La falsificación de SMS consiste en alterar la información del remitente con fines fraudulentos, como el número de teléfono y el nombre del contacto. No se puede responder ni bloquear un mensaje falso. La suplantación de identidad por SMS se basa totalmente en la suplantación.
Recibes un mensaje de texto falso de alguien a quien crees conocer, pero hay algo que no encaja. El nombre y el número de móvil no son idénticos a los de la lista de contactos de la persona, sólo son parecidos.
Los ataques a la ciberseguridad están aumentando rápidamente. El phishing y fraudes similares como la suplantación de identidad fueron el tipo de ciberdelito más frecuente denunciado al Internet Crime Complaint Center en 2021, afectando a casi 324 mil personas.
La suplantación de identidad por SMS consiste en disfrazar el número de teléfono del remitente real en un mensaje de texto SMS para que parezca proceder de un dispositivo diferente. Hay dos formas de hacerlo:
Puedes enviar un mensaje SMS desde el teléfono de tu víctima a alguien con quien quieras comunicarte. De este modo, el destinatario creerá que el mensaje procede de alguien conocido, como un amigo o un colega.
El SMS spoofing y el smishing son dos tipos de estafa que utilizan mensajes de texto falsos para obtener información confidencial de víctimas desprevenidas. Ambos se basan en técnicas de ingeniería social, pero difieren en la forma en que se dirigen a usted.
Puedes enviar un mensaje SMS desde el número de teléfono de otra persona a alguien con quien quieras comunicarte. Esto también engañará al destinatario haciéndole creer que el mensaje viene de otra persona, como un amigo o un colega.
La suplantación de identidad por SMS se produce cuando un hacker envía un mensaje SMS desde un número irreconocible. El mensaje puede parecer que proviene de alguien conocido, o puede proceder de una empresa u organización de confianza. El objetivo de estos ataques es engañarle para que responda o haga clic en un enlace que descargará malware en su teléfono u ordenador.
El smishing es similar al spoofing de SMS, pero los hackers envían correos electrónicos falsos con enlaces maliciosos incrustados en ellos en lugar de utilizar mensajes de texto. Si haces clic en el enlace, intentarán instalar malware en tu dispositivo o te llevarán a un sitio web falso en el que te pedirán información personal, como números de tarjetas de crédito y de la seguridad social.
Los vectores de ataque «SMS spoofing» simulan ser mensajes de una fuente fiable para engañar a los usuarios de teléfonos móviles y hacerles revelar su información personal. Para propagar este ataque se suele utilizar un mensaje de correo electrónico con un enlace o un archivo ejecutable. En cuanto se pulsa el botón, el atacante puede acceder a los mensajes de la víctima y enviarlos en su nombre. Una forma de evitarlo es aceptar mensajes sólo de empresas de confianza que utilicen una plataforma fiable de marketing por SMS y correo electrónico.
La Audiencia Provincial de Oviedo, Sección cuarta, en sentencia nº 142/2024 de 21 de marzo de 2024, ha condenado a la entidad Unicaja a pagar 6.000 euros a un usuario que fue víctima de una estafa de suplantación de identidad conocida como ‘SMS spoofing’.
La sentencia informa que el denunciante recibió un SMS, aparentemente enviado por el banco del que era cliente, que decía: “AVISO: un acceso no autorizado está conectado a su cuenta online. Si no reconoce este acceso verifique inmediatamente: https:/is.gd/Clientes_Unicaja»; tras pinchar en el enlace le llegó un nuevo mensaje con el texto: “Unicaja Banco: Introduce la clave de seguridad NUM000 para finalizar con la vinculación de dispositivo de Banca Digital”. Poco después le informaba que había ejecutado una transferencia por importe de 6.000 euros, que en realidad no había sido ordenada por él sino por un tercero que había obtenido sus datos bancarios y la autorización para realizarla.
La entidad admitió que el primer paso de facilitar las claves de usuario y contraseña cuando recibió el primer mensaje pudiera no ser suficiente para calificarlo de negligencia grave. No obstante, sostuvo que el segundo paso que dio el perjudicado cuando autorizó la vinculación de otro dispositivo es el que permitió llevar a cabo la operación fraudulenta.
La resolución destaca que, según el informe policial, la modalidad de fraude utilizado es la más avanzada, conocida como ‘SMS spoofing’ mediante la cual el autor de la estafa suplanta el ID de los SMS de la entidad bancaria, de forma que es prácticamente imposible que el teléfono del perjudicado catalogue tales mensajes como fraudulentos o spam, generando la confianza de la víctima en su autenticidad.
A su vez, señala que esa responsabilidad se acentúa aún más cuando el proveedor no exige una “autenticación reforzada del cliente, supuesto en que éste último únicamente responde de haber actuado de forma fraudulenta”. “Y partiendo de estas premisas el recurso debe ser desestimado -prosigue- por cuanto el Banco no solo no ha demostrado que el cliente hubiera incurrido en negligencia grave en el proceso que desembocó en la estafa, sino que todo apunta a un déficit del sistema de seguridad de la propia entidad bancaria para evitar esta clase de ataques informáticos”.
La sentencia concluye que la actuación del usuario no puede calificarse de “temeraria ni gravemente negligente” a la vez que no puede exigirse a quien resultó engañado mayor precaución que a Unicaja que es quien debía poner los medios necesarios para evitarlo.
Nadie está completamente a salvo de la suplantación de identidad. Siempre debes denunciar a los estafadores que te acosen o utilicen tu número para la suplantación de identidad a tu operador y a la policía para que puedan averiguar el origen de los mensajes. De este modo, se puede evitar la suplantación de identidad por SMS en el futuro. Para asegurarte de que no volverás a recibir un SMS del estafador, puedes utilizar bloqueadores de SMS de descarga.
Además, es necesario estar al tanto y protegerse de otros riesgos de suplantación de identidad, incluyendo la suplantación de correo electrónico y los ataques directos de suplantación de dominio que podrían dañar su reputación.
