Las nuevas estafas por SMS y cómo evitarlas

Los virus informáticos específicos para el móvil no habían tenido demasiado éxito. La razón principal es que las aplicaciones bancarias disponen de varias herramientas muy eficaces para mantenerlos a raya: la autenticación de dos o más factores, el reconocimiento a través de la huella dactilar o incluso facial para autorizar las operaciones, los códigos que caducan en pocos minutos... Pero estamos ante la oleada de estafas más peligrosa y sofisticada hasta la fecha. El Instituto Nacional de Ciberseguridad (Incibe) califica el riesgo de «muy alto». Y la Policía Nacional y otros cuerpos de seguridad han difundido varias alertas en sus redes sociales.

Daba la impresión de que un virus informático solo podía causarnos problemas a través del ordenador y que con un antivirus que enviase a la carpeta de spam los correos electrónicos sospechosos (phishing) era suficiente. Y, en buena medida, así era hasta que aparecieron FluBot y otros programas maliciosos inspirados en él. Los cibercriminales se han percatado de su efectividad. Y se copian unos a otros, perfeccionándolos, de modo muy similar a cómo se replica el coronavirus, favoreciendo que prevalezcan las variantes más contagiosas. Por ejemplo BRATA, que podría calificarse como la 'cepa' brasileña de FluBot, pues empezó en el país sudamericano, desde allí se contagió a Estados Unidos y ya ha saltado el charco.

Llueve sobre mojado. El ransomware (el secuestro de un ordenador o red de ordenadores para pedir un rescate) es la gran pesadilla de las grandes empresas, sobre todo desde que se generalizó el teletrabajo, y los hackers ya se atreven a atacar incluso a las compañías informáticas, como le ha sucedido al fabricante Acer, al que exigieron un rescate de 50 millones de dólares.

Pero el smishing es el nuevo coco, en este caso, para los usuarios individuales. Smishing es la combinación de las palabras SMS y phishing. Como hemos visto, es el intento de fraude a través de un mensaje de texto para obtener información personal y financiera. El SMS fraudulento pide a la víctima que haga clic en un enlace o que llame a un teléfono para verificar, actualizar o reactivar un servicio. Puede derivar en pharming, si el enlace que se ha pulsado lleva a una página web falsa, con una apariencia muy parecida a la de la web a la que se quería acceder y que pide a la víctima que rellene un formulario que captura la información confidencial.

Esa página también puede contener una solicitud de permiso de accesibilidad al móvil. Si se concede, los hackers son capaces de controlar el dispositivo a distancia.

Otra modalidad es el vishing, combinación de las palabras 'voz' y 'phishing'. El SMS malicioso lleva un teléfono fijo o móvil. Si llamamos, nos responderá el supuesto empleado de una entidad bancaria, comercio, empresa de mensajería de un organismo público que nos pedirá nuestros datos con cualquier excusa: reembolsar una cantidad, participar en un sorteo, recibir soporte técnico... Por principio, hay que desconfiar incluso de los SMS que nos llegan en el mismo hilo que los de nuestro banco.

Hay muchos cebos. Por ejemplo, los de aquellos que se hacen pasar por empleados de la Seguridad Social, los cibercriminales que nos piden que reembolsemos una cantidad a través de Bizum (un sistema que jamás utilizan los organismos públicos). O nos animan a responder a una encuesta a cambio de un regalo.

También está el chollo del súper: nos ofrecen un robot de cocina a un precio irrisorio. O nos anuncian que hay un paquete a nuestro nombre retenido en la aduana... Pero el más habitual es el siguiente. Una presunta empresa de mensajería nos envía un mensaje para hacer el seguimiento de un envío que ya está pagado y que no se ha podido entregar. Como no hemos comprado nada, pinchamos el enlace para averiguar qué sucede y aparece una página web (falsa) de la empresa en cuestión y una advertencia de que el envío se ha devuelto dos veces debido a un error en los datos.

Para meternos prisa, aparece una cuenta atrás, y nos explican que es la última vez que nos piden la dirección correcta y que, de no proporcionar los datos, anularán el envío. Si le damos a 'Continuar', nos ofrecen información sobre el paquete en cuestión: por ejemplo, un iPhone por el que solo hay que pagar 3 euros por los gastos de envío. A continuación, aparece un formulario para rellenar los datos de nuestra tarjeta y realizar ese pago. Hasta ahora, se han visto suplantaciones de compañías como Correos Express, DHL, FedEX, MRW y otras.

FluBot, en concreto, afecta sobre todo a los teléfonos Android, aunque ya hay versiones específicas para Apple. En el caso del sistema operativo de Google, necesita que el usuario le otorgue el permiso para ganar acceso a la función que permite observar y controlar el dispositivo. Por eso suele enviarse a horas en que estamos menos atentos, temprano por la mañana o a última hora de la tarde. Los hackers confían en que estemos soñolientos o cansados y que pulsemos el enlace sin prestar atención a lo que estamos haciendo. Un mensaje suele meternos prisa, además.

Una vez hacemos clic, el SMS redirige a la víctima a una página que suplanta a la oficial del sitio y solicita que descargue una aplicación para realizar el seguimiento. Esta 'app' se descarga desde una tienda de aplicaciones distinta de Google Play Store, la oficial. Este virus tiene la capacidad de inyectar páginas superpuestas cuando detecte un inicio de sesión en una de las aplicaciones diana (generalmente una app bancaria o de comercio electrónico, también los monederos virtuales y, últimamente, los programas de gestión de criptomonedas), de forma que el usuario piensa que está introduciendo las credenciales en la web original cuando, en realidad, las está enviando a un servidor remoto controlado por los hackers.

Con el permiso de accesibilidad activado y sirviéndose de una herramienta que monitoriza los toques que el usuario da sobre la pantalla, el ciberdelincuente espía, sin que lo sepamos, lo que hacemos en todas las aplicaciones que abrimos. Y, con nuestras credenciales en su poder, puede realizar transferencias a sus cuentas, vaciando las nuestras.

Noticias relacionadas

Los 'hackers' declaran la tercera guerra mundial

El ejército de mentirosos que contamina Internet