El celular vibra y aparece una notificación: un mensaje de texto de un número desconocido informa que “su paquete no puede ser entregado” y piden a la persona confirmar la dirección residencial o hacer un seguimiento a través de un enlace a una página web.
Para muchos colombianos, este tipo de notificación se ha vuelto parte de la rutina, tan común como las alertas de promociones o los recordatorios bancarios. Pero lo que parece ser un simple error de una empresa de mensajería es, en realidad, la puerta de entrada a una estafa digital cada vez más extendida.
Así lo advierte un estudio reciente realizado por la firma rusa de ciberseguridad Kaspersky, que reveló cómo bandas criminales están utilizando mensajes fraudulentos para clonar tarjetas de crédito en todo el país.
El esquema es simple: un SMS simula una notificación legítima indicando problemas con la entrega de un paquete. Al hacer clic en el enlace, la víctima es redirigida a una página que imita el sitio de una empresa de envíos como 4-72. Allí, se le solicita ingresar sus datos bancarios para cubrir un supuesto costo de reenvío.
Pero la estrategia no se limita a la imitación de páginas web; los mensajes provienen de “short numbers” o números cortos de cinco a seis dígitos, como 893184, entre otros, canales tradicionalmente utilizados por entidades financieras y empresas para comunicarse con sus clientes, lo que incrementa la credibilidad del engaño.
Según Kaspersky, se han identificado y bloqueado 51 dominios asociados con esta campaña, aunque las cifras sugieren que es solo la punta del iceberg.
Para Fabio Assolini, director del equipo de Investigación y Análisis para América Latina en Kaspersky, el acceso que tienen los delincuentes a estos canales es preocupante: “El hecho de que cualquier empresa pueda contratar el envío de SMS desde números cortos facilita que los ciberdelincuentes también puedan hacerlo sin mayor dificultad. Este sistema debería estar mucho más regulado, ya que la confianza que generan estos números es clave para que el fraude sea efectivo”.
Además de los dominios y números cortos, criminales perfeccionan sus técnicas para eludir los filtros antispam utilizando servicios como “qrco.de” para crear enlaces cortos personalizados que varían sutilmente en cada mensaje, complicando su detección.
Al replicar los colores, logotipos y estructuras visuales de las páginas oficiales, consiguen que incluso los usuarios más precavidos caigan en la trampa.
Ante esta situación, desde Kaspersky ofrecen una serie de recomendaciones para evitar ser víctima de estos engaños: verificar siempre el remitente de los mensajes, desconfiar de enlaces que no correspondan a los dominios oficiales y, en caso de recibir notificaciones sobre compras no realizadas, confirmar la información directamente con la empresa a través de sus canales legítimos.
”Si el mensaje proviene de un número desconocido y el enlace dirige a un dominio que no es oficial, lo más seguro es que se trate de una estafa”, dice Assolini en entrevista con EL COLOMBIANO.
¿Cómo logran los ciberdelincuentes enviar estos mensajes fraudulentos desde números cortos que normalmente usan los bancos y empresas legítimas?
“Los criminales logran enviar estos mensajes usando los números cortos, los shortcodes, también conocidos técnicamente como gateways de SMS, porque cualquier empresa establecida puede contratar el envío de SMS usando esos números cortos. Entonces es bastante fácil a los cibercriminales que tengan una empresa que contrate estos servicios y ellos pagan para enviar estos mensajes fraudulentos desde estos números.
El problema es que no debería ser así. Los números cortos son bastante usados por la banca, por empresas, gobierno, para comunicarse con sus clientes, con los ciudadanos, pero el problema es que los cibercriminales logran también contratar estos mismos servicios y así enviar los mensajes fraudulentos”.
¿Qué medidas pueden tomar los usuarios comunes para identificar rápidamente un mensaje SMS falso y evitar caer en la trampa?
“La mejor medida, que yo creo también es la más fácil, es utilizar un buen producto antivirus que va a detectar y bloquear el acceso a estas herramientas. Esa es la forma más fácil, pero claro que hay otras.
Tienen en la Internet las bases de datos Who.is, o sea, ¿quién es? Estas bases de datos permiten que cualquier uno pueda chequear quién registró determinado dominio de Internet, porque yo espero que un dominio de una empresa sea registrado por la empresa dueña de la marca, dueña del nombre.
Además, estas bases de datos Who.is permiten que uno vea, por ejemplo, que hay muchos dominios registrados en otros nombres. Entonces, se necesita un conocimiento técnico para hacer búsquedas en estas plataformas. Existen muchos sitios hoy disponibles, es una búsqueda gratuita.
¿Qué tan sofisticadas son esas páginas falsas que utilizan para robar la información bancaria y cómo pueden reconocerlas los usuarios?
“Las páginas falsas usadas en esta estafa utilizan la misma apariencia de la página verdadera en todos sus sentidos, en su apariencia, sus colores.
Además, hay campañas en que los criminales también crean un dominio falso, un nombre de sitio falso, pero bastante similar al sitio original. No es el caso puntual en esta campaña maliciosa, pero en otras sí es muy común.
Para reconocerlas hay top level domains en la internet, el TLD que es la parte final de un enlace, como todos los sitios colombianos que en su gran mayoría terminaron con .co. Así mismo, hay estos top level domains que son bastante usados en fraudes, destacando el .top y el .xyz. Entonces, siempre hay que desconfiar de estos sitios con terminaciones de dominios raras”.
