A medida que los smartphones cobran cada vez más importancia tanto en el ámbito profesional como en el personal, también se convierten en el objetivo principal de los ciberdelincuentes. Entre las diversas amenazas, el phishing basado en SMS, o smishing, se convirtió en un riesgo especialmente engañoso debido a la omnipresencia de los mensajes de texto. Este método suele implicar la suplantación por SMS, en la que los atacantes ocultan su identidad para engañar a los usuarios, con el fin de que estos compartan información confidencial o hagan clic en enlaces maliciosos.

¿Qué es la suplantación por SMS?

La suplantación por SMS es una forma de engaño cibernético en la que los atacantes manipulan el número de teléfono o la ID del remitente para que los mensajes parezcan provenir de un contacto o una institución de confianza, como un banco, un amigo o una agencia gubernamental. Cuando llegan estos mensajes falsos, los smartphones suelen agruparlos en hilos de conversación existentes basándose en los datos falsificados del remitente, lo que aumenta la ilusión de legitimidad. Los estafadores aprovechan este camuflaje para persuadir a las víctimas con el fin de que compartan información confidencial, hagan clic en enlaces maliciosos, descarguen software perjudicial o autoricen transacciones fraudulentas, lo que en última instancia conduce a pérdidas económicas o al robo de identidad.

¿Cómo funciona la suplantación por SMS?

• Identidad falsa del remitente: Los atacantes ocultan el número o el nombre del remitente para hacerse pasar por entidades de confianza, como WEEX, organismos gubernamentales o contactos personales, lo que hace que el mensaje parezca muy creíble.
• Intención encubierta: Estos mensajes suelen diseñarse como alertas de seguridad urgentes, notificaciones urgentes o actualizaciones críticas para incitar una acción rápida y reducir la precaución.
• Enfoque específico: Muchas estafas imitan las comunicaciones oficiales de las plataformas específicas (como los exchanges de criptomonedas), para crear confusión y aumentar la probabilidad de engañar a los usuarios.

Situaciones habituales

• Ataques de phishing: Engañan a los usuarios para que hagan clic en enlaces fraudulentos que los dirigen a sitios web falsos diseñados para robarles las credenciales de inicio de sesión.
• Estafas por suplantación de identidad: Se hacen pasar por amigos, instituciones oficiales o el servicio de atención al cliente para solicitar dinero o información confidencial de forma fraudulenta.
• Distribución de malware: Utilizan enlaces o archivos adjuntos camuflados en SMS para distribuir software malicioso y comprometer el dispositivo del usuario.

Principio subyacente

En esencia, la suplantación por SMS se basa en el engaño y la manipulación psicológica. Al hacerse pasar por fuentes confiables, los atacantes se aprovechan de las tendencias naturales del ser humano, a menudo empleando tácticas de ingeniería social para provocar respuestas emocionales y eludir el criterio racional. Las estrategias clave incluyen:

• Explotación de la confianza: Se hacen pasar por entidades legítimas (por ejemplo, el servicio de atención al cliente de WEEX, amigos o personajes famosos) para aprovecharse de la confianza inherente que la gente deposita en nombres conocidos y de la privacidad que se percibe en los SMS.
• Relevancia contextual: Crear mensajes que se ajusten al contexto real del usuario, tales como alertas de retiro o avisos de seguridad falsos, para reducir las sospechas y aumentar la credibilidad.
• Manipulación emocional: Utilizar la urgencia, el miedo o la curiosidad (p. ej., “¡Actúa ahora!” o “Detectamos un inicio de sesión sospechoso”) para provocar acciones impulsivas, como hacer clic en enlaces o compartir códigos de verificación.

Mecanismos técnicos

Suplantación de ID del remitente: Los atacantes utilizan herramientas o guiones especializados para falsificar el número de origen o el nombre del remitente que se muestra en el dispositivo del usuario.

• Abuso de VoIP: Utilizar servicios de Voz sobre protocolo de Internet (VoIP) para establecer las ID de remitente arbitrarios, lo que permite que aparezcan mensajes falsificados (p. ej., imitando el número oficial de WEEX) en los hilos de mensajes existentes.
• Explotación de la pasarela de SMS: Alquilar, secuestrar o conspirar con proveedores de pasarela de SMS inescrupulosos para enviar mensajes fraudulentos masivos que imitan a fuentes legítimas.

Cómo proteger tu cuenta de WEEX

Habilitar varios métodos de 2FA

El segundo factor de autenticación (2FA) añade una capa de protección fundamental para la cuenta al requerir dos formas distintas de verificación de identidad. La combinación de métodos como el email, los SMS, Google Authenticator o las claves de seguridad de hardware mejora en gran medida la seguridad y la resiliencia de las cuentas.

Establecer un código anti-phishing

Una vez que se habilita esta opción, todos los emails y SMS oficiales de WEEX (excepto los códigos de verificación) incluirán tu código personalizado. Los mensajes que no incluyan este código deben considerarse sospechosos.

Habilitar la confirmación de la dirección de retiro

Para mitigar riesgos como el secuestro del tráfico o la alteración de direcciones durante los retiros, recuerda siempre habilitar la confirmación de la dirección de retiro antes de que se procese la transacción.

Practica una buena higiene contable

• Instala un software antivirus de confianza y descarga las apps solo de fuentes oficiales.
• Evita hacer clic en enlaces enviados a través de SMS o emails no solicitados.
• Utiliza un dispositivo dedicado para cuentas sensibles, siempre que sea posible.
• Evita concentrar activos críticos, como tu email, tarjeta SIM y Google Authenticator, en un solo dispositivo para minimizar el riesgo en caso de pérdida o situación de riesgo. Diversificar tus medidas de seguridad reduce el daño potencial de los ataques dirigidos.

Conclusión

La tecnología puede crear defensas sólidas en el ámbito de la ciberseguridad, pero tu concientización y estado de alerta siguen siendo la mejor protección. Los estafadores suelen recurrir a la confusión y la urgencia para engañar a las personas; mantenerte informado te ayuda a reconocer estas trampas y a responder con prudencia. Aunque las plataformas ofrecen marcos de seguridad multicapa, tu propia comprensión de los riesgos es la herramienta más poderosa. Cada conocimiento que adquieras sobre las estafas se convierte en un escudo adicional para tus activos.

El conocimiento otorga poder; la acción otorga protección. Nos comprometemos a proporcionarte recursos actualizados contra el fraude y alertas de riesgo de forma continua para que puedas permanecer informado. Cada vez que verificas un dato o tomas una decisión prudente, contribuyes a dejar afuera a los estafadores. Trabajemos juntos para hacer de la seguridad nuestra base en común.

Lecturas adicionales

• Guía del usuario: Protege tu cuenta de WEEX en 4 sencillos pasos
• ¿Qué es el análisis técnico?
• Domina la estrategia del trading de criptomonedas: De los fundamentos al trading en spot