Las nuevas estafas por SMS y cómo evitarlas

Buenos días, su envío llegará a las 10.30 al punto de entrega. Vea dónde puede recoger su paquete haciendo clic aquí».

Cuidado, ni se le ocurra pinchar en ese enlace. Este SMS puede dejarle sin ahorros. Los cibercriminales han encontrado por fin el caballo de Troya para introducirse en nuestros teléfonos móviles. Se llama FluBot y es un mensaje de texto en el que se oculta un troyano bancario, un programa malicioso que toma el control del dispositivo y roba los datos y contraseñas que permiten el acceso a la banca móvil. Esta 'epidemia hacker', que comenzó en España y en marzo ya había 'contagiado' a 60.000 teléfonos (el 97 por ciento españoles), se ha extendido por Europa, haciendo saltar las alarmas en Reino Unido, Alemania, Italia, Polonia, Hungría...

El virus también es capaz de copiar la agenda de contactos para reenviar automáticamente el mensaje malicioso. En pocos meses recopiló once millones de números. Esto significa que uno de cada cuatro móviles en España han recibido un SMS que puede llegar a instalar, si pulsamos el hipervínculo, una aplicación silenciosa que dará el control de nuestro teléfono a los ciberdelincuentes sin que nos percatemos. Pero los expertos advierten de que, al ritmo de contagio actual, los hackers podrían disponer de todo el listín de móviles españoles en noviembre.

Los virus informáticos específicos para el móvil no habían tenido demasiado éxito. La razón principal es que las aplicaciones bancarias disponen de varias herramientas muy eficaces para mantenerlos a raya: la autenticación de dos o más factores, el reconocimiento a través de la huella dactilar o incluso facial para autorizar las operaciones, los códigos que caducan en pocos minutos... Pero estamos ante la oleada de estafas más peligrosa y sofisticada hasta la fecha. El Instituto Nacional de Ciberseguridad (Incibe) califica el riesgo de «muy alto». Y la Policía Nacional y otros cuerpos de seguridad han difundido varias alertas en sus redes sociales.

Daba la impresión de que un virus informático solo podía causarnos problemas a través del ordenador y que con un antivirus que enviase a la carpeta de spam los correos electrónicos sospechosos (phishing) era suficiente. Y, en buena medida, así era hasta que aparecieron FluBot y otros programas maliciosos inspirados en él. Los cibercriminales se han percatado de su efectividad. Y se copian unos a otros, perfeccionándolos, de modo muy similar a cómo se replica el coronavirus, favoreciendo que prevalezcan las variantes más contagiosas. Por ejemplo BRATA, que podría calificarse como la 'cepa' brasileña de FluBot, pues empezó en el país sudamericano, desde allí se contagió a Estados Unidos y ya ha saltado el charco.

'Smishing', 'pharming', 'vishing'

Llueve sobre mojado. El ransomware (el secuestro de un ordenador o red de ordenadores para pedir un rescate) es la gran pesadilla de las grandes empresas, sobre todo desde que se generalizó el teletrabajo, y los hackers ya se atreven a atacar incluso a las compañías informáticas, como le ha sucedido al fabricante Acer, al que exigieron un rescate de 50 millones de dólares.

Pero el smishing es el nuevo coco, en este caso, para los usuarios individuales. Smishing es la combinación de las palabras SMS y phishing. Como hemos visto, es el intento de fraude a través de un mensaje de texto para obtener información personal y financiera. El SMS fraudulento pide a la víctima que haga clic en un enlace o que llame a un teléfono para verificar, actualizar o reactivar un servicio. Puede derivar en pharming, si el enlace que se ha pulsado lleva a una página web falsa, con una apariencia muy parecida a la de la web a la que se quería acceder y que pide a la víctima que rellene un formulario que captura la información confidencial.

Esa página también puede contener una solicitud de permiso de accesibilidad al móvil. Si se concede, los hackers son capaces de controlar el dispositivo a distancia.

Otra modalidad es el vishing, combinación de las palabras 'voz' y 'phishing'. El SMS malicioso lleva un teléfono fijo o móvil. Si llamamos, nos responderá el supuesto empleado de una entidad bancaria, comercio, empresa de mensajería de un organismo público que nos pedirá nuestros datos con cualquier excusa: reembolsar una cantidad, participar en un sorteo, recibir soporte técnico... Por principio, hay que desconfiar incluso de los SMS que nos llegan en el mismo hilo que los de nuestro banco.

Hay muchos cebos. Por ejemplo, los de aquellos que se hacen pasar por empleados de la Seguridad Social, los cibercriminales que nos piden que reembolsemos una cantidad a través de Bizum (un sistema que jamás utilizan los organismos públicos). O nos animan a responder a una encuesta a cambio de un regalo.

