Hasta 600.000 euros de 100 víctimas: el lucrativo manual de las estafas por SMS

Suplantar una identidad para engañar al usuario para que descargue archivos maliciosos o revele sus contraseñas y datos financieros es uno de los métodos más viejos del manual del ciberataque. La tecnología avanza pero este fraude no queda obsoleto porque su clave es la sencillez y la sensación de urgencia que logre infundir. No hace falta ser un genio del código: solo un buen gancho que alarme lo suficiente a la víctima para que pase por alto que está clicando en un enlace sospechoso.

El 97% de los emails que usan los funcionarios está desprotegido frente a robos de identidad

Saber más

La vía más común en la que se presenta esta estafa es con mensajes de correo electrónico que suplantan a administraciones públicas, bancos o empresas de paquetería. Es el archiconocido phishing. Supuestas multas sin pagar, reingresos sin reclamar o envíos sin entregar son algunas de las estratagemas que se suelen emplear, aunque estas estafas pueden valerse de cualquier careta. Lo que sea con tal de confundir a la víctima potencial.

El phishing tiene una estafa hermana llamada smishing, que es lo mismo pero lanzando el gancho por SMS. En ambos métodos existen dos formas de llevarlos a cabo: con bisturí o con trabuco. Los ataques de precisión escogen a una sola víctima o grupo concreto y diseñan un gancho adaptado a ellos empleando sus datos personales. La otra posibilidad es crear un mensaje menos concreto pero dispararlo de manera masiva con miles y miles de objetivos. Los porcentajes de éxito son mucho más bajos, pero eso no es óbice para que pueda ser extremadamente rentable.

Tan rentable como para hacerse con 600.000 euros en una sola campaña de ataques. Es lo que consiguió una banda de ciberestafadores que actuaba desde Alicante y que fue desarticulada por la Guardia Civil en una de sus últimas operaciones de 2021, con ocho detenidos. “Durante tres días consecutivos realizaron un ataque masivo a un gran número de clientes de una entidad bancaria española, mediante smishing a los teléfonos móviles de los perjudicados”, explica la Guardia Civil.

Solo picaron 106 personas, pero lograron sacarles esos 600.000 euros. “La banda recababa los datos necesarios para acceder a las cuentas de los perjudicados enviando un mensaje de texto a las víctimas haciéndose pasar por su banco”, continúan fuentes del Instituto Armado: “Una vez que los perjudicados picaban, los autores se hacían con el control de sus cuentas desde la plataforma online de la entidad y modificaban la forma de acceso”.

Con las cuentas bajo su control, los ciberdelincuentes las desvalijaban con transferencias de 5.000 euros hacia cuentas de personas que ejercían como “mulas”.

En la misma cadena de SMS

Es muy habitual que el phishing y el smishing contengan faltas de ortografía o remitentes con direcciones o números de teléfono extranjeros o sospechosos, lo que puede despertar las dudas en la persona que es objetivo de la estafa. No obstante, también pueden utilizar tácticas más refinadas.

En el caso del smishing, el Banco de España ha recordado esta semana que los ciberdelincuentes pueden conseguir colarse en la lista de mensajes legítimos que envían las entidades, como aquellos en los que facilitan códigos de confirmación para transferencias y otras operaciones.

Esta táctica se conoce con otro anglicismo, SMS spoofing, y “se realiza mediante diversas páginas web y aplicaciones móviles que permiten enviar SMS desde una fuente desconocida suplantando una identidad conocida con relativa facilidad”, explica el Banco de España.

¿Cómo diferenciar entonces un SMS legítimo de uno fraudulento? En realidad el truco es sencillo: las empresas nunca van a enviar un enlace especial desde el que hacer una determinada gestión, por lo que si el email o SMS lo incluye, hay que desconfiar. “Los ciberdelincuentes están suplantando la identidad de empresas con SMS fraudulentos de supuestas anomalías en cuenta, intentos de acceso, devolución de importes... con un enlace clicable. Desde BBVA nunca te enviaremos SMS con enlaces, ni te pediremos claves o datos personales”, confirma el banco, que se está viendo afectado en los últimos días por una de estas campañas. El Santander es otro de los suplantados.

En vez de suministrar enlaces por SMS o email, las compañías siempre pedirán a sus clientes que usen los canales de gestión habituales. En el caso de los bancos, sería el portal de banca online o su correspondiente app. Relacionarse siempre con las empresas y administraciones a través de los canales normales y con contactos iniciados por el usuario (yendo a su página web desde el navegador o entrando en su app) es una manera sencilla pero útil de evitar estas estafas.

Redes internacionales y criptomonedas

Las faltas de ortografía presentes a menudo en los mensajes de phishing o smishing son a menudo una consecuencia de que los ciberlincuentes que los redactan no conocen el idioma que están utilizando. La banda desarticulada en diciembre por la Guardia Civil actuaba desde España, pero en la misma operación los agentes redactaron otras 43 órdenes de detención internacionales. Además de la española, hay implicados hasta 90 individuos de otras 12 nacionalidades.

Para ocultar todas esas conexiones económicas los ciberdelincuentes recurren a las criptomonedas. Estas les permiten dificultar enormemente el rastreo de sus movimientos de dinero, así como blanquear las ganancias de este tipo de crímenes. “La principal característica de la criptomoneda es que los datos de origen y destino están cifrados haciendo muy difícil su seguimiento”, explica la Guardia Civil.

Suplantar una identidad para engañar al usuario para que descargue archivos maliciosos o revele sus contraseñas y datos financieros es uno de los métodos más viejos del manual del ciberataque. La tecnología avanza pero este fraude no queda obsoleto porque su clave es la sencillez y la sensación de urgencia que logre infundir. No hace falta ser un genio del código: solo un buen gancho que alarme lo suficiente a la víctima para que pase por alto que está clicando en un enlace sospechoso.

El 97% de los emails que usan los funcionarios está desprotegido frente a robos de identidad

Saber más

La vía más común en la que se presenta esta estafa es con mensajes de correo electrónico que suplantan a administraciones públicas, bancos o empresas de paquetería. Es el archiconocido phishing. Supuestas multas sin pagar, reingresos sin reclamar o envíos sin entregar son algunas de las estratagemas que se suelen emplear, aunque estas estafas pueden valerse de cualquier careta. Lo que sea con tal de confundir a la víctima potencial.

El phishing tiene una estafa hermana llamada smishing, que es lo mismo pero lanzando el gancho por SMS. En ambos métodos existen dos formas de llevarlos a cabo: con bisturí o con trabuco. Los ataques de precisión escogen a una sola víctima o grupo concreto y diseñan un gancho adaptado a ellos empleando sus datos personales. La otra posibilidad es crear un mensaje menos concreto pero dispararlo de manera masiva con miles y miles de objetivos. Los porcentajes de éxito son mucho más bajos, pero eso no es óbice para que pueda ser extremadamente rentable.

Tan rentable como para hacerse con 600.000 euros en una sola campaña de ataques. Es lo que consiguió una banda de ciberestafadores que actuaba desde Alicante y que fue desarticulada por la Guardia Civil en una de sus últimas operaciones de 2021, con ocho detenidos. “Durante tres días consecutivos realizaron un ataque masivo a un gran número de clientes de una entidad bancaria española, mediante smishing a los teléfonos móviles de los perjudicados”, explica la Guardia Civil.

Solo picaron 106 personas, pero lograron sacarles esos 600.000 euros. “La banda recababa los datos necesarios para acceder a las cuentas de los perjudicados enviando un mensaje de texto a las víctimas haciéndose pasar por su banco”, continúan fuentes del Instituto Armado: “Una vez que los perjudicados picaban, los autores se hacían con el control de sus cuentas desde la plataforma online de la entidad y modificaban la forma de acceso”.

