Ciberseguridad · 6 minutos de lectura

¿Qué es la estafa por SMS de bancos? Así puedes detectar y prevenir este fraude

Estafa sms
Imagen: Tero Vesalainen (Shutterstock)

En los últimos tiempos se ha producido un aumento de la conocida como estafa por SMS de bancos o smishing. Se trata de un tipo de fraude que, aprovechando los mensajes de móvil, pretende engañar a la persona que lo recibe para hacerse con sus datos bancarios y poder operar en su nombre. 

A veces es posible que la comunicación efectuada llegue a unirse al hilo de mensajes que envía el propio banco del que somos clientes, debido a que los ciberdelincuentes hacen uso de una herramienta que les permite cambiar el nombre del emisor. Este sería el caso más peligroso, ya que para el cliente es más complicado identificar el mensaje como fraudulento. 

En otros supuestos es más sencillo, puesto que la comunicación que ha llegado por SMS es de una entidad bancaria con la que no se tiene ninguna relación. 

¿En qué consisten las estafas por SMS de bancos?

Como todos los fraudes de este tipo, lo que buscan es utilizar la ingeniería social para ganarse la confianza del cliente final y lograr que realice alguna acción que puede desencadenar el robo de sus datos o claves de usuario. 

¿Están tus empleados preparados para responder ante un ataque de ingeniería social?

En este caso, el canal utilizado para comunicarse con las posibles víctimas es el de mensajes de móvil o SMS. Actualmente es un medio poco utilizado y que suele emplearse en las comunicaciones comerciales, por lo que  es más difícil que un usuario pueda sospechar sin conocimiento previo de este tipo de ataques. Un ejemplo común en banca es el envío de un código para confirmar una operación.

El mensaje fraudulento que recibe el usuario suele incluir una dirección,una URL, para enlazar a una página web en la que se va a solicitar que realice alguna acción. Por lo general, pedirá a esa persona introducir sus datos bancarios, así como número de DNI y contraseña para el acceso a la banca móvil. Normalmente esta dirección está acortada, para evitar que las víctimas sospechen. 

Los mensajes suelen incluir algún tipo de alerta para que el cliente que lo recibe sienta la urgencia de seguir los pasos indicados rápidamente sin llegar a comprobar la legitimidad del mensaje o la veracidad del aviso. El ejemplo más habitual es un falso problema con nuestra cuenta bancaria y la posibilidad de que se bloquee si no realizamos una comprobación, aunque también se dan casos de falsos avisos de operaciones en nuestro nombre.

¿Qué tipos de estafas por SMS de bancos hay?

La urgencia y la alarma son los vectores habituales de este tipo de mensajes. Se interpela al usuario para que lleve a cabo una acción para evitar un mal mayor. Algunos ejemplos serían los siguientes:

  • Mensaje de acceso no autorizado, que juega con la alarma de que alguien haya accedido a nuestra cuenta. El mensaje que llega puede ser del tipo: Se ha detectado un acceso no autorizado en su cuenta. Si no lo reconoce, verifique inmediatamente: [URL fraudulenta].
  • Mensaje de cuenta bloqueada, con un mensaje parecido al siguiente: Su cuenta ha sido temporalmente bloqueada, para desbloquearla haga clic en el siguiente enlace: [URL fraudulenta].
  • Mensaje de cuenta desactivada, que podría similar a este: Su cuenta podría quedar inhabilitada, establezca su dispositivo de único acceso mediante el siguiente proceso: [dirección URL fraudulenta].

En todos los casos, como se puede observar, se pide al receptor del mensaje que realice la verificación directamente en una dirección que no sabe muy bien si es legítima o no, ya que al estar acortada no puede comprobar si el enlace es oficial. Además, se emplean pretextos alarmantes y se crea una sensación de urgencia para que las víctimas realicen los pasos sin pensar demasiado en ello y así lograr que el fraude  sea un éxito. 

Estafa sms

¿Cómo detectar una estafa por SMS de bancos?

Si en algún momento se recibe un SMS que intenta suplantar la identidad del banco hay diferentes fórmulas para identificar si se trata o no de un mensaje fraudulento. Muchos de estos mensajes se generan con traductores automáticos en múltiples idiomas, por lo que no es extraño que contengan faltas de ortografía o errores gramaticales. Sería la primera pista sospechosa, ya que las comunicaciones de los bancos no contienen este tipo de fallos. Sin embargo, los ataques de este tipo se han especializado y ya no es poco común ver mensajes fraudulentos correctamente escritos.

