Más de la mitad de los mensajes de texto (SMS) recibidos en los celulares en la Argentina durante 2022 fueron spam o fraudes. Según datos aportados por la plataforma global de comunicaciones en la nube Infobip, en la región esta forma de ciberdelito aumentó un 40% en los últimos dos años afectando a millones de personas con pérdidas económicas significativas. Esta tendencia pone el foco en la necesidad de tomar medidas efectivas para combatir esta forma de estafa.

Puntualmente, Argentina tiene un promedio de 2.052 ataques semanales, lo que representa un crecimiento del 22% respecto al mismo periodo del año anterior, según el reporte global de ciberataques del primer trimestre de 2023 publicado por el proveedor de soluciones de ciberseguridad Check Point.

A su vez Check Point Research analizó también los archivos que están a la venta en la Dark Web y reveló que contienen millones de números de teléfono activos de usuarios de 108 países. La lista completa estuvo a la venta durante 4 días durante noviembre pasado y ahora se distribuye gratuitamente entre los usuarios de Dark Web. De Argentina, estiman desde Check Point, habría más de 2 millones de números de teléfonos expuestos.

En Brasil, dicen desde Infobip, se reportaron pérdidas de hasta 2,5 mil millones de reales en 2022 como consecuencia de fraude por mensaje de texto. Sin embargo, la situación no impacta únicamente a Latinoamérica. De hecho, los consumidores estadounidenses perdieron más de u$s5.800 millones en fraudes en 2022 y en el Reino Unido los ataques de SMS aumentaron en un 700% en los primeros seis meses de ese mismo año. El crecimiento de estos delitos, opinan desde Infobip, pueden atribuirse, en parte, al aumento de las entregas a domicilio y de notificaciones de SMS asociadas a las compras y registros online.

El principal modelo de fraude vía SMS es el llamado smishing que ocurre cuando el mensaje contiene un enlace malicioso y que al hacer clic en él se instala malware en el dispositivo de la persona, aunque las empresas y las organizaciones tampoco están exentas a este tipo de amenazas.

Por todo ello, Infobip explica cómo funcionan estas estafas, cuáles son sus posibles consecuencias y cómo prevenirlas.

El crecimiento de estos delitos tiene que ver con la tendencia al delivery y las notificaciones por compras y registros online.

Cómo detectar los cuatro tipos de fraudes más comunes vía SMS

1 - Smishing

El smishing es un tipo de fraude en el que los delincuentes contactan a las víctimas potenciales a través de SMS para convencerlas de compartir información personal o de cuentas bancarias haciendo clic en enlaces que posteriormente instalan malware en sus teléfonos.

Smishing es el equivalente del phishing de los correos electrónicos tradicionales y el mecanismo es el mismo, se envía un enlace malicioso y el anzuelo es otra plataforma.

Los ataques de smishing utilizan tácticas de ingeniería social para recopilar información sobre posibles víctimas como de dónde viven, con quién interactúa en línea y de qué bancos y compañías de tarjetas de crédito son clientes. Esta información se puede usar para crear mensajes SMS falsificados que resulten realistas como para engañar a la víctima y hacerle creer que el remitente es una empresa o persona legítima.

"Es particularmente importante que los usuarios presten siempre atención al remitente de cada mensaje. Los SMS verificados, por ejemplo, son una buena manera de asegurarse de que el remitente es genuino", explica Angélica Arevalo, Head of Sales Engineering de Infobip para LATAM.

2 - SMS spoofing

El SMS spoofing ocurre cuando cambian la información del remitente de un mensaje para que el destinatario vea cualquier texto alfanumérico definido en lugar de un número de teléfono móvil. Así el destinatario ingresa al mensaje falso y hace clic en los enlaces creyendo que el remitente es legítimo y entonces se le instala un malware en sus teléfonos o los lleva a páginas web diseñadas para extraer información privada de ellos.

El problema es que ésta práctica de cambiar la información del remitente de SMS no es ilegal y puede utilizarse para fines legítimos, de hecho existen muchas aplicaciones válidas para hacer el cambio y hay servicios gratuitos de SMS spoofing en Internet. "Los delincuentes lo utilizan para imitar mensajes de empresas como parte de sus ataques de smishing. Los ciberdelincuentes pretenden ser de un banco, una empresa de delivery, una institución de confianza e incluso hasta el propio empleador del destinatario en caso de tratarse de ataques dirigidos", detalla Arevalo.

Otra táctica de los delincuentes es utilizar el SMS spoofing para falsificar las confirmaciones de pago por la compra de artículos caros. En el mensaje fraudulento afirman que pagarán un producto mediante transferencia bancaria, pero en lugar de realizar el pago falsifica un SMS de confirmación de pago y se lo envían al vendedor

Se comunican con la telefónica haciéndose pasar vos para obtener una nueva tarjeta SIM con el mismo número de teléfono.

3- SIM Swapping o intercambio de la SIM

Al igual que el SMS spoofing, el intercambio de SIM surge de una necesidad legítima como cuando se cambia de dispositivo móvil y el usuario intercambia su SIM. Sin embargo, este procedimiento se ha vuelto tan común que los delincuentes han comenzado a explotarlo para tomar el control de los números de teléfono celular de las personas. Lo hacen simplemente contactando al operador de la empresa de telefónica y proporcionando datos personales a través de tácticas de ingeniería social realizan un SIM swappig.

Una vez que la cuenta fue tomada, el delincuente tiene acceso a todos los datos personales de la persona y a la bandeja de entrada de sus mensajes para recibir las notificaciones necesarias para cambiar las contraseñas de los bancos y tarjetas de crédito.

"Los servicios de detección de intercambio de la SIM utilizan una serie de algoritmos para poder notificar tanto los intentos como los procedimientos de intercambio exitosos. Los operadores móviles que implementan estas soluciones pueden proteger a sus usuarios de este fraude también conocido como SIM Swap y de todo el estrés y peligros que implica el robo de la identidad", agrega la ejecutiva de Infobip.

4- Spam SMS

Existen varias razones válidas (e incluso útiles) para recibir mensajes de texto que no son solicitados directamente por el usuario. Por ejemplo, para notificar sobre sospechas de fraude o para alertar de un evento climático extremo o una campaña de vacunación obligatoria.

Sin embargo el spam viola las leyes de cumplimiento de casi todos los países del mundo, pero eso no impide que las empresas compren aún listas de números para mandar masivamente ofertas y promociones.

Vale la pena recordar, remarca Arevalo, que enviar una comunicación a un usuario que no a  autorizado expresamente este tipo de mensajes es una violación a la Ley General de Protección de Datos Personales (LGPD), a menos que se tenga una razón legal para hacerlo debido a su inminente urgencia. El problema es que este tipo de mensajes no deseados va en aumento desde que es posible detectar las llamadas de los call center de modo que se pueda elegir no contestar.

Maldito spam que ocupa memoria y te llena de información irrelevante.

Para los usuarios finales, la acción más efectiva se realiza directamente desde el dispositivo bloqueando las notificaciones de números desconocidos o filtrándolas a través de una bandeja de entrada especial. Sin embargo, al hacerlo, se corre el riesgo de perderse de comunicaciones realmente relevantes.

Por lo tanto, concluye Arevalo, la responsabilidad de reducir el spam de SMS y otros intentos de fraude recae en última instancia sobre los proveedores de telecomunicaciones antes de que lleguen a sus usuarios.