América Latina, en general tiene problemas para contener las amenazas de ciberseguridad. Los fraudes vía SMS tienen el potencial de ser devastadores por la omnipresencia de esta tecnología.
La tecnología de SMS tiene tanto tiempo ya con nosotros que desconfiar de ella es un problema grave. Es por ello que estas cuatro formas de fraude están causando estragos en toda América Latina.
Es – precisamente – por el hecho de que cualquier usuario puede convertirse en vector de esta amenaza qué las empresas deben asumir un rol activo para evitar la propagación del fraude a través de mensajes de texto o SMS, por sus siglas en inglés.
Esta forma de estafa se ha propagado rápidamente en la región, alcanzando a millones de personas y ha generado pérdidas económicas significativas, tanto para los particulares como para las empresas.
Es por ello que estas deben convertirse en un actor activo para evitar que el fraude SMS supere las cotas alarmantes qué ya ha obtenido con un aumento del 40% en los últimos dos años.
La empresa Infobip ha realizado un cuidadoso trabajo de documentación de las modalidades de este tipo de ataque.
Fraude 1, SMiShing
El SMiShing es un tipo de fraude en el que los delincuentes contactan a las víctimas potenciales a través de SMS para convencerlas de que transmitan información personal o información de cuentas bancarias haciendo clic en enlaces que posteriormente instalan malware en sus teléfonos.
Dicho en otras palabras, el Smishing es el phishing del mensaje de texto.
Así, el mecanismo es el mismo: se envía un enlace malicioso. La diferencia es el "anzuelo", es decir, la plataforma. Como en el caso de la versión de correo electrónico, el éxito del smishing depende del complejo entramado de ingeniería social que le permite recopilar información de sus víctimas.
La información personal (dese el domicilio hasta sus contactos frecuentes) es usada por los atacantes para crear mensajes SMS falsificados que resultan muy realistas y convincentes.
"Es particularmente importante que los usuarios presten siempre atención al remitente de cada mensaje. Los SMS verificados, por ejemplo, son una buena manera de asegurarse de que el remitente es genuino", explica Angélica Arevalo, Head of Sales Engineering de Infobip para LATAM.
Fraude 2, SMS Spoofing
El SMS Spoofing como forma de fraude consiste en cambiar la información del remitente de un mensaje para que el destinatario vea cualquier texto alfanumérico definido en lugar de un número de teléfono móvil.
Esta práctica no es ilegal en sí misma. De hecho, existen muchas aplicaciones válidas para ello e, inclusive, servicios gratuitos de SMS spoofing en Internet y por eso existen riesgos de seguridad con los SMS cortos.
"El SMS spoofing puede utilizarse con fines legítimos. El problema es que los delincuentes también lo utilizan a menudo para imitar mensajes de empresas como parte de sus ataques de smishing", detalla Arevalo.
La experto asegura que, con este recurso, los ciberdelincuentes pueden pretender ser de un banco, una empresa de entrega, una institución de confianza.
Sin darse cuenta de que el mensaje es falso, los destinatarios pueden bajar la guardia y hacer clic en los enlaces. Esto podría instalar malware en sus teléfonos o llevarlos a páginas web falsas, diseñadas para extraer información privada de ellos.
Otra táctica ingeniosa de los delincuentes es utilizar el SMS spoofing para falsificar las confirmaciones de pago por la compra de artículos caros.
En estos casos, el mensaje fraudulento afirma que pagarán un producto mediante transferencia bancaria pero, en lugar de realizar el pago, falsifican un SMS de confirmación de pago y se lo envían al vendedor.
SIM Swap o intercambio de la SIM
Al igual que el SMS Spoofing, el intercambio de SIM surge de una necesidad legítima. Al fin y al cabo, podría tan solo tratarse de un cambio de dispositivo móvil en el que el usuario traslada su SIM de su celular viejo al nuevo.
Poder intercambiar la SIM de un dispositivo a otro asegura la portabilidad de nuestros números y de nuestra data.
Sin embargo, este procedimiento se ha vuelto tan común que los delincuentes han comenzado a explotarlo para tomar el control de los números de teléfono celular de las personas.
Lo hacen, simplemente, contactando al operador y proporcionando datos personales a través de tácticas de ingeniería social y realizando un SIM Swap.
Una vez que la cuenta ha sido tomada, el delincuente tendrá acceso a todos los datos personales de la persona y su bandeja de entrada de mensajes para recibir las notificaciones 2FA necesarias qué le permitirán cambiar las contraseñas de los bancos y tarjetas de crédito.
"Los servicios de detección de intercambio de la SIM utilizan una serie de algoritmos para notificar tanto los intentos como los procedimientos de intercambio exitosos", agregó la ejecutiva de Infobip.
También señaló que los operadores móviles que implementan estas soluciones pueden proteger a sus usuarios de este fraude, conocido como SIM Swap.
"Con ello los protegerán, también, de todo el estrés y peligros que implica el robo de la identidad", precisó Arevalo.
Fraude 4, Spam SMS
Existen varias razones válidas (e incluso útiles) para recibir mensajes SMS que no son solicitados directamente por el usuario. Por ejemplo: para notificarle sobre sospechas de fraude o como una forma de alertarlo sobre un evento climático extremo o una campaña de vacunación obligatoria.
El spam de SMS, sin embargo, no hace nada de eso. Por el contrario, viola las leyes de cumplimiento en casi todos los países del mundo y, lamentablemente, eso no impide que las empresas compren listas de números y los bombardeen con ofertas y promociones irrelevantes.
Vale la pena recordar que enviar una comunicación a un usuario que no ha autorizado expresamente este tipo de mensajes es una violación a la Ley General de Protección de Datos Personales (LGPD), a menos que se tenga una razón legal para hacerlo debido a su inminente urgencia. El gran problema es que este tipo de mensajes no deseados va en aumento ahora que las personas han podido detectar llamadas de voz de spam a las cuales hacen caso omiso al no contestar.
Para los usuarios finales, la acción más efectiva se realiza directamente desde el dispositivo, bloqueando las notificaciones de números desconocidos o filtrándolas a través de una bandeja de entrada especial. Sin embargo, al hacerlo, se corre el riesgo de perderse de comunicaciones realmente relevantes.
Fuente: The Standard CIO