Con las cuentas bajo su control, los ciberdelincuentes las desvalijaban con transferencias de 5.000 euros hacia cuentas de personas que ejercían como “mulas”.

En la misma cadena de SMS

Es muy habitual que el phishing y el smishing contengan faltas de ortografía o remitentes con direcciones o números de teléfono extranjeros o sospechosos, lo que puede despertar las dudas en la persona que es objetivo de la estafa. No obstante, también pueden utilizar tácticas más refinadas.

En el caso del smishing, el Banco de España ha recordado esta semana que los ciberdelincuentes pueden conseguir colarse en la lista de mensajes legítimos que envían las entidades, como aquellos en los que facilitan códigos de confirmación para transferencias y otras operaciones.

Esta táctica se conoce con otro anglicismo, SMS spoofing, y “se realiza mediante diversas páginas web y aplicaciones móviles que permiten enviar SMS desde una fuente desconocida suplantando una identidad conocida con relativa facilidad”, explica el Banco de España.

¿Cómo diferenciar entonces un SMS legítimo de uno fraudulento? En realidad el truco es sencillo: las empresas nunca van a enviar un enlace especial desde el que hacer una determinada gestión, por lo que si el email o SMS lo incluye, hay que desconfiar. “Los ciberdelincuentes están suplantando la identidad de empresas con SMS fraudulentos de supuestas anomalías en cuenta, intentos de acceso, devolución de importes... con un enlace clicable. Desde BBVA nunca te enviaremos SMS con enlaces, ni te pediremos claves o datos personales”, confirma el banco, que se está viendo afectado en los últimos días por una de estas campañas. El Santander es otro de los suplantados.

En vez de suministrar enlaces por SMS o email, las compañías siempre pedirán a sus clientes que usen los canales de gestión habituales. En el caso de los bancos, sería el portal de banca online o su correspondiente app. Relacionarse siempre con las empresas y administraciones a través de los canales normales y con contactos iniciados por el usuario (yendo a su página web desde el navegador o entrando en su app) es una manera sencilla pero útil de evitar estas estafas.

Redes internacionales y criptomonedas

Las faltas de ortografía presentes a menudo en los mensajes de phishing o smishing son a menudo una consecuencia de que los ciberlincuentes que los redactan no conocen el idioma que están utilizando. La banda desarticulada en diciembre por la Guardia Civil actuaba desde España, pero en la misma operación los agentes redactaron otras 43 órdenes de detención internacionales. Además de la española, hay implicados hasta 90 individuos de otras 12 nacionalidades.

Para ocultar todas esas conexiones económicas los ciberdelincuentes recurren a las criptomonedas. Estas les permiten dificultar enormemente el rastreo de sus movimientos de dinero, así como blanquear las ganancias de este tipo de crímenes. “La principal característica de la criptomoneda es que los datos de origen y destino están cifrados haciendo muy difícil su seguimiento”, explica la Guardia Civil.

Suplantar una identidad para engañar al usuario para que descargue archivos maliciosos o revele sus contraseñas y datos financieros es uno de los métodos más viejos del manual del ciberataque. La tecnología avanza pero este fraude no queda obsoleto porque su clave es la sencillez y la sensación de urgencia que logre infundir. No hace falta ser un genio del código: solo un buen gancho que alarme lo suficiente a la víctima para que pase por alto que está clicando en un enlace sospechoso.

El 97% de los emails que usan los funcionarios está desprotegido frente a robos de identidad

Saber más

La vía más común en la que se presenta esta estafa es con mensajes de correo electrónico que suplantan a administraciones públicas, bancos o empresas de paquetería. Es el archiconocido phishing. Supuestas multas sin pagar, reingresos sin reclamar o envíos sin entregar son algunas de las estratagemas que se suelen emplear, aunque estas estafas pueden valerse de cualquier careta. Lo que sea con tal de confundir a la víctima potencial.