¿Qué es la suplantación de identidad por SMS y cómo evitarla?

La suplantación de identidad por SMS es un ciberataque habitual. Los estafadores utilizan un software especializado para manipular el Id. del remitente de los SMS, haciendo que parezca que el mensaje proviene de una fuente legítima, como un banco. De esta manera, pueden robar información confidencial o descargar malware en los teléfonos de los destinatarios. 

Tipos de suplantación de identidad por SMS

Distinguir entre mensajes legítimos y falsificados puede ser todo un desafío. Para protegerte, es fundamental que permanezcas alerta y seas prudente a la hora de responder a SMS no solicitados. A continuación, te mostramos algunos ejemplos más comunes de suplantación de identidad por SMS:

• Id. de remitente falso

El tipo más común de suplantación de identidad es reemplazar el Id. del remitente por el número o el nombre de una empresa con una buena reputación. Por ejemplo, los estafadores se hacen pasar por Binance o TrustWallet para enviar SMS de phishing. Sin embargo, estos SMS se agrupan bajo el mismo hilo que los mensajes oficiales, como los códigos 2FA, debido a que los hackers utilizaron la suplantación de identidad por SMS para manipular el Id. del remitente y disfrazar la fuente real del mensaje.

• Transferencia de dinero falsa

Los estafadores alegarán que el destinatario ha ganado un premio. A continuación, le pedirán al destinatario que les facilite sus datos bancarios para poder depositarle las ganancias o visite un enlace para reclamar el premio.

• Acoso

Esta práctica implica enviar mensajes amenazadores o inapropiados para intimidar a sus víctimas, con la intención de extorsionarlas. Por ejemplo, amenazar con prohibir la cuenta del usuario. Los hackers suelen aprovecharse de tu miedo a perder activos. En esta situación, debes mantener la calma y verificar el mensaje antes de actuar.

¿Cómo evitar los SMS falsificados?

• Verifica los mensajes entrantes: comprueba siempre minuciosamente la fuente de un mensaje entrante antes de responder. Ten cuidado con los mensajes no solicitados o aquellos que parezcan sospechosos. En caso de duda, puedes ponerte en contacto con el servicio de atención al cliente de Binance para verificar la identidad del remitente.
• Habilita la autenticación de dos factores (2FA): la 2FA añade una capa adicional de seguridad a tus cuentas, lo que dificulta que los hackers puedan acceder a ellas a través de la suplantación de identidad por SMS.
• No compartas información personal: no compartas nunca información confidencial (como contraseñas, números de tarjeta de crédito o números de la seguridad social) por mensaje de texto, especialmente con contactos no verificados.
• No hagas clic en enlaces sospechosos: no hagas clic en ningún enlace que te envíen por mensaje de texto sin verificar su legitimidad, ya que estos enlaces pueden conducirte a webs de phishing que intenten robarte tus credenciales de acceso o instalar malware en tu dispositivo. Asegúrate de usar el sitio web oficial de la empresa. Por ejemplo, si no estás seguro de si un enlace, correo electrónico, número de teléfono, Id. de WeChat, cuenta de Twitter o Id. de Telegram están relacionados con Binance, puedes comprobarlo en Binance Verify.

Por ejemplo, a continuación te presentamos una lista de páginas web sospechosas de phishing que se hacen pasar por Binance.

Ejemplos de suplantación de identidad por SMS

1. Notificación de actualización de cuenta falsa

Un usuario de Binance recibe un SMS con el nombre del remitente «Binance» en el que se le pide que actualice su cuenta para seguir utilizando el servicio de Binance. 

Los hackers utilizaron un software especializado para manipular el Id. del remitente de los SMS, haciendo que los SMS falsos parecieran legítimamente de Binance. Como el SMS falso estaba bajo el mismo hilo que los mensajes oficiales de código 2FA, el usuario asumió que el mensaje era legítimo. Tras iniciar sesión en la web de phishing, unos hackers les robaron las credenciales de su cuenta.

2. Solicitud de cancelación de retiro falsa

Otro usuario de Binance ha recibido un SMS falso para confirmar un retiro. El usuario pensó que el mensaje era legítimo e inició sesión en su cuenta en la web de phishing para «cancelar la solicitud de retiro».

Tras obtener las credenciales del usuario, el hacker envió una solicitud de retiro desde su cuenta y le indicó que introdujera el código 2FA en la web de phishing. Cuando el usuario añadió el código, el hacker consiguió retirar sus activos. 

Algunas lecciones que pueden aprenderse de este ejemplo:

• El usuario no verificó la URL de la página web. Siempre debes verificar el enlace recibido en Binance Verify antes de visitar la página.
• El usuario pensó que el código 2FA se usaba para cancelar las solicitudes de retiro. Sin embargo, si hubiera comprobado bien el mensaje, se habría dado cuenta de que el código 2FA estaba destinado a confirmar una solicitud de retiro. Por tanto, cuando recibas un mensaje con un código 2FA, compruébalo minuciosamente. Confirma siempre el uso que tendrá el código 2FA antes de introducirlo.

3. Verificación de cuenta falsa

Varios usuarios de Binance recibieron un SMS con un enlace para verificar o actualizar sus cuentas, que era un intento de phishing para robarles las credenciales de la cuenta.