'Smishing', fraudes de identidad y desvíos de llamadas

Es recomendable tener cuidado con la información que se comparte ‘online‘ y limitar la exposición pública de estos datos

Un número de teléfono puede convertirse en un recurso valioso para los ciberdelincuentes, ya que les permite lanzar campañas de smishing, hacerse pasar por los dueños del número o redirigir llamadas a líneas bajo su control. Esta táctica les facilita obtener información sensible que luego utilizan en contra de sus víctimas.

Acceder o interceptar el número de teléfono de una persona no tiene gran complicación, en contraste con los riesgos a los que se exponen los usuarios si acaban siendo víctima de un engaño. De ahí que estos números supongan «la puerta de entrada a una variedad de esquemas fraudulentos», según el director de investigación y concienciación de ESET España, Josep Albors.

Estos ataques, que son «rentables y escalables», requieren una inversión mínima por parte de los ciberdelincuentes, de manera que un solo intento exitoso «puede cubrir los costes de toda una operación criminal», en palabras del directivo.

Qué es el ‘smishing’

En ese sentido, conviene decir que una de las técnicas más habituales es la del smishing y la piratería informática, es decir, campañas en las que los estafadores utilizan mensajes de texto para enviar mensajes o archivos maliciosos que, una vez se abren, pueden instalar spyware o malware en los dispositivos.

Una vez que el número de teléfono de una persona llega a manos de los ciberdelincuentes, estos también pueden manipular su línea telefónica, desviando las llamadas a números bajo su control. De esa manera, pueden acceder a datos e información sensible de sus víctimas.

Para hacerles daño, los actores maliciosos también proceden al intercambio de la tarjeta SIM, es decir, el proceso mediante el cual transfieren estos números de teléfono robados a sus tarjetas SIM, lo que deja a al víctima sin acceso a su línea.

Después, los utilizan para realizar fraudes, para lo que falsifican su identificador de llamadas, mediante sistema de Voz sobre Protocolo de Internet (VoIP), ocultando así su identidad.

Ataques de ‘phishing’, otra amenaza

La firma de ciberseguridad también ha indicado que los ciberdelincuentes pueden ejecutar ataques de phishing para obtener datos en el entorno corporativo, suplantando a ejecutivos o departamentos de contabilidad para solicitar transferencias de dinero o acceso a sistemas críticos.

Asimismo, una de las variantes más peligrosas de estos esquemas es el fraude del CEO, en el que los estafadores se hacen pasar por cargos directivos para realizar solicitudes urgentes de fondos a empleados de nivel más bajo.

Con el uso de la Inteligencia Artificial (IA) para clonar voces, estas llamadas parecen ser legítimas y suelen provenir de números auténticos, lo que aumenta la credibilidad del engaño y la posibilidad de éxito.

Cómo prevenir estafas

Es posible evitar este tipo de estafas telefónicas pero, para ello, es fundamental verificar el origen de la persona o el remitente que se quiere poner en contacto con nosotros. Siempre que se reciba una solicitud de datos personales de una entidad de confianza, lo mejor es llamarles primero y preguntar si la solicitud recibida es auténtica.

También es posible evitar desvíos de llamadas o intercambios de tarjeta SIM. Para ello, conviene solicitar al proveedor u operador de la línea que la proteja utilizando factores de seguridad adicionales, como bloqueos de SIM para impedir su cambio o verificaciones más complejas.

Por otro lado, es recomendable tener cuidado con la información que se comparte online y limitar la exposición pública de estos datos, ya que los ciberdelincuentes pueden recopilar toda esta información para hacerse pasar por esas personas.

También es necesario proteger las cuentas de autenticación de dos factores con aplicaciones en lugar de SMS, ya que es un método que puede ser fácilmente interceptado y permite a los ciberdelincuentes comprometer las cuentas con facilidad.

Para terminar, es esencial emplear software de seguridad en el móvil, ya sea un dispositivo de uso personal o profesional. En este último caso, Eset ha recordado que la defensa contra amenazas móviles y la autenticación segura pueden ayudar a superar todo tipo de riesgos.