Ataques smishing contra clientes de entidades bancarias

1. Breve introducción, definición y estudio de casos

El recorrido que le toca afrontar a los cibernautas es incierto por diversos motivos vinculados a la actuación de los cibercriminales en el ciberespacio, en esta sección corresponde brindar algunas reflexiones académicas sobre una de las modalidades más cautelosas del fraude informático, debido al nivel de confianza que perciben las potenciales víctimas sobre el contenido de los mensajes de texto, cuyo propósito concéntrico es la extracción de información personal. La amenaza cibernética en cuestión surge a partir de la distribución tripartita del fraude electrónico, entre sus principales componentes se advierte el phishing, vishing y smishing.

En esta oportunidad nos centraremos en este último, (BBVA 2022) refirió que se circunscribe a la situación en la que el ciberdelincuente ocupa el lugar del banco, informándole al usuario sobre la realización de una compra aparente con sus tarjetas de débito o crédito. Es menester informar que, el mensaje tiene tres variantes, en ocasiones contiene un número telefónico falso de la entidad financiera, se solicita información confidencial para interrumpir la presunta compra o se incluye un enlace a una página web falaz.

En contraste con lo anterior, se puede afirmar que es una técnica de ingeniería social que permite suplantar la identidad de empresas bancarias mediante el envío de mensajes de texto a las posibles víctimas, previa identificación de su banca de confianza, se debe enfatizar que el objetivo de estos cibercriminales es acceder a la información de la persona, entre lo más importante el usuario, contraseñas, correos, número de celular y domicilio (INCIBE 2021).

En ese orden de ideas, conviene extraer dos casos recientes que conmocionaron a una gran parte de España, el primero asociado a la detención de dos hombres que lograron estafar con más de 100 000 euros en solo una semana, todo esto ocurrió en la ciudad de Valencia. El modo de ejecución, según lo indicado por h50 Digital Policial, consistió en el envío de mensajes de texto o llamadas telefónicas, haciéndose pasar por una empresa bancaria con el propósito de obtener las identidades, contraseñas y demás información sobre las víctimas. Luego de la consumación del acto, requerían tarjetas bancarias a nombre de los agraviados para realizar múltiples compras y revenderlas en el mercado negro.

En un segundo escenario h50 informó sobre el desmantelamiento de un grupo criminal especializado en la estafa denominada smishing, se identificó el envío masivo de 71.000 mensajes de texto que indicaban la cancelación de sus cuentas condicionando al ingreso de la persona estafada a través de un enlace que redirigía a una página web idéntica a la original con servidores ubicados en las Islas Caimán, habiendo generado la confianza obtenían datos sensibles que la propia víctima proporcionaba, los ciberdelincuentes tomaban el control del móvil y duplicaban la tarjeta SIM, acto seguido se dejaba de percibir alertas o notificaciones sobre las acciones fraudulentas cometidas, a esta clase de eventos criminales se les denomina SIM swapping o suplantación de la tarjeta SIM.

En referencia a este aspecto, (MENACHO 2021) explicó mediante el análisis del caso «Julio César Flores», el modus operandi de los delincuentes informáticos, comenzando con la captación de información, el apoderamiento de la línea móvil y la disposición de dinero en cuentas bancarias. Para mayor detalle, se adjuntó la siguiente ayuda visual que permitirá entender mejor el panorama.

Figura 1

Las etapas de la suplantación de la tarjeta SIM

Nota. Información obtenida de la “Suplantación de identidad mediante huellas dactilares de silicona”, Menacho, 2021, p. 7.

2. Reflexión sobre el incremento de detección de este tipo de estafas

La emergencia sanitaria incrementó la cifra de estafas informáticas conocidas por las unidades especializadas en ciberdelincuencia alrededor del mundo, es común observar que toda clase de persona cuenta con un dispositivo tecnológico, desde un smartphone hasta un ordenador con acceso a internet. Aunado a ello, se debe destacar la presencia de un mercado negro en el que se trafica información personal obtenida por diversas prácticas delictivas.

Con ello no debemos pensar que existe un sistema informático universal, cuya característica diferenciadora es la invulnerabilidad, dado que hasta el espacio más insignificante se convierte en un mundo de oportunidades para la comisión de un ciberdelito. Es por ello que, los cibernautas deben comprender la magnitud de sus acciones en la red, en la medida que durante su estancia en el ciberespacio son observados y acechados por cibercriminales. El secreto para detectar esta ciberamenaza y combatirla está intrínseco en cada uno de los mensajes remitidos, en ese momento la concentración de la víctima debe enfocarse en la verificación de la autenticidad.