Por ello, otra de las precauciones que se pueden tomar antes de introducir cualquier dato es verificar el enlace que acompaña el mensaje, la URL, a la que se dirige. Se trata de copiar la dirección a la que se está pidiendo acceso para verificarla en algún sitio especializado, como Virus Total, que analizará la reputación de esta página y si contiene o no algún tipo de malware

Estos son los tipos de malware que debes conocer y evitar

Más seguro todavía será evitar pinchar en cualquier enlace e ir directamente a la aplicación móvil de la banca online o escribir la dirección oficial en el navegador de Internet. En caso de tener algún aviso pendiente aparecerá en el apartado de mensajería de la aplicación y, esta vez sí, teniendo la seguridad de que es la legítima de la entidad financiera. 

Si aún así hemos pinchado, también existe la posibilidad de comprobar ciertos aspectos de la página. Podremos valorar si utiliza o no una dirección tipo https, con cifrado de seguridad que evite que nuestros datos sean interceptados por terceros. También podremos verificar si cuenta con un certificado que garantice su autenticidad. Sin embargo, la pista en la que más tendremos que fijarnos, es si la dirección concuerda con la oficial o simplemente es similar. En ese caso estaremos ante un supuesto de pharming, con una página fraudulenta que imita a una real con el objetivo de  robar  las credenciales de las personas que acceden a ella.

¿Cómo evitar los fraudes por SMS de bancos?

La fórmula más segura de evitar este tipo de fraudes es no acceder a los enlaces que nos llegan por SMS. El uso de la aplicación de banca online facilita la comprobación de este tipo de alertas de forma rápida y ayuda a no ser víctima de estos fraudes. 

Antes de enlazar con una dirección que ha llegado por SMS es mejor contactar telefónicamente con el banco. Hablar con un gestor permitirá saber si se trata o no de un mensaje legítimo. 

En todo caso, este tipo de mensajes nunca es bueno gestionarlos con urgencia, a pesar de lo alarmante que el texto pueda parecer. Lo ideal es tratar de acceder a la cuenta por otro medio que no sea una URL. Se puede hacer desde un ordenador a la banca online, en un cajero con la tarjeta o llamando por teléfono. En caso de tener una incidencia en la cuenta o la tarjeta se notificará al acceder. 

He caído en el timo por SMS de banco, ¿qué hago?

Si se ha pulsado en una dirección que ha llegado por SMS y se han introducido datos de acceso a la cuenta o información personal, es muy importante contactar rápidamente con la entidad financiera. Tras informar y realizar las comprobaciones oportunas se podrán tomar las medidas necesarias para evitar fraudes. 

El cambio de credenciales de acceso o el bloqueo de las tarjetas es otra de las precauciones que se pueden adoptar si se dispone de acceso a la banca online o aplicación de banca móvil. Es muy rápido y se puede gestionar desde cualquier lugar. 

Igualmente sería recomendable contactar con la entidad financiera suplantada para comunicarlo. En caso de utilizar la misma contraseña para la banca online que para otros servicios, se deberá proceder a cambiar la misma en todos y cada uno de estos servicios. En este sentido, cada banco cuenta con su propio servicio de atención al cliente para este tipo de fraudes cibernéticos. En el caso del Santander, si alguna vez detectas algún SMS o correo fraudulento que simula ser esta entidad, puedes reportarlo reenviándolo a la dirección phishing@gruposantander.es.

Tu opinión cuenta
¿Te ha resultado útil este contenido?
Lo más visto
Credential stuffing: qué es y cómo funciona este ataque
¿Qué es el quishing y cómo funciona?
Nuevas campañas de phishing relacionadas con la interrupción de Crowdstrike
Ciberataques: ¿cuánto le puede costar a tu empresa?
Consejos de ciberseguridad en el teletrabajo

También te interesará…

7 febrero 2022
Los ciberataques se han convertido en algo habitual, que afectan tanto a grandes empresas como a organismos públicos y pymes. Pero sin llegar tan lejos, en muchos casos se producen...
  min
11 min
19 abril 2022
Tener presencia online es crucial hoy en día para muchas pymes. Sin embargo, cada vez son más habituales los ataques a páginas web y tiendas de comercio electrónico. Por eso...
  11 min
9 min
19 mayo 2023
El phishing es uno de los ataques informáticos más habituales. Suele llegar por correo electrónico y está basado en el engaño, en hacer creer lo que no es para sustraer...
  9 min
Lo más visto
Credential stuffing: qué es y cómo funciona este ataque
¿Qué es el quishing y cómo funciona?
Nuevas campañas de phishing relacionadas con la interrupción de Crowdstrike
Ciberataques: ¿cuánto le puede costar a tu empresa?
Consejos de ciberseguridad en el teletrabajo
LinkedIn Twitter Facebook Whatsapp Email