Latinoamérica ha sido testigo de un alarmante aumento en los casos de fraude a través de mensajes de texto (SMS, por sus siglas en inglés). Esta forma de estafa, que se ha propagado rápidamente en la región, ha afectado a millones de personas y ha generado pérdidas económicas significativas. Según datos recientes, el fraude SMS en Latinoamérica ha alcanzado proporciones alarmantes, con un aumento del 40% en los últimos dos años. Esta tendencia pone el foco en la necesidad de tomar medidas efectivas para combatir esta forma de delito cibernético y proteger a los ciudadanos de la región.
Desde la empresa Infobip, que ofrece soluciones de comunicación y mensajería omnicanal, explican que el principal modelo de fraude vía SMS es el llamado smishing, que es aquel que ocurre cuando se envía un enlace malicioso a un individuo y al hacer clic en él, se instala malware en el dispositivo de la persona. Y aunque bajo el smishing la mayoría de los ataques van dirigidos a personas particulares, las empresas y organizaciones no son ajenas a este tipo de problemas.
La situación no impacta únicamente a LATAM. De hecho, los consumidores estadounidenses perdieron más de $5800 millones en fraudes en 2022 y en el Reino Unido los ataques de SMS smishing aumentaron en un 700% en los primeros seis meses de ese mismo año. Este aumento puede atribuirse, en parte, al aumento de las entregas a domicilio y de notificaciones de SMS asociadas a las compras y registros online.
Cómo detectar los cuatro tipos de fraudes más comunes vía SMS
Smishing
El smishing es un tipo de fraude en el que los delincuentes contactan a las víctimas potenciales a través de SMS para convencerlas de que transmitan información personal o información de cuentas bancarias haciendo clic en enlaces que posteriormente instalan malware en sus teléfonos. Smishing es, por lo tanto, el equivalente de SMS del phishing vía correo electrónico tradicional. El mecanismo aquí es el mismo –se envía un enlace malicioso– pero el “anzuelo” es otra plataforma.
Los ataques de smishing, los cuales son cada vez más sofisticados, utilizan tácticas de ingeniería social para recopilar información sobre posibles víctimas, incluido dónde viven, con quién interactúan en línea y de qué bancos y compañías de tarjetas de crédito son clientes. Esta información se puede usar para crear mensajes SMS falsificados que resultan muy realistas y que en realidad tienen la capacidad de engañar a la víctima para que crea que provienen de una empresa o persona legítima.
“Es particularmente importante que los usuarios presten siempre atención al remitente de cada mensaje. Los SMS verificados, por ejemplo, son una buena manera de asegurarse de que el remitente es genuino”, explica Angélica Arevalo, Head of Sales Engineering de Infobip para LATAM.
SMS spoofing
El SMS spoofing consta en cambiar la información del remitente de un mensaje para que el destinatario vea cualquier texto alfanumérico definido en lugar de un número de teléfono móvil.
Esta práctica de cambiar la información del remitente de SMS no es ilegal en sí misma. De hecho, existen muchas aplicaciones válidas para ello e incluso hay servicios gratuitos de SMS spoofing en Internet.
“El SMS spoofing puede utilizarse con fines legítimos. El problema es que los delincuentes también lo utilizan a menudo para imitar mensajes de empresas como parte de sus ataques de smishing. Los ciberdelincuentes pueden pretender ser de un banco, una empresa de entrega, una institución de confianza o incluso el propio empleador del destinatario en caso de tratarse de ataques dirigidos”, detalla Arevalo.
Sin darse cuenta de que el mensaje es falso, los destinatarios pueden bajar la guardia y hacer clic en los enlaces, lo que podría instalar malware en sus teléfonos o llevarlos a páginas web falsas diseñadas para extraer información privada de ellos.
Otra táctica ingeniosa de los delincuentes es utilizar el SMS spoofing para falsificar las confirmaciones de pago por la compra de artículos caros. En el mensaje fraudulento afirman que pagarán un producto mediante transferencia bancaria, pero en lugar de realizar el pago falsifican un SMS de confirmación de pago y se lo envían al vendedor
SIM Swap o intercambio de la SIM
Al igual que el SMS spoofing, el intercambio de SIM surge de una necesidad legítima. Al fin y al cabo, podría tan solo tratarse de un cambio de dispositivo móvil en el que el usuario traslada su SIM de su celular viejo al nuevo. Poder intercambiar la SIM de un dispositivo a otro, asegura la portabilidad de nuestros números y de nuestra data.
Sin embargo, este procedimiento se ha vuelto tan común que los delincuentes han comenzado a explotarlo para tomar el control de los números de teléfono celular de las personas. Lo hacen simplemente contactando al operador y proporcionando datos personales a través de tácticas de ingeniería social y realizando un SIM swap.
Una vez que la cuenta haya sido tomada, el delincuente tendrá acceso a todos los datos personales de la persona y su bandeja de entrada de mensajes para recibir las notificaciones 2FA necesarias para cambiar las contraseñas de los bancos y tarjetas de crédito.
“Los servicios de detección de intercambio de la SIM utilizan una serie de algoritmos para poder notificar tanto los intentos como los procedimientos de intercambio exitosos. Los operadores móviles que implementan estas soluciones pueden proteger a sus usuarios de este fraude también conocido como SIM Swap y de todo el estrés y peligros que implica el robo de la identidad”, agrega la ejecutiva de Infobip.
Spam SMS
Existen varias razones válidas (e incluso útiles) para recibir mensajes SMS que no son solicitados directamente por el usuario. Por ejemplo: para notificarle sobre sospechas de fraude o como una forma de alertarlo sobre un evento climático extremo o una campaña de vacunación obligatoria.
El spam de SMS, sin embargo, no hace nada de eso. Por el contrario, viola las leyes de cumplimiento en casi todos los países del mundo y, lamentablemente, eso no impide que las empresas compren listas de números y los bombardeen con ofertas y promociones irrelevantes.
Vale la pena recordar que enviar una comunicación a un usuario que no ha autorizado expresamente este tipo de mensajes es una violación a la Ley General de Protección de Datos Personales (LGPD), a menos que se tenga una razón legal para hacerlo debido a su inminente urgencia. El gran problema es que este tipo de mensajes no deseados va en aumento ahora que las personas han podido detectar llamadas de voz de spam a las cuales hacen caso omiso al no contestar.
Para los usuarios finales, la acción más efectiva se realiza directamente desde el dispositivo, bloqueando las notificaciones de números desconocidos o filtrándolas a través de una bandeja de entrada especial. Sin embargo, al hacerlo, se corre el riesgo de perderse de comunicaciones realmente relevantes.
Por lo tanto, la responsabilidad de reducir el spam de SMS y otros intentos de fraude recae en última instancia sobre los proveedores de telecomunicaciones, incluso antes de que lleguen a sus usuarios.
