Si hay una amenaza que está siendo especialmente insistente desde hace unos días, esta es, sin duda, la de los casos de smishing que suplantan la identidad de conocidas entidades bancarias para tratar de conseguir las credenciales de acceso a la banca online de los usuarios. Son muchos los usuarios que, en los últimos días, han alertado de que no dejan de recibir mensajes de este tipo, y por eso vamos a recordar cómo funcionan estas campañas y cómo evitar caer en la trampa.
Mensajes relacionados con nuestra cuenta bancaria
Si algo tienen en común todos estos mensajes que tanto se han popularizado desde hace meses es la forma en la que están redactados, para crear una sensación de urgencia y tratar de conseguir así que los usuarios que los reciban no se detengan a revisarlos en busca de incongruencias o posibles errores que delaten su origen malicioso.
En la imagen que tenemos sobre estas líneas podemos ver dos ejemplos recientes de mensajes SMS con esta temática. Por un lado podemos ver como en el propio SMS puede, o no, hacerse referencia a la entidad suplantada, pero sí que es clasificada por la aplicación de mensajes SMS de nuestro dispositivo como perteneciente a una entidad bancaria.
Esto se produce porque, desde hace algún tiempo, los delincuentes han conseguido hacer pasar sus mensajes como provenientes de las entidades que suplantan, si bien filtros antispam como el que incorpora el propio sistema operativo Android detecta bastantes de estos mensajes como potencialmente maliciosos.
Además, en estos mensajes casi siempre se suele utilizar un enlace acortado que no deja ver cuál es la dirección final a la que se nos quiere redirigir, por lo que este es una pista muy importante a la hora de identificar casos de smishing. No obstante, no debemos olvidar que, en otras campañas anteriores, los delincuentes han proporcionado la dirección de las webs que han usado para suplantar al banco, por lo que lo más aconsejable es no pulsar sobre ninguno de los enlaces y acudir directamente a la web oficial de la entidad si queremos realizar alguna consulta.
Robo de credenciales bancarias
Una vez el usuario accede a la web preparada por los delincuentes, podemos observar como esta simula ser la del banco que suplanta. Con el tiempo, estas plantillas se han ido perfeccionando y ahora son muchos los que no sabrían distinguir a simple vista la web fraudulenta de la copia.
Es en estas webs donde se incluyen los formularios solicitando los datos de los usuarios que les permiten acceder a su cuenta de banca online. Entre los datos que se solicitan suelen aparecer los del documento de identidad, que suele usarse como identificador, y la contraseña que cada usuario configura para proteger su cuenta.
Sin embargo, con estos datos los delincuentes solo pueden acceder a consultar el saldo de la cuenta bancaria, las tarjetas asociadas a la misma y sus respectivos movimientos. No pueden realizar movimientos como transferencias de dinero a menos que cuenten con el código de un solo uso que prácticamente todas las entidades bancarias han implementado como doble factor de autenticación.
Los delincuentes no pierden el tiempo, y tan pronto como consiguen acceder a una cuenta tratarán de realizar una transferencia a alguna de las cuentas de los muleros que suelen utilizar para realizar este tipo de delitos. Sin embargo, les sigue haciendo falta el código que el banco envía para autorizar la operación y por eso lo suelen pedir en los pasos posteriores. Si el usuario cae en la trampa y lo introduce, es muy probable que vea cómo desaparece dinero de su cuenta.
Conclusión
La intensidad de esta reciente campaña demuestra que los delincuentes siguen apostando por este tipo de phishing para conseguir dinero fácil. Por ese motivo es importante que aprendamos a reconocerlo y apliquemos medidas de seguridad en nuestros dispositivos, evitando así que nos roben impunemente el dinero de nuestras cuentas bancarias.