¿Qué es el SMS Spoofing?

La falsificación de SMS consiste en alterar la información del remitente con fines fraudulentos, como el número de teléfono y el nombre del contacto. Un texto falso no puede ser respondido ni bloqueado. La suplantación de identidad se basa totalmente en la suplantación de identidad.

Recibes un mensaje de texto de alguien que crees conocer, pero algo no te parece correcto al examinarlo más de cerca. El nombre y el número de móvil no son idénticos a los de la lista de contactos de las personas; sólo son similares.

Los ataques a la ciberseguridad están aumentando rápidamente. El phishing y fraudes similares como la suplantación de identidad fueron el tipo de ciberdelito más frecuente denunciado al Internet Crime Complaint Center en 2021, afectando a casi 324 mil personas.

¿Interesante? Tal vez, sí. Sin embargo, por muy emocionante que parezca, esta capacidad es incuestionablemente perjudicial cuando se utiliza de forma incorrecta.

¿Cómo funciona el SMS Spoofing?

Podría pensar que la falsificación de SMS es un problema del siglo XXI, pero le sorprendería saber que se cree que sus orígenes se remontan a muchas décadas atrás. Un comandante egipcio llamado Sultán Baybars logró tomar el poderoso Krak des Chevaliers en 1271 dando a los caballeros asediados una carta falsa de su comandante y ordenándoles que se sometieran. Al final, los caballeros se rindieron y descubrieron que la carta era falsa.

El spoofing de SMS funciona disfrazando el número de teléfono del remitente real en un mensaje SMS para que parezca provenir de un dispositivo diferente. Esto puede hacerse de dos maneras:

• Puedes enviar un mensaje SMS desde el teléfono de tu víctima a alguien con quien quieras comunicarte. De este modo, el destinatario creerá que el mensaje procede de alguien conocido, como un amigo o un colega.
• Puedes enviar un mensaje SMS desde el número de teléfono de otra persona a alguien con quien quieras comunicarte. Esto también engañará al destinatario haciéndole creer que el mensaje viene de otra persona, como un amigo o un colega.

Smishing y SMS Spoofing: ¿Cuál es la diferencia?

La suplantación de identidad por SMS y el smishing son dos tipos de estafas que utilizan los mensajes de texto para obtener información sensible de víctimas desprevenidas. Ambos se basan en técnicas de ingeniería social, pero difieren en la forma en que se dirigen a usted.

Suplantación de identidad por SMS

La suplantación de identidad por SMS se produce cuando un hacker envía un mensaje SMS desde un número irreconocible. El mensaje puede parecer que proviene de alguien conocido, o puede proceder de una empresa u organización de confianza. El objetivo de estos ataques es engañarle para que responda o haga clic en un enlace que descargará malware en su teléfono u ordenador.

Smishing

El smishing es similar al spoofing de SMS, pero los hackers envían correos electrónicos falsos con enlaces maliciosos incrustados en ellos en lugar de utilizar mensajes de texto. Si haces clic en el enlace, intentarán instalar malware en tu dispositivo o te llevarán a un sitio web falso en el que te pedirán información personal, como números de tarjetas de crédito y de la seguridad social.

¿Qué es un vector de ataque de suplantación de identidad por SMS?

Los vectores de ataque de suplantación de identidad por SMS simulan ser mensajes de una fuente fiable para engañar a los usuarios de teléfonos móviles y hacerles revelar su información personal. Para propagar este ataque se suele utilizar un mensaje de correo electrónico con un enlace o un archivo ejecutable. En cuanto se pulsa el botón, el atacante puede acceder a los mensajes de la víctima y enviarlos en su nombre.

Para que las víctimas proporcionen, envíen o divulguen fácilmente información confidencial, es necesario hacerles creer que están hablando con un amigo o familiar de confianza. Esta técnica puede suplantar a varias personas simultáneamente, dependiendo del número de destinatarios concurrentes y del vector de ataque de suplantación.

Tipos de falsificación de SMS

Hay muchos tipos diferentes de suplantación de identidad por SMS, entre ellos:

Identificaciones falsas de remitentes

El tipo más común de suplantación de identidad consiste en sustituir la identificación del remitente real por otro número o nombre. Esto permite a los estafadores hacerse pasar por otra persona -como su banco o compañía de tarjetas de crédito- y engañarle para que facilite información personal o descargue software malicioso. También pueden falsificar el identificador de llamadas haciendo llamadas falsas además de mensajes de texto.