Siguiendo esa lógica, el incremento del smishing tiene su correlato en la divulgación voluntaria de información en fuentes de acceso abierto como lo son las redes sociales, entre las más importantes Facebook, Twitter e Instagram. Se normalizó publicar diferentes acontecimientos sobre la obtención de logros académicos, profesionales y familiares, esta cadena de acciones es un manjar que solo los ciberdelincuentes pueden degustar porque al hacerlo exponemos datos importantes como el domicilio, cuentas de correo electrónico y el número telefónico, siendo esta última pieza la cereza del pastel y el elemento desencadenante para el fraude informático.

3. ¿Tienen algo de responsabilidad las empresas de telefonía móvil? Posibles filtros ante estafas de este tipo y protección de los usuarios

Las empresas de telefonía móvil tienen responsabilidad por los filtros insuficientes con los que cuentan, aterrizando el argumento podemos situarnos en el caso del smishing en el que luego de la aplicación y culminación de las etapas cibercriminales se obtuvo la información acertada para la comisión de las estafas, el siguiente paso sería realizar las compras mediante plataformas de codificación en donde no se requiera el token digital, puesto que de ser así estaríamos en un escenario diferente, esto es el SIM swapping, en esta modalidad es indispensable la cancelación de la línea para su posterior reposición, es en ese momento en el que recae la responsabilidad sobre la empresa prestadora de telefonía por incumplir con los principios de idoneidad de la prestación y previsibilidad de las contingencias. Es pertinente elaborar una sección con los filtros que se deben tomar en cuenta para evitar o reducir el riesgo de ser víctimas de smishing, esto a partir de los acontecimientos suscitados en la experiencia internacional.

Tabla 1

Filtros para evitar ser víctimas de smishing

Nota. Información obtenida de la “Qué es el smishing – ¿Qué hacer si somos víctimas de un smishing?”, Incibe, 2021, p. 2.

4. Consejos para las víctimas y conclusiones

Es oportuno mencionar una serie de reflexiones aplicables a potenciales situaciones de smishing, siguiendo una estructura asentada en la comprobación de autenticidad de los mensajes de texto derivados a las bandejas de nuestros teléfonos móviles. En principio se debe acreditar al remitente de la entidad bancaria de confianza, acto seguido se debe colegir que el hipervínculo no se haya manipulado, consecuentemente se debe advertir las faltas ortográficas o gramaticales, el último paso consiste en recordar que las entidades bancarias cuentan previamente con nuestra información, por lo que resulta innecesario acceder a sus injerencias.

Primera:

De la conformación de los datos obtenidos se concluye que, el smishing es una modalidad aparentemente sigilosa en tanto que no genera sospecha a primera impresión por parte de sus potenciales víctimas debido a la sofisticación del contenido del mensaje. No obstante, de la casuística revisada se advierte que el impacto es tan lesivo como las secuelas ocasionadas por el phishing o vishing.

Segunda:

A partir de los enunciados analizados se concluye que, el smishing es una ciberamenaza provocada por ciberdelincuentes que realizan la suplantación de identidad de diferentes empresas con actividades económicas variadas. Sin embargo, la rentabilidad que genera suplantar entidades bancarias resulta más beneficioso, razón por la que centraron su permanencia delictiva en este ámbito.

Autor: Arturo Menacho Ortega

Abogado por la Universidad Privada del Norte, maestrando en Derecho con mención en Ciencias Penales por la Universidad Nacional Mayor de San Marcos, maestrando en Ciberdelincuencia por la Universidad Internacional de La Rioja – España.

Referencias

«¿Qué es el smishing?». INCIBE. 17 de noviembre de 2021, 12:00. Disponible en: https://www.osi.es/es/actualidad/blog/2021/11/17/que-es-el-smishing

«Desmantelado un grupo criminal especializado en la estafa por el método conocido como Smishing». H50 DIGITAL POLICIAL. 5 de marzo de 2021, 14:00. Disponible en: https://www.h50.es/desmantelado-un-grupo-criminal-especializado-en-la-estafa-por-el-metodo-conocido-como-smishing/

«La Policía Nacional detiene en Valencia a dos hombres tras estafar más de 100.000 euros en una semana mediante técnicas de smishing». H50 DIGITAL POLICIAL. 27 de marzo de 2022, 13:00. Disponible en: https://www.h50.es/la-policia-nacional-detiene-en-valencia-a-dos-hombres-tras-estafar-mas-de-100-000-euros-en-una-semana-mediante-tecnicas-de-smishing/

 «’Phishing’, ‘vishing’, ‘smishing’, ¿qué son y cómo protegerse de estas amenazas?». BBVA. 30 de abril de 2022, 18:17. Disponible en: https://www.bbva.com/es/phishing-vishing-smishing-que-son-y-como-protegerse-de-estas-amenazas/

MENACHO ORTEGA, B., A. «Suplantación de identidad mediante huellas dactilares de silicona». Menacho y Bernal Abogados. 22 de abril de 2021, pp. 1-15. https://bit.ly/3vFxwlr