La falsificación de SMS consiste en alterar la información del remitente con fines fraudulentos, como el número de teléfono y el nombre del contacto. No se puede responder ni bloquear un mensaje falso. La suplantación de identidad por SMS se basa totalmente en la suplantación.
Recibes un mensaje de texto falso de alguien a quien crees conocer, pero hay algo que no encaja. El nombre y el número de móvil no son idénticos a los de la lista de contactos de la persona, sólo son parecidos.
Los ataques a la ciberseguridad están aumentando rápidamente. El phishing y fraudes similares como la suplantación de identidad fueron el tipo de ciberdelito más frecuente denunciado al Internet Crime Complaint Center en 2021, afectando a casi 324 mil personas.
¿Interesante? Tal vez, sí. Sin embargo, por muy emocionante que parezca, esta capacidad es incuestionablemente perjudicial cuando se utiliza de forma incorrecta.
¿Cómo funciona el SMS Spoofing?
Podría pensar que la falsificación de SMS es un problema del siglo XXI, pero le sorprendería saber que se cree que sus orígenes se remontan a muchas décadas atrás. Un comandante egipcio llamado Sultán Baybars logró tomar el poderoso Krak des Chevaliers en 1271 dando a los caballeros asediados una carta falsa de su comandante y ordenándoles que se sometieran. Al final, los caballeros se rindieron y descubrieron que la carta era falsa.
La suplantación de identidad por SMS consiste en disfrazar el número de teléfono del remitente real en un mensaje de texto SMS para que parezca proceder de un dispositivo diferente. Hay dos formas de hacerlo:
- Puedes enviar un mensaje SMS desde el teléfono de tu víctima a alguien con quien quieras comunicarte. De este modo, el destinatario creerá que el mensaje procede de alguien conocido, como un amigo o un colega.
- Puedes enviar un mensaje SMS desde el número de teléfono de otra persona a alguien con quien quieras comunicarte. Esto también engañará al destinatario haciéndole creer que el mensaje viene de otra persona, como un amigo o un colega.
Smishing y SMS Spoofing: ¿Cuál es la diferencia?
El SMS spoofing y el smishing son dos tipos de estafa que utilizan mensajes de texto falsos para obtener información confidencial de víctimas desprevenidas. Ambos se basan en técnicas de ingeniería social, pero difieren en la forma en que se dirigen a usted.
Suplantación de identidad por SMS
La suplantación de identidad por SMS se produce cuando un hacker envía un mensaje SMS desde un número irreconocible. El mensaje puede parecer que proviene de alguien conocido, o puede proceder de una empresa u organización de confianza. El objetivo de estos ataques es engañarle para que responda o haga clic en un enlace que descargará malware en su teléfono u ordenador.
Smishing
El smishing es similar al spoofing de SMS, pero los hackers envían correos electrónicos falsos con enlaces maliciosos incrustados en ellos en lugar de utilizar mensajes de texto. Si haces clic en el enlace, intentarán instalar malware en tu dispositivo o te llevarán a un sitio web falso en el que te pedirán información personal, como números de tarjetas de crédito y de la seguridad social.
¿Qué es un vector de ataque SMS Spoofing?
Los vectores de ataque SMS spoofing simulan ser mensajes de una fuente fiable para engañar a los usuarios de teléfonos móviles y hacerles revelar su información personal. Para propagar este ataque se suele utilizar un mensaje de correo electrónico con un enlace o un archivo ejecutable. En cuanto se pulsa el botón, el atacante puede acceder a los mensajes de la víctima y enviarlos en su nombre. Una forma de evitarlo es aceptar mensajes sólo de empresas de confianza que utilicen una pasarela de SMS y una plataforma de marketing por correo electrónico fiables.
Para que las víctimas proporcionen, envíen o divulguen fácilmente información confidencial, es necesario hacerles creer que están hablando con un amigo o familiar de confianza. Esta técnica puede suplantar a varias personas simultáneamente, dependiendo del número de destinatarios concurrentes y del vector de ataque de suplantación.
Tipos de falsificación de SMS
Hay muchos tipos diferentes de suplantación de identidad por SMS, entre ellos:
1. Identificadores de remitente falsos
El tipo más común de suplantación de identidad consiste en sustituir la identificación real del remitente por otro número o nombre. Esto permite a los ciberdelincuentes hacerse pasar por entidades como el banco o la entidad emisora de la tarjeta de crédito, engañando al usuario para que divulgue información personal o descargue software dañino. También pueden falsear el identificador de llamadas realizando llamadas falsas, además de falsificar mensajes de texto.
