El último caso de «smishing» reaviva una alarma que no debe apagarse nunca
Más allá de armas, rostros cubiertos, huidas audaces y acciones peligrosas. Para vaciar las cuentas corrientes, actualmente es suficiente un SMS.
La última víctima fue hace unos días un pensionista de Santander, cuya cuenta fue vaciada en cuestión de minutos. Inmediatamente después, no solo comenzó a maldecir a los delincuentes que le habían estafado, sino a su propia ingenuidad.
El anciano recibió un mensaje de texto falso del banco informando de «una transacción sospechosa» y, para generar aún más confianza, le invitaban con hablar con un operador para evitar la congelación de la tarjeta. Por supuesto, la llamada telefónica del falso operador antifraude en la que le informaban de «comprobaciones en curso» en su cuenta corriente también era una estafa.
Sin embargo, la víctima ya había entrado en un estado emocional de alarma y, por tanto, no estaba muy lúcida.
Una condición mental que allana el terreno para los delincuentes. Así, el pirata en cuestión le indicó a la víctima todos los procedimientos que debía seguir para bloquear el pago. Tras colgar, el hombre esperaba un mensaje de texto que le indicara que la operación «había sido un éxito». En su lugar, le llegó una nueva llamada desde un número parecido al 091. En esta ocasión, se trataba de un falso policía que le aconsejaba a la víctima que se pusiera en contacto con el número gratuito de su banco para evitar el «fraude en curso». En ese momento, el hombre empezó a sospechar y se puso en contacto con la policía real, que, por supuesto, negó haber hecho la llamada.
En aquel momento, la víctima se dio cuenta de todo. Sin embargo, para entonces el juego ya había terminado, había caído en la trampa y el dinero que tenía en su cuenta había desaparecido y acabado en la cuenta de otra persona. Se habían esfumado todos sus ahorros.
Básicamente, es como despertarse con un fuerte golpe en la cabeza, ya que puede dejar marcas muy profundas y dolorosas.
El «smishing»
Hablamos más exactamente del «smishing», la técnica de ataque a través de SMS, y del «vishing» (el «phishing» vocal). No son ninguna novedad, pero se han consolidado como amenazas también porque los ataques se están volviendo cada vez más específicos y peligrosos, como el que le ocurrió al señor de Santander.
El atacante puede hacerse pasar por un policía o un operador bancario, como en el caso que acabamos de relatar, pero también por una persona conocida de la víctima, como un familiar, un amigo o un compañero de trabajo. Así, aumentará la probabilidad de que la víctima confíe en el mensaje y se sienta arrastrado a entablar una conversación que le lleve a facilitar sus datos personales.
En el último año, los investigadores han informado de un rápido crecimiento de los ataques realizados a través de dispositivos móviles. Consisten en el envío de múltiples mensajes por parte de los ciberdelincuentes con el objetivo de generar un compromiso genuino, generar confianza y hacer que la víctima caiga en la trampa.
Durante este periodo, el aumento del volumen de ataques «conversacionales» fue del 318 % a escala mundial, del 328 % en EE. UU. y del 663 % en el Reino Unido.
El éxito en el mundo de la ciberdelincuencia de estas técnicas radica en varios factores: la generalización de los filtros antispam de los correos electrónicos, que, junto con una mayor y más extendida concienciación de los usuarios, están reforzando la barrera que puede bloquear los correos electrónicos de «phishing»; el hecho de que, a diferencia de los correos electrónicos, los mensajes de texto tienen una tasa de apertura muy alta y la mayoría de ellos se abren en 15 minutos; y el hecho de que las compañías telefónicas aún no han establecido métodos de filtrado de mensajes adecuados al alto nivel de riesgo. Por último, hay que tener en cuenta la gran facilidad con la que un ciberdelincuente consigue hacerse con contactos telefónicos.
Así pues, basta con que el estafador se invente una historia creíble que sirva de trampa para el destinatario del mensaje: un problema con la cuenta bancaria, una tarjeta de crédito, un premio ganado, pero también una petición de ayuda de un amigo o hijo que escribe para decir que ha perdido el móvil.
En definitiva, cualquier cosa que pueda llevar de manera convincente al desafortunado a hacer clic en un enlace malicioso.
El «vishing» es todavía más sutil porque al otro lado del auricular hay una voz que parece muy convincente y que llama desde un número conocido. Podría ser del banco o el de la compañía de seguros.
Es más, las crónicas de los últimos años han registrado historias de voces reproducidas con inteligencia artificial y que, haciéndose pasar por directores ejecutivos de empresas, han pedido a sus subordinados grandes sumas de dinero.
Las recomendaciones
Incluso en el caso de estos dos tipos de delito, siempre hay recomendaciones válidas:
- en caso de «smishing», no hagas clic en ningún enlace sospechoso y no rellenes formularios con tus datos, al menos sin haber llamado primero al banco, al seguro o a la empresa en cuestión y haberte asegurado de la fiabilidad del mensaje.
- en caso de «vishing», muchos sugieren la biometría vocal, ya que logra verificar la identidad de una persona que llama sobre la base de una representación matemática de una voz almacenada en una base de datos.
Lo cierto es que ya no se puede prescindir, sobre todo en el ámbito empresarial, de una formación actualizada y capaz de mantenerse al día con los rápidos avances de la piratería.
Esta última no parece querer dejar de inventar nuevas formas de estafar a empresas, administraciones, empresas y particulares. Lo único que puede detenerla es enfrentarse a usuarios preparados y capaces de responder a los ataques con la misma astucia.
Teniendo en cuenta que siempre es el factor humano el que permite a los piratas salirse con la suya, como en el caso de las últimas noticias, la preparación, concienciación y correcta actitud digital de cada usuario es la barrera más eficaz para frenar el cada vez más alarmante riesgo cibernético.