Phishing multicanal: cómo detectar llamadas estafa y phishing por SMS

Los estafadores han afinado sus técnicas y pueden conseguir engañarnos con una llamada o un mensaje de texto. 

Seguro que ya te ha pasado alguna vez. Recibes una llamada de un número desconocido y te preguntas si deberías responder o no. Estás casi seguro de que puede tratarse de una estafa. ¿O quizás no? ¿Y si es algo importante? Al final, contestas. Efectivamente, es una llamada automática. Pero la voz dice que es tu banco y que hay un problema con tu cuenta. ¿Ahora qué haces? 

Lo mismo pasa con los mensajes de texto. Seguro que alguna vez te ha llegado un mensaje que dice algo como: 

“Hemos detectado actividad inusual en tu cuenta. Llama a este número para hablar con un representante de nuestro servicio al cliente”. 

Nos pasa a todos. Bienvenido al mundo del vishing (estafas telefónicas) y el smishing (phishing por SMS). 

El término vishing surge de una combinación de “voz” y “phishing”. Por su parte, el smishing proviene de una combinación de “SMS” (mensaje de texto) y “phishing”. En resumen, son dos formas diferentes que usan los estafadores para intentar llegar a ti a través de tu teléfono. 

Como en cualquier ataque o intento de ataque de phishing, el problema no es otro que la intención que hay detrás. Los estafadores quieren cosas como números de tarjetas de crédito, inicios de sesión de cuentas y otra información personal para poder estafarte o robarte tu identidad por completo. 

No te preocupes: existen varias formas de mantenernos protegidos frente a este tipo de ataques. Además, existen herramientas que pueden ayudarnos a reducir la cantidad de llamadas y mensajes de texto fraudulentos que recibimos en nuestro teléfono. 

¿Cómo obtienen los vishers y smishers nuestro número de teléfono? 

Los estafadores que planean estos ataques suelen contar con una amplia red. Envían llamadas y mensajes a miles y miles de teléfonos de una sola vez. Incluso si consiguen engañar a un pequeño porcentaje de las víctimas, el ataque puede generarles sustanciosas ganancias. 

Su secreto reside en el gran volumen de ataques de phishing que lanzan a diario. Los estafadores obtienen números de teléfono al por mayor de varias maneras. 

• Filtraciones de datos: aunque, a veces, las filtraciones de datos implican la pérdida de números de tarjetas de crédito y de identificación gubernamentales, lo normal es que incluyan nombres, direcciones de correo electrónico y números de teléfono. Aunque menos grave, sigue siendo peligroso porque estas filtraciones proporcionan a los piratas informáticos y estafadores la información básica que necesitan para lanzar todo tipo de ataques de phishing, vishing y smishing. 
• Intermediarios de datos: los estafadores también pueden comprar online listas completas con números de teléfono a cambio de una cantidad irrisoria y de forma realmente sencilla. Los intermediarios de datos online recopilan y venden información muy detallada sobre millones de personas. Los registros varían de un intermediario a otro, pero pueden incluir docenas o incluso cientos de entradas recopiladas de fuentes públicas y de terceros. Los intermediarios de datos suelen vender dichas listas a anunciantes para campañas específicas, pero también a estafadores. Los intermediarios de datos no se preocupan de quién puede estar comprando los datos que venden. 
• La web oscura: mucha información personal termina en los mercados de la web oscura. Los estafadores suelen compartir listas de víctimas potenciales con otros estafadores de forma gratuita. En otros casos, las venden para ganar dinero. Lo que está claro es que la web oscura ofrece a los estafadores varios recursos para obtener números de teléfono. 
• Búsquedas en contenedores de basura: este es el “truco” de la vieja escuela y consiste en buscar en contenedores de basura de un banco o empresa y recuperar listas de números de teléfono de clientes. Con esa lista, los estafadores pueden programar los números en sus marcadores para realizar un ataque más dirigido. 
• Marcadores automáticos: como sugiere el nombre, con este equipo pueden llamar a números de teléfono aleatorios con un mensaje grabado. A veces, los estafadores realizan llamadas a códigos de área específicos con un mensaje que menciona a un banco o cooperativa de crédito regional. De esta manera, el estafador apunta a miembros potenciales en el área objetivo. 

¿Cuáles son algunos ejemplos de smishing? 

Es muy probable que hayas vivido varios ejemplos de smishing o phishing por SMS. Seguro que alguna vez has recibido este tipo de mensajes en tu móvil: 

• “¡Hola! Hemos notado que acabas de abrir una cuenta. Para terminar de configurarla, toca este enlace e introduce tu información personal”. 
• “¡Urgente! Tu cuenta bancaria se ha visto comprometida. Toca este enlace para restablecer tu contraseña y evitar más fraudes”. 
• “Tenemos un paquete para ti, pero no hemos podido entregártelo. Toca este enlace para actualizar tu información y que podamos enviarte tu paquete”. 
• “¡Hola! Soy yo, Carmen. ¿Quedamos hoy para tomar algo o qué?” 
• “Pago de impuestos atrasado. Sigue este enlace y abona la cantidad pendiente en un plazo de tres días o iniciaremos acciones legales”. 

Mensajes como estos pueden parecer reales al principio, pero si los analizamos detenidamente nos daremos cuenta de que son falsos. 