2. Mensajes masivos no solicitados (UBM)
Los MUP son textos no solicitados que parecen proceder de alguien conocido, pero que provienen de una fuente desconocida. Estos mensajes pueden incluir enlaces a sitios web maliciosos, ataques de phishing y otras estafas diseñadas para robar información personal de los dispositivos móviles.
3. Acoso
Este tipo de suplantación de identidad por SMS suele consistir en el envío de mensajes amenazadores o inapropiados a otras personas. Algunos acosadores utilizan este método para intentar extorsionar a sus víctimas amenazándolas con consecuencias si no pagan.
4. Transferencias de dinero falsas
Puede tratarse del envío de un correo electrónico en el que se afirma que has ganado un premio para que transfieras algo de dinero a una cuenta con el fin de donarlo a una organización benéfica, por ejemplo. O puede tratarse de una estafa más siniestra en la que los piratas informáticos intentan robar su información personal afirmando que ha ganado un premio, pero luego le piden sus datos bancarios para poder ingresarlo en su cuenta.
5. Espionaje empresarial
En este ataque, un hacker enviará un mensaje SMS a su teléfono móvil con un enlace a un sitio web malicioso. Cuando hagas clic en ese enlace, te redirigirá a otro sitio y robará tu información personal y tus credenciales, que el atacante puede utilizar para acceder a recursos de la empresa o robarte dinero.
Suplantación de identidad por SMS: ¿Cuáles son los usos legítimos?
Los usos legítimos de la suplantación de identidad por SMS incluyen los servicios de mensajería masiva, los mensajes oficiales y la protección de la identidad.
Servicios de mensajería masiva
La suplantación de identidad por SMS permite enviar mensajes masivos a varios destinatarios a la vez. Esto es especialmente útil para las empresas que quieren utilizar el software de SMS masivos para llegar a los clientes de forma rentable.
Mensajes oficiales
Los organismos públicos también utilizan la suplantación de identidad por SMS para enviar notificaciones importantes, como plazos de pago de impuestos o avisos sobre catástrofes naturales. Al enviar estos mensajes, deben proceder de una fuente oficial para que la gente sepa que son legítimos y no una estafa.
Protección de la identidad
Empresas como Equifax utilizan esta tecnología para proteger la identidad de sus clientes. Supongamos que alguien intenta llamarle o enviarle un correo electrónico fingiendo ser de Equifax con un número de devolución de llamada. En ese caso, puede verificar fácilmente si es real o no llamando al número en su teléfono en lugar de introducir cualquier información personal por teléfono o Internet.
¿Qué deben hacer los usuarios para protegerse del SMS Spoofing?
- Desconfíe de los mensajes de texto no solicitados que reciba en su dispositivo móvil y no abra los enlaces que contengan. Si abre un enlace, asegúrese de visitar el sitio web real del que dice proceder escribiendo la URL en su navegador. Para garantizar la autenticidad de las comunicaciones, la verificación eficaz de la identidad del remitente es crucial para establecer una conexión segura entre el remitente y el destinatario.
- No respondas a mensajes de texto en los que te pidan información personal, como números de cuenta o contraseñas. Si recibe uno de estos mensajes, bórrelo inmediatamente sin responder.
- Ponte en contacto con tu proveedor de servicios de telefonía móvil si recibes un mensaje SMS solicitando dinero o información personal.
Resumen
Nadie está completamente a salvo de la suplantación de identidad. Siempre debes denunciar a los estafadores que te acosen o utilicen tu número para la suplantación de identidad a tu operador y a la policía para que puedan averiguar el origen de los mensajes. De este modo, se puede evitar la suplantación de identidad por SMS en el futuro. Para asegurarte de que no volverás a recibir un SMS del estafador, puedes utilizar bloqueadores de SMS de descarga.
Además, es necesario estar al tanto y protegerse de otros riesgos de suplantación de identidad, incluyendo la suplantación de correo electrónico y los ataques directos de suplantación de dominio que podrían dañar su reputación. Consulte nuestra guía completa sobre seguridad de la suplantación de identidad por correo electrónico para estar a salvo de futuros ataques.
- El auge de las estafas de pretexto en los ataques de phishing mejorados - 15 de enero de 2025
- DMARC será obligatorio para el sector de las tarjetas de pago a partir de 2025 - 12 de enero de 2025
- Cambios de NCSC Mail Check y su impacto en la seguridad del correo electrónico del sector público británico - 11 de enero de 2025