'Smishing': Cómo protegerse de los nuevos ataques por SMS

 Fuente: BBVA Alejandro Tarriño (Experto en ciberseguridad - BBVA)

El ‘smishing’ es una de las técnicas más utilizadas por los ciberdelincuentes para robar datos e información de usuarios suplantando la identidad de las empresas a través de mensajes de texto. Una estafa muy común y en alza debido al crecimiento del comercio ‘online’. Las técnicas de los ataques cambian, pero conservan unas características comunes que pueden ayudar al usuario a identificar y descartar estos mensajes fraudulentos.

Nadie está libre de un ataque ‘smishing’ y las campañas de fraude por parte de los ciberdelincuentes se enlazan unas con otras. En mayo de 2021, surgió con fuerza una campaña de fraude por SMS suplantando a BBVA y otras entidades que ha tenido una nueva réplica en las últimas semanas. A medida que los equipos de seguridad de las entidades alertan de estos mensajes e inhabilitan las web referenciadas en los mismos, los ciberdelincuentes se renuevan e intentan inventar otros diferentes para llegar a nuevas víctimas.

El ‘smishing’ puesto en marcha en octubre de 2021 para clientes de BBVA tiene una particularidad que los hace especialmente peligrosos, y es que dichos mensajes aparecen dentro del mismo hilo de notificaciones de BBVA, donde ya se reciben, por ejemplo, los códigos para realizar operaciones. 

Es importante recordar que BBVA nunca enviará SMS con enlaces ni solicitando ningún tipo de información, así que debemos sospechar de todo SMS con enlaces incluso cuando el remitente parezca ser BBVA.

De forma general conviene revisar detenidamente cualquier enlace recibido a través de SMS, observar si engloban palabras o caracteres extraños, y ante la duda no abrirlos nunca y recurrir a los canales oficiales para revisar si hay algún tipo de alerta.

Por regla general, hay que desconfiar de todos aquellos mensajes alarmantes que tengan tono de urgencia o contengan faltas de ortografía o errores gramaticales. En caso de recibirlos, nunca hay que responder a este tipo de mensajes sospechosos ni pulsar en los enlaces que contienen.