un buscador a la página a la que deseas ir y no a través de links sospechosos.

• Ningún dato sensible: Si aun así has hecho clic porque la oferta era atractiva, sospecha y no dejes datos de ningún tipo, ni personales ni bancarios.

• Errores: Sospecha también si hay errores gramaticales en el texto, pueden haber utilizado un traductor automático para la redacción del mensaje trampa. Ningún servicio con cierta reputación enviará mensajes mal redactados.

• Tratamiento: Si recibes comunicaciones anónimas del tipo “Estimado cliente”, “Notificación a usuario” o “Querido amigo”, es un indicio que te debe poner en alerta.

• Decisión inminente: Si el mensaje te obliga a tomar una decisión de manera inminente o en unas pocas horas, es mala señal. Contrasta si la urgencia es real o no directamente con el servicio o consultando otras fuentes de información de confianza: la OSI, Policía, Guardia Civil, etc.

• Navegación: Cuando navegues por una web en la que te piden tus datos personales, lo primero que debes hacer es mirar la URL de la barra de direcciones del navegador. Si ves alguna de estas cosas, desconfía y abandona la página. Observa si pasa lo siguiente:

o Contiene el nombre oficial del sitio web, pero no es la dirección oficial.

o Utiliza el nombre del sitio oficial con alguna letra o símbolo añadidos.

o Tienen un fallo ortográfico como “paypa1” en vez de “paypal”.

o No usa un protocolo seguro, es decir, la URL no comienza por https://.

• Prestigio: Un servicio con cierto prestigio utilizará sus propios dominios para las direcciones de email corporativas. Si recibes la comunicación desde un buzón de correo tipo @gmail.com, @outlook.com o cualquier otro similar, sospecha.

• Aplica la ecuación: solicitud de datos bancarios + datos personales = fraude.

Como consejo adicional utiliza un buen navegador, por ejemplo, Mozilla y Edge están obteniendo buenos datos en las estadísticas en cuanto al freno que ponen al phishing, superiores al 95%. Por el contrario, Chrome, (navegador más utilizado en España) está frenando poco más del 50% de los ataques.

Miguel A. Ossés

Junio-2021