Fundado en 1910
(Foto de ARCHIVO) Estafas por Internet. REMITIDA / HANDOUT por GUARDIA CIVIL Fotografía remitida a medios de comunicación exclusivamente para ilustrar la noticia a la que hace referencia la imagen, y citando la procedencia de la imagen en la firma 24/4/2024

Estafas por InternetGUARDIA CIVIL

Estafas

SMS falsos que se cuelan en el hilo de mensajes del banco: así reconocerlos y evitar el fraude

En estos tiempos en los que las nuevas tecnologías se han convertido en herramientas necesarias en nuestro día a día, los delincuentes las aprovechan para crear nuevos métodos con los que engañar a sus víctimas

Irene Martel
Irene Martel

Madrid

Las nuevas tecnologías se han convertido en los últimos tiempos en herramientas indispensables en nuestro día a día. Nos ayudan a realizar todo tipo de gestiones y actividades de manera rápida y eficaz, ahorrándonos mucho tiempo y evitándonos inconvenientes muy habituales hace tan solo unos años. Sin embargo, en malas manos, pueden convertirse en una auténtica amenaza, y es que los delincuentes las están empleando para crear nuevos métodos con los que engañar a sus víctimas.

Quizás, uno de las técnicas más empleadas por estos cibercriminales, sobre todo por su efectividad, es la conocida como spoofing.

Qué es el spoofing

El spoofing es una técnica utilizada para suplantar la identidad de otra persona, dispositivo o servicio con el fin de engañar a un sistema o a un usuario y obtener algún beneficio ilícito o causar un perjuicio.

El término se emplea en varios contextos dentro de la ciberseguridad y las telecomunicaciones, pero la idea central siempre es la misma: hacer que algo parezca provenir de una fuente legítima cuando en realidad no lo es.

Tipos de spoofing

IP Spoofing. El atacante falsifica la dirección IP de origen en los paquetes de datos para simular que provienen de otra máquina. Suele usarse en ataques de denegación de servicio (DDoS) o para evitar bloqueos.
Email Spoofing. Se envía un correo electrónico que parece provenir de una dirección legítima (como la de una empresa o persona conocida) para engañar al receptor. Es habitual en campañas de phishing.
Caller ID Spoofing. El número que aparece en la pantalla del teléfono es falsificado para que parezca que llama una entidad legítima (por ejemplo, un banco).
Website Spoofing. Creación de páginas web falsas que imitan a las reales para robar credenciales o datos personales.
DNS Spoofing. Alteración de la caché DNS para redirigir a los usuarios a sitios web maliciosos aunque escriban la dirección correcta.
SMS Spoofing o Sender Spoofing. Los delincuentes insertan un SMS falso dentro del hilo legítimo de mensajes de una entidad legítima.

SMS Spoofing

Sin duda, el SMS Spoofing o Sender Spoofing es una de las estafas más peligrosas, ya que los SMS llegan al hilo legítimo de la entidad en la que confía la víctima, como puede ser su banco.

¿Y cómo consiguen hacer esto los delincuentes? Aprovechando una vulnerabilidad o carencia de control en cómo funciona la identificación del remitente (Sender ID) en la red de mensajes.

Las redes móviles permiten que el remitente del SMS aparezca como un nombre alfanumérico (ej. BancoX) en lugar de un número. Muchos sistemas de envío masivo (legítimos y fraudulentos) dejan que el usuario escriba cualquier texto en ese campo. El teléfono, al recibir un SMS con ese mismo BancoX, lo agrupa en la conversación existente del banco real, aunque venga de otro origen.

Para identificar estos mensajes, el Instituto Nacional de Ciberseguridad (INCIBE) asegura que suelen tener un tono alarmante, como avisos de retiradas de grandes sumas de dinero o de bloqueos de cuenta y normalmente contienen enlaces que llevan a páginas fraudulentas con apariencia oficial pero cuya dirección no coindice con el dominio real de la entidad.

Medidas para evitar este tipo de estafas

Para evitar caer en este tipo de engaño pueden tomarse las siguientes medidas:

Registro y bloqueo de Sender IDs: bases de datos que vinculan un nombre de remitente a un emisor autorizado (por ejemplo, el sistema SMS Sender ID Protection de GSMA).Uso de números cortos verificados en lugar de alfanuméricos para entidades sensibles.Filtros en operadoras que bloqueen mensajes con remitentes protegidos que no provengan de canales autorizados.Migración a canales más seguros, como apps oficiales con notificaciones push, que sí autentican el origen.

Temas

comentarios
tracking

Compartir

Herramientas