Cuando el banco no está detrás de los mensajes
Los ciberdelincuentes envían un SMS haciéndose pasar por una entidad bancaria u otro organismo para que el receptor pique, facilite sus datos o realice un determinado pago
Todo comienza con un mensaje de texto que llega al teléfono móvil y hace saltar todas las alarmas. Un número que no está entre nuestros contactos, pero que se presenta como una entidad u organismo de confianza (como el banco, una empresa postal o Hacienda), advierte que la cuenta bancaria ha sido bloqueada por movimientos sospechosos, que falta algún tipo de documentación o que un paquete –que en ningún momento se ha pedido– ha sido retenido en aduanas y se tienen que pagar las tasas que correspondan para proceder a su entrega en el enlace que se proporciona.
Se trata, en todos estos casos, de una práctica maliciosa conocida como 'smishing' cuyo objetivo no es otro que dirigir a la víctima a una dirección falsa (que simula ser la página web oficial de la entidad bancaria u organismo que se pone en contacto) para robarle las credenciales de acceso a su servicio bancario, sus datos personales o dinero.
Por ello, para evitar caer en la trampa del 'smishing', la OCU recomienda desconfiar de aquellos mensajes que empleen términos que inciten a la acción, es decir, que «inviten» a hacer clic en el enlace con palabras como «seguridad», «activar», «actualizar», «tarjeta», «bloqueo», «cuenta» o «reactivar». Además de eso, advierte la OCU, también se debe desconfiar de los enlaces o páginas que tengan dominios (nombre que se le da a una web) como .ly; .to; .at; o .eu.
La recomendación va más allá de tener precaución a la hora de abrir los enlaces: hay que fijarse bien en la url (dirección) de la página web y, si no es segura o no corresponde con el sitio al que se quiere acceder, hay que evitar facilitar cualquier tipo de información. En caso de duda, se debe consultar directamente con la entidad o administración implicada o con las Fuerzas y Cuerpos de Seguridad del Estado, además del Instituto Nacional de Ciberseguridad (INCIBE).
Lo mejor, en cualquier caso, es evitar abrir y contestar los mensajes de usuarios desconocidos o que no se hayan solicitado y eliminarlos directamente.
¿Qué se puede hacer en caso de haber caído en la trampa? Si usted ha recibido un SMS fraudulento y ha picado (porque has accedido al enlace o has facilitado algún dato) debe ponerse en contacto cuanto antes con la entidad o el organismo en cuestión para informarles de lo sucedido y cancelar posibles acciones. Además, detalla la OCU, se debe cambiar la contraseña de acceso a la banca 'on line', así como en todas las aplicaciones o servicios en los que se utilice la misma clave, si es el caso.
¿Tienes una suscripción? Inicia sesión
