Latinoamérica fue testigo de un alarmante aumento en los casos de fraude a través de mensajes de texto (SMS, por sus siglas en inglés).
Esta forma de estafa, que se propagó rápidamente en la región, afectó a millones de personas y generó pérdidas económicas significativas.
Según datos recientes, el fraude SMS en Latinoamérica alcanzó proporciones alarmantes, con un aumento del 40% en los últimos dos años.
Esta tendencia pone el foco en la necesidad de tomar medidas efectivas para combatir esta forma de delito cibernético y proteger a los ciudadanos de la región.
El principal modelo de fraude vía SMS es el llamado smishing, que es aquel que ocurre cuando se envía un enlace malicioso a un individuo y al hacer clic en él, seinstala malware en el dispositivo de la persona.
Y aunque bajo el smishing la mayoría de los ataques van dirigidos a personas particulares, las empresas y organizaciones no son ajenas a este tipo de problemas.La situación no impacta únicamente a LATAM.
De hecho, los consumidores estadounidenses perdieron más de $5800 millones en fraudes en 2022 y en el Reino Unido los ataques de SMS smishing aumentaron en un 700% en los primeros seis meses de ese mismo año.
Este aumento puede atribuirse, en parte, al aumento de las entregas a domicilio y de notificaciones de SMS asociadas a las compras y registros online.
Los datos de los SMS pueden llegar a ser altamente vulnerables
Cómo detectar los cuatro tipos de fraudes más comunes vía SMS Smishing
El smishing es un tipo de fraude en el que los delincuentes contactan a las víctimas potenciales através de SMS para convencerlas de que transmitan información personal o información de cuentas bancarias haciendo clic en enlaces que posteriormente instalan malware en sus teléfonos.Smishing.
Por lo tanto, es el equivalente de SMS del phishing vía correo electrónico tradicional. El mecanismo aquí es el mismo –se envía un enlace malicioso– pero el "anzuelo" es otra plataforma.
Los ataques de smishing, los cuales son cada vez más sofisticados, utilizan tácticas de ingeniería social para recopilar información sobre posibles víctimas, incluido dónde viven, con quién interactúan en línea y de qué bancos y compañías de tarjetas de crédito son clientes.
Esta información se puede usar para crear mensajes SMS falsificados que resultan muy realistas y que en realidad tienen la capacidad de engañar a la víctima para que crea que provienen de unaempresa o persona legítima.
"Es particularmente importante que los usuarios presten siempre atención al remitente de cadamensaje. Los SMS verificados, por ejemplo, son una buena manera de asegurarse de que el remitente es genuino", explica Angélica Arevalo, Head of Sales Engineering de Infobip para LATAM.
El SMS spoofing consta en cambiar la información del remitente de un mensaje para que eldestinatario vea cualquier texto alfanumérico definido en lugar de un número de teléfono móvil.
Una práctica que puede no ser ilegal, el gran peligro
Una práctica que no es ilegal
Esta práctica de cambiar la información del remitente de SMS no es ilegal en sí misma. De hecho,existen muchas aplicaciones válidas para ello e incluso hay servicios gratuitos de SMS spoofing enInternet.
"El SMS spoofing puede utilizarse con fines legítimos. El problema es que los delincuentes tambiénlo utilizan a menudo para imitar mensajes de empresas como parte de sus ataques de smishing", detalla Arevalo.
"Los ciberdelincuentes pueden pretender ser de un banco, una empresa de entrega, una instituciónde confianza o incluso el propio empleador del destinatario en caso de tratarse de ataquesdirigidos", agrega.
Sin darse cuenta de que el mensaje es falso, los destinatarios pueden bajar la guardia y hacer clicen los enlaces, lo que podría instalar malware en sus teléfonos o llevarlos a páginas web falsas diseñadas para extraer información privada de ellos.
Otra táctica ingeniosa de los delincuentes es utilizar el SMS spoofing para falsificar las confirmaciones de pago por la compra de artículos caros.
En el mensaje fraudulento afirman que pagarán un producto mediante transferencia bancaria, pero en lugar de realizar el pago falsificanun SMS de confirmación de pago y se lo envían al vendedor SIM Swap o intercambio de la SIMAl igual que el SMS spoofing, el intercambio de SIM surge de una necesidad legítima.
Al fin y al cabo, podría tan solo tratarse de un cambio de dispositivo móvil en el que el usuario traslada su SIM de su celular viejo al nuevo. Poder intercambiar la SIM de un dispositivo a otro, asegura la portabilidad de nuestros números y de nuestra data.
Sin embargo, este procedimiento se volvió tan común que los delincuentes comenzaron a explotarlo para tomar el control de los números de teléfono celular de las personas.
Lo hacen simplemente contactando al operador y proporcionando datos personales a través de tácticas de ingeniería social y realizando un SIM swap.
Una vez que la cuenta fue tomada, el delincuente tendrá acceso a todos los datos personales de la persona y su bandeja de entrada de mensajes para recibir las notificaciones 2F necesarias para cambiar las contraseñas de los bancos y tarjetas de crédito.
"Los servicios de detección de intercambio de la SIM utilizan una serie de algoritmos para poder notificar tanto los intentos como los procedimientos de intercambio exitosos. Los operadoresmóviles que implementan estas soluciones pueden proteger a sus usuarios de este fraude tambiénconocido como SIM Swap y de todo el estrés y peligros que implica el robo de la identidad", agregala ejecutiva de Infobip.