En primer lugar, suelen incluir un enlace. El enlace puede incluir cadenas inusuales de caracteres y una dirección web que no coincide con la procedencia del mensaje. Por ejemplo, los avisos falsos de la oficina de correos no utilizan la URL oficial de la oficina de correos. O bien, el enlace puede parecer casi una dirección legítima, pero hay algo diferente en el nombre lo que nos indica que es falso. 

Otro indicador podría ser que no sabes quién es ‘Carmen’ y no has quedado con ella. Lo hacen a propósito. De hecho, el estafador espera que no te suene de nada Carmen. Quieren que respondas con un mensaje de texto tipo: “lo siento, número equivocado”. A partir de ahí, el estafador intentará entablar una conversación y dar los primeros pasos de una estafa romántica o similar. 

Por último, el mensaje podría emplear una táctica más agresiva que implique generar una sensación de miedo o amenaza. A los estafadores les encanta esta táctica porque juega con las emociones de las personas y las hace actuar rápidamente sin pensar mucho. Meter miedo con problemas con el banco o Hacienda son ejemplos excelentes de esta estrategia. Otro ejemplo sería el caso de los mensajes que parecen provenir de familiares que dicen que tienen un problemas. Por ejemplo, un hermano que te escribe diciendo que su coche se ha averiado en medio de la nada o tu madre diciendo que tienen que ir a urgencias cuanto antes y que la llames. 

En definitiva, los estafadores que envían estos mensajes de texto buscan siempre lo mismo: tu información personal, dinero o una combinación de ambos. 

Cómo protegerse de los ataques de vishing y smishing 

1. No confíes en el número que aparece en pantalla: los estafadores pueden modificarlo. Los estafadores tienen varias herramientas disponibles que usan para generar números que parecen de un banco o cooperativa de crédito específico, o que muestran las palabras “Banco” o “Cooperativa de crédito”. 
2. Llama tú directamente: si recibes una llamada telefónica de una persona o una grabación solicitando información personal, cuelga. Si crees que la llamada puede ser real, llama directamente para confirmar que han llamado ellos realmente. Haz lo mismo con cualquier mensaje de texto que te solicite hacer clic en un enlace para proporcionar información. 
3. Informa sobre cualquier intento de fraude de inmediato: documenta la llamada, anota qué te dijeron, qué información te pidieron y el número que utilizó la persona para llamar o enviar el mensaje de texto. Informa a la empresa a la que han intentado suplantar. Muchas organizaciones tienen páginas dedicadas al fraude donde puedes encontrar direcciones de correo electrónico para denunciar fraudes cometidos en su nombre. Netflix es un buen ejemplo, al igual que el Instituto Nacional de Cibersegurida (INCIBE) de España. McAfee también tiene una página dedicada al fraude. 
4. Busca errores de ortografía o gramática. Las empresas y organizaciones legítimas hacen todo lo posible para garantizar que sus mensajes no contengan errores gramaticales. Los estafadores, no dedican tanto tiempo a la garantía de calidad lingüística. Los errores ortográficos y las frases ‘raras’ son una señal de que pueden ser, en realidad, ataques de smishing. 
5. Ponte en contacto con el remitente: ¿Has recibido un mensaje de texto urgente de alguien que dice ser un amigo o familiar? Ponte en contacto con ellos de alguna manera que no sea respondiendo el mensaje de texto que acabas de recibir, especialmente si te llega desde un número nuevo o desconocido. 
6. No selecciones los enlaces en los mensajes de texto: si vas a seguir un solo consejo, que sea este. Como ya hemos comentados, si tienes alguna duda sobre su procedencia, contacta tú directamente. 

Cómo reducir las llamadas y mensajes de texto fraudulentos: utiliza un software de protección online 

Hazte con un software integral de protección online que disponga de una app que puedas instalar en tu teléfono móvil. Los planes McAfee+ te ofrecen protección para que estés más segura al incluir varias herramientas de defensa que puedes utilizar desde tu teléfono. 

Lo más destacable es su protección web diseñada para advertirte si detecta enlaces sospechoso en los mensajes de textos, cuando realizas búsquedas o navegas por Internet. De esta forma, puedes estar seguro de mantenerte alejado de los sitios web que roban información. También te permite supervisar los datos personales que tú elijas y, si alguno de tus datos es detectado en la web oscura, te envía una alerta y te ofrece orientación sobre qué pasos debes tomar para solucionarlo. 

Además, puede ayudarte a eliminar tu información personal de los sitios de intermediarios de datos si en tu región está disponible la funcionalidad de limpieza de datos personales. Los estafadores utilizan intermediarios de datos para crear listas con números de teléfono con el fin de realizar llamadas y enviar mensajes de texto. Los teleoperadores también recurren a intermediarios de datos para conseguir números de teléfono y lanzar sus campañas. Cuantos menos datos tengamos disponibles en Internet, mejor podremos reducir nuestra exposición a los intermediarios de datos y teleoperadores. De esta manera, podremos reducir las llamadas fraudulentas y no deseadas. 

Si queremos evitar ataques de vishing (llamadas estafa) y smishing (phishing mediante SMS), es recomendable seguir una serie de consejos y tácticas así como utilizar las herramientas de protección que tenemos a nuestra disposición. Estas herramientas sirven para evitar esas molestas llamadas y mensajes de texto de los estafadores. En caso de que los scammers consigan realizar la llamada o enviar el mensaje de texto fraudulento, nos ayudan a detectar enlaces maliciosos para que no caigamos en la trampa.