Cientos de madrileños caen en ciberataques tras la caída de los datáfonos: suplantaron a los bancos mediante SMS

La caída de los datáfonos (sistema Redsys) en los locales comerciales de Madrid abrió una grieta que los ciberdelincuentes aprovecharon con precisión. Centenares de usuarios en la Comunidad de Madrid recibieron mensajes en el hilo de SMS donde habitualmente les escribe su banco. El remitente parecía legítimo, el tono era urgente y la promesa, tranquilizadora. Para «proteger» su dinero, les guiaban a autorizar transferencias hacia cuentas seguras.

En realidad, eran cuentas controladas por terceros. El origen técnico apunta a un incidente en Amazon Web Services (AWS) que dejó inoperativos durante horas miles de terminales.

El restablecimiento fue gradual, pero el vacío informativo se convirtió en el terreno idóneo para campañas de smishing, la forma de fraude que utiliza mensajes de texto (SMS) para engañar a las personas, combinando SMS y phishing, el ciberataque que utiliza la suplantación de identidad para engañar a las personas y obtener información confidencial como contraseñas, datos bancarios o información personal.

«Incluso las grandes corporaciones como Amazon pueden sufrir caídas de servidores, ya sea por sobrecarga, fallos en la infraestructura o vulnerabilidades explotadas en ciberataques; y es que, aunque inviertan millones en tecnología, ningún sistema es infalible ante la complejidad y escala de internet. La realidad es que muchas empresas, por costes o exceso de confianza, no destinan suficientes recursos a la redundancia, la seguridad o la monitorización proactiva», indica Javier Martín, cofundador de Agencia Ícaro, empresa experta en mantenimiento web.

«Desde la perspectiva del consumidor o de un negocio digital, es clave protegerse con medidas básicas pero efectivas: utilizar contraseñas únicas y complejas, activar la autenticación en dos pasos, desconfiar de correos sospechosos o con enlaces acortados, mantener los sistemas y plugins actualizados, y usar certificados SSL junto con servicios de seguridad web (como firewalls o filtros antimalware). En un entorno tan interconectado, la prevención sigue siendo la mejor inversión», indica el experto web.

El ardid se repitió con pocas variaciones. Primero, la suplantación de identidad en el propio hilo oficial del banco, de modo que el mensaje aparecía junto a avisos auténticos. Después, un texto creíble sobre un supuesto bloqueo preventivo o un cargo irregular. A continuación, una indicación para verificar datos o mover fondos a una cuenta de seguridad.

Por último, el cierre de la trampa con la validación de transferencias inmediatas. La inserción en el hilo habitual no certifica la autenticidad. Se logra con técnicas de spoofing del remitente, haciéndose pasar por una fuente de confianza, y es el corazón del smishing. Nada espectacular en lo técnico. Mucho en lo psicológico.

Claves del ataque

Los ciberataques recibidos ayer por los madrileños siguieron el mismo modus operandi, según explica Asoban Abogados, despacho especializado en fraudes bancarios y suplantación de identidad, a este periódico:

Si le estafan, actúe de inmediato

El bufete recomienda una reacción rápida y metódica si sospechamos que estamos siendo estafados: «Es esencial bloquear de inmediato los canales de banca online, documentar cada mensaje y denunciar cuanto antes. En muchos supuestos, cuando el cliente actuó de buena fe y el banco no desplegó controles adecuados, procede reclamar el reintegro de las cantidades».

Para sostener la reclamación, insisten en «conservar capturas de SMS, correos, pantallazos de la web falsa y justificantes de transferencias. La cronología exacta de la incidencia y del engaño suele ser determinante», apuntalan los letrados.

¿Qué debo hacer?