Qué es la suplantación de identidad por SMS y cómo evitarla

La suplantación de identidad por SMS es un ciberataque habitual. Los estafadores utilizan programas informáticos especializados para manipular la identificación del remitente de los SMS, haciendo creer que el mensaje proviene de una fuente legítima, como un banco. De esta manera, pueden robar información confidencial o descargar malware en los teléfonos de los destinatarios. 

Tipos de suplantación de identidad por SMS

Puede ser difícil distinguir entre mensajes legítimos y falsificados. Para protegerte, es fundamental que permanezcas alerta y procedas con cautela al responder SMS no solicitados. A continuación, te mostramos algunos de los ejemplos más comunes de suplantación de identidad por SMS:

• ID de remitente falso

El tipo más común de suplantación de identidad es reemplazar la identificación del remitente por un número o nombre de empresa de buena reputación. Por ejemplo, los estafadores se hacen pasar por Binance o TrustWallet para enviar SMS de phishing. Estos SMS se agruparían bajo el mismo hilo que los mensajes oficiales, como los códigos 2FA. Esto se debe a que los hackers utilizaron la suplantación de identidad por SMS para manipular la identificación del remitente y ocultar la fuente real del mensaje.

• Transferencia de dinero falsa

Los estafadores alegarán que el destinatario ha ganado un premio. A continuación, le pedirán al destinatario sus datos bancarios para poder depositar las ganancias o que visite un enlace para reclamar el premio.

• Acoso

Esto implica enviar mensajes amenazadores o inapropiados para intimidar a sus víctimas, con la esperanza de extorsionarlas. Por ejemplo, amenazan con bloquear la cuenta del usuario. Los hackers suelen aprovecharse del miedo a perder los activos. En esta situación, debes mantener la calma y revisar el mensaje antes de actuar.

¿Cómo evitar la suplantación de identidad por SMS?

• Revisa los mensajes entrantes: siempre revisa minuciosamente la fuente de un mensaje entrante antes de responder. Ten cuidado con los mensajes no solicitados o aquellos que parezcan sospechosos. En caso de duda, puedes ponerte en contacto con el servicio de Atención al cliente de Binance para corroborar la identidad del remitente.
• Habilita la autenticación de dos factores (2FA): la 2FA agrega una capa adicional de seguridad a tus cuentas, lo que dificulta que los hackers obtengan acceso a través de la suplantación de identidad por SMS.
• No compartas información personal: nunca compartas información confidencial (como contraseñas, números de tarjeta de crédito o números de seguro social) por mensajes de texto, especialmente con contactos no verificados.
• No hagas clic en enlaces sospechosos: no hagas clic en ningún enlace que te envíen por mensaje de texto sin antes corroborar su legitimidad. Estos enlaces pueden conducirte a sitios web de phishing que intenten robarte tus credenciales de acceso o instalar un malware en tu dispositivo. Asegúrate de usar el sitio web oficial de la empresa. Por ejemplo, si no estás seguro de si el enlace, el correo electrónico, el número de teléfono, la identificación de WeChat, la cuenta de X o la identificación de Telegram son oficiales, puedes comprobarlo en Binance Verify.

Por ejemplo, esta es una lista de páginas web sospechosas de phishing que se hacen pasar por Binance.

Ejemplos de suplantación de identidad por SMS

1. Notificación de actualización de cuenta falsa

Un usuario de Binance recibe un SMS con el nombre del remitente “Binance”, en el que le piden que actualice su cuenta para seguir utilizando los servicios de Binance. 

Los hackers utilizaron un software especializado para manipular la identificación del remitente de los SMS, haciendo que los SMS falsos parecieran legítimamente de Binance. Como el SMS falso estaba bajo el mismo hilo que los mensajes oficiales de los códigos 2FA, el usuario asumió que el mensaje era legítimo. Tras iniciar sesión en el sitio web de phishing, los hackers robaron las credenciales de su cuenta.

2. Solicitud de cancelación de retiro falsa

Otro usuario de Binance ha recibido un SMS falso para confirmar un retiro. El usuario pensó que el mensaje era legítimo e inició sesión en su cuenta en la web de phishing para "cancelar la solicitud de retiro".

Tras obtener las credenciales del usuario, el hacker envió una solicitud de retiro desde su cuenta y le indicó que introdujera el código 2FA en la web de phishing. Una vez que el usuario ingresó el código, el hacker retiró sus activos con éxito. 

Algunas lecciones aprendidas de este ejemplo:

• El usuario no corroboró la dirección URL del sitio web. Siempre debes corroborar el enlace recibido en Binance Verify antes de entrar.
• El usuario pensó que el código 2FA se usaba para cancelar las solicitudes de retiro. Sin embargo, si hubiera revisado bien el mensaje, se habría dado cuenta de que el código 2FA estaba destinado a confirmar una solicitud de retiro. Por lo tanto, lee detenidamente los mensajes de código 2FA. Siempre confirma el uso del código 2FA antes de introducirlo.

3. Verificación de cuenta falsa

Varios usuarios de Binance recibieron un SMS con un enlace para verificar o actualizar sus cuentas, que era un intento de phishing para robarles las credenciales de la cuenta.