Mensajes masivos no solicitados (UBM)

Los MUP son textos no solicitados que parecen proceder de alguien conocido, pero que provienen de una fuente desconocida. Estos mensajes pueden incluir enlaces a sitios web maliciosos, ataques de phishing y otras estafas diseñadas para robar información personal de los dispositivos móviles.

Acoso

Este tipo de suplantación de identidad por SMS suele consistir en el envío de mensajes amenazantes o inapropiados a otras personas. Suele ser utilizado por acosadores, matones y ciberacosadores que quieren intimidar a sus víctimas. Algunos acosadores utilizan este método para intentar extorsionar a sus víctimas amenazándolas con las consecuencias si no pagan.

Transferencias de dinero falsas

Puede tratarse del envío de un correo electrónico en el que se afirma que has ganado un premio para que transfieras algo de dinero a una cuenta con el fin de donarlo a una organización benéfica, por ejemplo. O puede tratarse de una estafa más siniestra en la que los piratas informáticos intentan robar su información personal afirmando que ha ganado un premio, pero luego le piden sus datos bancarios para poder ingresarlo en su cuenta.

Espionaje empresarial

En este ataque, un hacker enviará un mensaje SMS a su teléfono móvil con un enlace a un sitio web malicioso. Cuando hagas clic en ese enlace, te redirigirá a otro sitio y robará tu información personal y tus credenciales, que el atacante puede utilizar para acceder a recursos de la empresa o robarte dinero.

Suplantación de identidad por SMS: ¿Cuáles son los usos legítimos?

Los usos legítimos de la suplantación de identidad por SMS incluyen los servicios de mensajería masiva, los mensajes oficiales y la protección de la identidad.

Servicios de mensajería masiva

El spoofing de SMS puede enviar mensajes masivos a varios destinatarios a la vez. Esto es especialmente útil para las empresas que quieren llegar a los clientes de forma rentable.

Mensajes oficiales

Los organismos públicos también utilizan la suplantación de identidad por SMS para enviar notificaciones importantes, como plazos de pago de impuestos o avisos sobre catástrofes naturales. Al enviar estos mensajes, deben proceder de una fuente oficial para que la gente sepa que son legítimos y no una estafa.

Protección de la identidad

Empresas como Equifax utilizan esta tecnología para proteger la identidad de sus clientes. Supongamos que alguien intenta llamarle o enviarle un correo electrónico fingiendo ser de Equifax con un número de devolución de llamada. En ese caso, puede verificar fácilmente si es real o no llamando al número en su teléfono en lugar de introducir cualquier información personal por teléfono o Internet.

¿Qué deben hacer los usuarios para protegerse del SMS Spoofing?

• Desconfíe de los mensajes no solicitados que reciba en su dispositivo móvil y no abra ningún enlace de esos mensajes. Si abre un enlace, asegúrese de visitar el sitio web real del que dice ser escribiendo la URL en su navegador.
• No respondas a mensajes de texto en los que te pidan información personal, como números de cuenta o contraseñas. Si recibe uno de estos mensajes, bórrelo inmediatamente sin responder.
• Ponte en contacto con tu proveedor de servicios de telefonía móvil si recibes un mensaje SMS solicitando dinero o información personal.

Resumen

Nadie está completamente a salvo de la suplantación de identidad. Siempre debes denunciar a los estafadores que te acosen o utilicen tu número para la suplantación de identidad a tu operador y a la policía para que puedan averiguar el origen de los mensajes. De este modo, se puede evitar la suplantación de identidad por SMS en el futuro. Para asegurarte de que no volverás a recibir un SMS del estafador, puedes utilizar bloqueadores de SMS de descarga.

Además, es necesario estar al tanto y protegerse de otros riesgos de suplantación de identidad, incluyendo la suplantación de correo electrónico y los ataques directos de suplantación de dominio que podrían dañar su reputación. Consulte nuestra guía completa sobre seguridad de la suplantación de identidad por correo electrónico para estar a salvo de futuros ataques.

• Acerca de
• Últimas publicaciones

Ahona Rudra

Director de Marketing Digital y Redacción de Contenidos en PowerDMARC

Ahona trabaja como responsable de marketing digital y redacción de contenidos en PowerDMARC. Es una apasionada escritora, bloguera y especialista en marketing de ciberseguridad y tecnologías de la información.

Últimas publicaciones de Ahona Rudra (ver todas)

• La vida después de P=Rechazo - 1 de diciembre de 2022
• Amenazas a la seguridad de los soportes extraíbles - 1 de diciembre de 2022
• PowerDMARC y Cipher firman un memorando de entendimiento en Black Hat MEA Riyadh - 28 de noviembre de 2022