El phishing es una de las técnicas de estafa más comunes en el mundo digital. Normalmente consiste en suplantar la identidad de una compañía u organismo público para obtener datos personales como la información bancaria de la víctima.
Esta suplantación de identidad suele hacerse a través de emails y de páginas web que parecen ser legítimas, pero en realidad están controladas por ciberdelincuentes. En los últimos años hemos estado viendo cómo las variantes de este tipo de estafas a través del envío de mensajes SMS se han hecho realmente populares.
El “smishing” (término derivado de SMS + phishing) consiste en suplantar la identidad vía SMS, y lo más habitual es que los hackers se hagan pasar por tu entidad bancaria y te cuenten alguna “milonga” para que pulses en un enlace y te hagan una verdadera avería.
Una de las estafas más recientes que está circulando actualmente es ÉSTA de la que ha estado alertando la Policía Nacional estos días a través de su cuenta de Twitter.
“Su tarjeta ha sido inhabilitada debido a los nuevos cambios de seguridad”
La víctima recibe un mensaje SMS que se hace pasar por su banco, y le dice que “su tarjeta ha sido inhabilitada debido a los nuevos cambios de seguridad”. Acto seguido, el supuesto mensaje del banco te invita a pulsar en un enlace para reactivar tu tarjeta.
Evidentemente jamás debemos pulsar en ningún enlace de este tipo, ya que entonces será cuando dé comienzo el hackeo. Puede ser que la dirección del enlace parezca provenir de nuestro banco, aunque si nos fijamos veremos que hay alguna incongruencia en la URL.
Puede ser que incluso la URL parezca verídica, y que el número de teléfono desde el que nos han enviado el SMS incluso tenga visos de ser real. Por supuesto, si escarbamos un poco veremos que hay señales de que algo no cuadra.
Para evitar caer en este tipo de estafas lo mejor que podemos hacer es ponernos en contacto con nuestro banco antes de pulsar en ningún enlace. Por norma general, los bancos nunca nos van a enviar un SMS para que cambiemos ningún dato personal, ni contraseña. Ese tipo de gestiones se realizan por otras vías.
De hecho, los únicos SMS que envían los bancos suelen ser de carácter informativo, avisando de que has gastando tanto dinero en un comercio, u ofreciéndote servicios bancarios. Como mucho, puedes recibir SMS de tu banco con determinados códigos de verificación, pero sólo cuando los solicitas tú mismo de manera activa para hacer alguna gestión en la web o en la app del banco. El banco nunca te va a pedir que hagas nada fuera de su app o sitio web oficial. Y mucho menos que pulses en un enlace enviado por SMS, que es una plataforma donde los mensajes no están cifrados de extremo a extremo, y por lo tanto pueden ser interceptados por terceros.
Como decimos, la estafa de la tarjeta inhabilitada es una de las mas recientes, pero el año pasado ya vimos intentos de estafa similares por SMS, con delincuentes haciéndose pasar por El Banco Santander, La Caixa, BBVA y otras entidades bancarias, con mensaje que alertaban de que habían bloqueado nuestra tarjeta, que se había registrado un acceso no autorizado y otros mensajes alarmantes para engañarnos y pulsar en un enlace infectado.
