El SMS es ahora la vía para engañar y robar dinero desde las cuentas bancarias
jueves, 21 de marzo de 2019
ALEXIS IBARRA O.
Vida Ciencia Tecnología
El Mercurio
Al recibirlo en el celular, el cliente se confía de que es una comunicación de su banco. No sabe que el antiguo phishing por correo ahora se trasladó a los mensajes cortos.
Una avalancha de SMS (mensajes cortos) está llegando a los celulares de los chilenos. Dicen ser del banco del usuario y le advierten que su dispositivo de seguridad (el que usan para validar una transacción) se bloqueará si es que no ingresa su clave para validarlo. Se trata de un nuevo engaño, en el que han caído clientes de distintos bancos. Es lo que se conoce como smishing . "Es una forma de phishing que involucra un mensaje de texto SMS y tiene como objetivo redirigir al usuario a un sitio web fraudulento con el propósito de obtener información personal, robar los datos bancarios o infectar el dispositivo móvil con algún tipo de virus", advierte Hermann Obermoller, gerente de Servicios Gestionados de Seguridad de NovaRed. Para el especialista, este tipo de engaño es poco conocido por los usuarios. "La mayoría de las personas están conscientes del riesgo que conlleva hacer clic en vínculos provistos en un correo electrónico y es que la banca se ha preocupado de repetir esto una y otra vez. Sin embargo, no se puede decir lo mismo cuando se trata de mensajes de texto enviados a celulares", aclara. Desde el punto de vista de los ciberdelincuentes, este tipo de ataques es más cómodo ya que no necesita tener una base de datos con direcciones de correo. "Ni siquiera es necesario conocer su número de teléfono, ya que al atacar pueden ir aumentando dígito por dígito los números a los que envían SMS y esto será suficiente para llegar a los teléfonos", dice Dmitry Bestuzhev, director del Equipo Global de Investigación y Análisis de Kaspersky Lab en América Latina. Además, dice Luis Lubeck, especialista en Seguridad Informática de ESET, al llegar al celular del usuario, el SMS adquiere más veracidad, ya que saben que su banco tiene su número. Así, un usuario incauto no solo entregará su clave, sino además su segundo factor de autenticación, que puede ser un número dinámico en un dispositivo o coordenadas de una tarjeta. "Como estos tienen un tiempo de vencimiento, el ciberdelincuente tiene que realizar el ataque en tiempo real y centrarse en una persona específica una vez que detecta que ha comenzado a entregar sus datos", dice Lubeck. Así es como pueden hacer transferencias bancarias a cuentas que luego usan para robar el dinero. Los especialistas dicen que a pesar de todos los resguardos que puedan tomar los bancos, la mejor estrategia es educar a los clientes de que también puede ser atacados a través de SMS. "Los bancos no piden datos por correo ni SMS; si llega uno pidiéndolos, es para sospechar. En ese caso es mejor llamar a los teléfonos del banco para comprobar, pero no a los que salen en los mensajes", advierte. Otra medida de seguridad es activar las alertas que llegan a los teléfonos o al celular que notifican cada transacción o transferencia de dinero que haga el usuario. Y por nada del mundo acceder a un sitio web a partir de un e-mail o un SMS que incluye un enlace; hay que digitarlo uno mismo.
