Cuidado con los SMS: logran colar mensajes fraudulentos en el hilo del banco

Tenga cuidado con los SMS que recibe de su banco. O, mejor dicho, esté alerta ante los mensajes que parece que le ha enviado su banco: los ciberdelincuentes logran colar mensajes SMS con enlaces fraudulentos en hilo del móvil donde se reciben mensajes legítimos de la entidad. Esta modalidad de ataque, más sofisticado y difícil de detectar por el usuario, se denomina smishing y afecta a todo tipo de entidades bancarias que ofrecen banca en internet. Lo primero que hay que tener presente es que los bancos jamás incluyen enlaces en sus SMS ni solicitan datos en ellos.

“Piqué porque el SMS me llegó al mismo hilo del banco, estaba recién levantado y no lo pensé”, cuenta a FARO un usuario de Vigo que recibió uno de estos mensajes, que le engañó con la afirmación de que su tarjeta había sido “limitada temporalmente por motivos de seguridad”. Olvidó el principio de que un banco nunca envía enlaces en los SMS y pinchó en él. Aún “con la mosca detrás de la oreja”, explica, introdujo los datos que le pedían (DNI, clave de acceso a la banca online y número de móvil), y al segundo se arrepintió. “Llamé de inmediato al teléfono 900 de seguridad del banco y me bloquearon la cuenta online, por lo que a los delincuentes no les dio tiempo a transferir dinero”, comenta, aliviado.

A este usuario vigués le ocurrió con el BBVA, una de las mayores entidades financieras de España y con amplia presencia internacional, lo que demuestra el grado de sofisticación de los ciberdelincuentes, capaces de burlar las medidas de ciberseguridad del banco para colar sus mensajes falsos. Cuando el usuario acudió por la mañana a la oficina bancaria a desbloquear la cuenta y recuperar el control de su dinero le confesaron que en las dos horas que llevaba abierta ya habían desbloqueado varias por el mismo motivo, y que esto estaba pasando con todos los bancos.

El smishing no es nuevo. De hecho, BBVA advirtió a sus clientes sobre él ya en noviembre de 2021, y el Banco de España también ha alertado sobre esta práctica. Lo que muchos usuarios desconocen todavía es que los delincuentes, para suplantar la identidad de las entidades financieras, cuelan estos SMS fraudulentos entre otros del banco, lo que les confiere un falso marchamo de autenticidad. El tipo de información que piden los enlaces fraudulentos “solo es requerida en la app del banco y en la página web oficial”, subraya la web del BBVA, que recuerda que hay que desconfiar si el mensaje “es de carácter urgente y contiene faltas de ortografía”. Respecto a este último aspecto, lo cierto es que los SMS fraudulentos no se distinguen ortográficamente de los auténticos en el caso de este banco: ninguno de ellos presenta acentos gráficos. Así, mensajes auténticos de BBVA incluyen palabras mal escritas, como operacion y codigo, que deben llevar tilde. Es un aspecto que las entidades bancarias deben mejorar para que a los delincuentes, que operan muchas veces desde el extranjero y no dominan el español, les sea más difícil engañar a los usuarios.

En cualquier caso, hay que extremar la precaución. Las entidades bancarias pueden no hacerse cargo de las sustracciones de fondos que realizan los ciberdelincuentes tras hacerse con las claves de los usuarios mediante esta y otras técnicas, como el phishing. Este tipo de casos puede terminar en los tribunales.

Actualización: Tras la publicación de este reportaje, algunos usuarios de banca en internet han señalado que sí reciben mensajes SMS legítimos de sus bancos con enlaces en ellos, para confirmar transacciones electrónicas. Por ello resulta mucho más difícil distinguir entre los SMS auténticos y los fraudulentos. Este es un ejemplo: