Ahora que se acerca el día de Reyesse intensifican las compras online y crecen los nervios por recibir los regalos a tiempo. Esto es un caldo de cultivo perfecto para los ciberdelincuentes, que elaboran campañas de smishing para estafar a los internautas.
El smishing consiste en el envío de mensajes de SMS que suplantan la identidad de alguna organización legítima. En este caso suelen hacerse pasar por empresas de mensajería como Correos o DHL.
“El alto volumen de compras online y la expectativa por recibir los pedidos hacen que muchos usuarios bajen la guardia”, detecta Josep Albors, director de investigación y concienciación de ESET España.
“Los atacantes lo saben y aprovechan ese contexto para lanzar campañas muy creíbles, con mensajes bien redactados y referencias a empresas reales”, describe.
Algunos de estos mensajes señalan problemas con el envío y reclaman acciones por parte del receptor, ya sea confirmar sus datos, reprogramar la fecha de entrega o pagar una tasa.
Para ello redirigen a una página fraudulenta en la que las víctimas deben introducir información sensible, lo que termina en el robo de la misma. Esto incluye credenciales de acceso a cuentas online y dinero.
Para hacerlo más realista, los criminales aplican técnicas de suplantación del identificador. En cualquier caso, los expertos en seguridad recuerdan que las firmas de paquetería no solicitarán datos sensibles ni pagos vía SMS.
“Si un SMS sobre un paquete te pide pagar, confirma datos o actuar con urgencia, no es un aviso legítimo: es una estafa”sentencia Albors. “Las empresas de mensajería no operan así y asumirlo como norma elimina de golpe la mayoría de estos fraudes”.
¿Cómo protegerse?
ESET desaconseja pulsar en los enlaces recibidos por SMS. Tampoco habría que responder al remitente. Lo mejor es acceder a las páginas de la empresa de mensajería en cuestión escribiendo la dirección en el navegador o usando la aplicación oficial. Y, siempre, desconfiar de cualquier solicitud de datos o dinero.
Otra recomendación es comprobar si el aviso recibido al móvil coincide con un pedido real que se está esperando.
Y, si ya se ha pinchando en el enlace o realizado el pago, habrá que hablar con el banco, recolectar pruebas y ponerse en contacto con las autoridades. El Instituto Nacional de Ciberseguridad (INCIBE) pone a disposición el teléfono de ayuda gratuita 017.