También está el chollo del súper: nos ofrecen un robot de cocina a un precio irrisorio. O nos anuncian que hay un paquete a nuestro nombre retenido en la aduana... Pero el más habitual es el siguiente. Una presunta empresa de mensajería nos envía un mensaje para hacer el seguimiento de un envío que ya está pagado y que no se ha podido entregar. Como no hemos comprado nada, pinchamos el enlace para averiguar qué sucede y aparece una página web (falsa) de la empresa en cuestión y una advertencia de que el envío se ha devuelto dos veces debido a un error en los datos.

Para meternos prisa, aparece una cuenta atrás, y nos explican que es la última vez que nos piden la dirección correcta y que, de no proporcionar los datos, anularán el envío. Si le damos a 'Continuar', nos ofrecen información sobre el paquete en cuestión: por ejemplo, un iPhone por el que solo hay que pagar 3 euros por los gastos de envío. A continuación, aparece un formulario para rellenar los datos de nuestra tarjeta y realizar ese pago. Hasta ahora, se han visto suplantaciones de compañías como Correos Express, DHL, FedEX, MRW y otras.

A primera hora de la mañana o última de la tarde

FluBot, en concreto, afecta sobre todo a los teléfonos Android, aunque ya hay versiones específicas para Apple. En el caso del sistema operativo de Google, necesita que el usuario le otorgue el permiso para ganar acceso a la función que permite observar y controlar el dispositivo. Por eso suele enviarse a horas en que estamos menos atentos, temprano por la mañana o a última hora de la tarde. Los hackers confían en que estemos soñolientos o cansados y que pulsemos el enlace sin prestar atención a lo que estamos haciendo. Un mensaje suele meternos prisa, además.

Una vez hacemos clic, el SMS redirige a la víctima a una página que suplanta a la oficial del sitio y solicita que descargue una aplicación para realizar el seguimiento. Esta 'app' se descarga desde una tienda de aplicaciones distinta de Google Play Store, la oficial. Este virus tiene la capacidad de inyectar páginas superpuestas cuando detecte un inicio de sesión en una de las aplicaciones diana (generalmente una app bancaria o de comercio electrónico, también los monederos virtuales y, últimamente, los programas de gestión de criptomonedas), de forma que el usuario piensa que está introduciendo las credenciales en la web original cuando, en realidad, las está enviando a un servidor remoto controlado por los hackers.

Con el permiso de accesibilidad activado y sirviéndose de una herramienta que monitoriza los toques que el usuario da sobre la pantalla, el ciberdelincuente espía, sin que lo sepamos, lo que hacemos en todas las aplicaciones que abrimos. Y, con nuestras credenciales en su poder, puede realizar transferencias a sus cuentas, vaciando las nuestras.

Los consejos para evitar estafas

NO CAIGA EN LA TRAMPA

1. Si recibe un mensaje que parece ser de su banco o de una compañía de comercio electrónico con un enlace para actualizar la información de su cuenta o confirmar el código de su tarjeta, se trata de un fraude. Desconfíe de las alertas de seguridad urgentes y los canjes de cupones y ofertas que requieren actuar rápido.

---

2. No acceda a enlaces de contenidos en correos electrónicos o mensajes de texto que provengan de un remitente desconocido. Si sospecha, borre el mensaje. Ante cualquier duda, puede contactar con la línea de seguridad del Incibe (900116117) a través del WhatsApp.

---

3. Evite descargar aplicaciones desconocidas o que no sean oficiales y procure tener inhabilitada la opción de instalación de aplicaciones de origen desconocido. Elegir en todo momento la opción de 'NO' recordar las contraseñas.

---

4. Atención a las faltas de ortografía, a los mensajes que no van dirigidos a su nombre, o que lo escriben mal o de una manera que solo usaría algún contacto de su agenda. Puede que hayan hackeado el teléfono de un contacto y usted sea la próxima víctima.

---

5. Verifique que la dirección del portal de un banco o del sitio donde se requiera realizar alguna compra empiece con el icono de un candado cerrado y con https, ya que la 's' significa que los datos ingresados se transmitirán de forma cifrada.

---

6. En caso de recibir una notificación de su banco en la que se informa que su cuenta fue bloqueada, informe al banco mediante la línea de atención telefónica oficial y no a través de los teléfonos recibidos en dicha notificación.

---

7. Mantenga su móvil actualizado y pásele un antivirus. Se puede descargar alguno gratuito en la Oficina de Seguridad del Internauta (www.osi.es) del Incibe.

---

8. Pongámonos en lo peor. Si los hackers han accedido a su cuenta y han realizado cargos no autorizados, siga estos pasos. Primero contacte con su entidad bancaria a través de su servicio telefónico e informe de que han suplantado su identidad. Después acérquese a una comisaría y ponga una denuncia. El real decreto ley de Servicios de Pago de 2018 garantiza que el titular de la cuenta de banca electrónica o de la tarjeta no es responsable de las operaciones de las operaciones fraudulentas y deberían restituirle el dinero, a no ser que se demuestre que cometió una negligencia grave o que se demoró injustificadamente a la hora de avisar.

NOTICIAS RELACIONADAS

El ejército de mentirosos que contamina Internet

Los 'hackers' declaran la tercera guerra mundial