El peligro oculto de los SMS 'de tu banco': la razón por la que no puedes responderlos es por lo que son tan fáciles de suplantar

Sms Spoofing
Sin comentarios Facebook Twitter Flipboard E-mail

"Acabo de recibir este mensaje en el móvil que aparece como si se hubiera enviado desde BBVA", advertía esta misma madrugada un tuitero mientras notificaba lo ocurrido al BBVA y a la Guardia Civil. El tuit venía acompañado de una imagen en la que podían verse los SMS previos remitidos por el BBVA al usuario para realizar sus operaciones bancarias y, al final del hilo de SMS, uno con un extraño mensaje:

"Su tarjeta ha sido limitada temporalmente por razones de seguridad, para reactivarla, actualice su informacion aqui https://otf.easy-comprobar.com/BBVAS/eguro"

Resulta obvio que el mensaje no es del BBVA: está mal escrito (faltan tildes, sobran comas), anima al usuario a entrar en una URL extraña totalmente ajena a BBVA.es, así como a introducir datos personales privados en dicha web. Esto es, estamos ante un phishing de manual. Entonces, ¿por qué aparece en nuestro móvil como si fuera un mensaje legítimo de la citada entidad bancaria? ¿Cómo podemos fiarnos a partir de ahora de los mensajes que recibamos de la misma?

En los últimos días, hemos abordado en Genbeta, precisamente, la suplantación de medios digitales aplicada a la realización de estafas —lo que se conoce como 'spoofing'—, tanto en llamadas de voz como en el 'remitente' de los mensajes de correo electrónico. Pues bien, esto es lo mismo, pero aplicado a los mensajes SMS.

El SMS Spoofing consiste en contratar un servicio de SMS capaz de dar forma al ID del usuario o remitente: "Hay servicios de este tipo gratuitos, donde se contrata un proveedor externo de otro país y te deja enviar mensajes con el remitente que tú quieras". Hay multitud de webs que ofrecen realizar esta tarea de forma gratuita, sólo con introducir el texto que te dé la real gana en el campo 'De'/'From'.

En realidad, los bancos utilizan exactamente el mismo sistema. Podemos identificar cuándo un hilo de mensajes no está vinculado a un número de teléfono concreto porque, al entrar al mismo, veremos en la parte de abajo la advertencia "No puedes responder a este código corto". Claro, porque ese código corto es sólo un texto, no un número de origen.

Nopuedes No puedes responder porque 'INFO', 'Santander' o 'At.Cliente' no son números de teléfono, obviamente.

Así que no, para 'colarte' el mensaje que denunciaba el tuitero no ha hecho falta que nadie hackease al BBVA ni nada parecido: sencillamente basta con escribir 'BBVA' en un formulario web.

Sí, así de fiable es esta tecnología. Sencillamente, el SMS no incluye ningún elemento de autenticación que permita bloquear el uso de determinados textos para determinados usuarios (así, el 'BBVA' podría asegurarse el monopolio del término).

Un vistazo a…
¡QUE NO TE ENGAÑEN! Los principales TIMOS en COMPRAS ONLINE y CÓMO EVITARLOS

¿Qué hacer?

En general hay que desconfiar siempre de los SMS que te pidan realizar alguna acción: presta atención únicamente a aquellos que responden a una acción previa tuya (como los SMS que el banco te envía con códigos cuando estás operando tu banca online).

Y si además la acción que piden realizar es en nombre de algún banco, la solución es sencilla: no pulses el enlace, y entra en su lugar en la app oficial de tu banco (que ya debería estar instalada en tu terminal). Si el aviso que acabas de recibir por SMS no está relejado en ninguna parte en la app, puedes olvidarte del SMS en cuestión.

Imagen | Basada en original de Jan Vašek en Pixabay

En Genbeta | “Si no reconoce este cargo siga los pasos…“. Los SMS falsos ahora quieren timar haciéndote pensar que ya te han timado

Comentarios cerrados
Inicio