La semana pasada, desde Escudo Digital advertimos que estaban circulando nuevas estafas por SMS que suplantaban la identidad del Banco Santander y del BBVA con el objetivo de robar los datos bancarios de sus clientes. Tal y como explicamos, se trataban de ataques de "smishing" en los que no era difícil caer en la trampa por varias razones, como que estaban respaldados por páginas webs que aparentemente eran las oficiales de ambas entidades y que los SMS también tenían como remitente a los propios bancos. Esto último es posible a través de una técnica conocida como el "spoofing" y los estafadores han continuado explotándola haciendo que sus fraudes sean mucho más elaborados, creíbles y peligrosos.
El Banco de España ha alertado esta misma semana sobre las estafas que se llevan a cabo mediante el "spoofing" y en las que los ciberdelincuentes ya "no solo se hacen pasar por quienes no son, sino que también imitan y suplantan los canales habituales de contacto de los bancos". En concreto, señalaba que se estaban haciendo pasar por las entidades en SMS y en llamadas telefónicas porque estaban recurriendo tanto al "SMS spoofing", que permite que los mensajes lleguen al mismo hilo "donde con anterioridad habían llegado otros SMS reales", como al "spoofing teléfonico", que falsifica el número de identificación de llamadas del móvil del receptor por el de los bancos para que los estafadores se hagan pasar por ellos sin levantar sospechas.
Muchos usuarios han denunciado en las redes sociales haber sido objetivo de estas estafas y uno de ellos ha sido el catedrático de computación J.J. Merelo, quien este martes ha contado su experiencia en Twitter en un hilo en el que ha puesto de manifiesto que la estafa es más sofisticada y peligrosa de lo que se pensaba.
"Bueno, pues a punto de ser víctima de un intento de fraude pero con un nivel de sofisticación considerable.
- Llaman desde el teléfono del Santander.
- Tienen tu DNI y tus teléfonos
- Te cuentan una historia de un pago fraudulento que se ha hecho con tu tarjeta…".
Tras este primer mensaje, J.J. Merelo continua contando que anteriormente le habían enviado un SMS de phishing, pero que no picó porque "era muy descarado" aunque también tenía como remitente al Banco Santander. "Pero cuando dice que va a 'arreglar' el cargo te manda un mensaje. Y ahí está el fraude. En ese momento me olí algo raro…".
"Lo dije e inmediatamente me colgó. Pero es que es la leche, el grado de sofisticación que han alcanzado: spoof del teléfono del Santander, datos personales almacenados… En fin, toda la tramoya. Por si acaso no lo tenéis claro: LOS BANCOS NO LLAMAN PARA PEDIRTE CÓDIGOS ENVIADOS", recuerda el catedrático de computación.
"NI AUNQUE SEA DESDE EL MALDITO TELÉFONO DEL PROPIO BANCO. J*DER. A ver si así hay alguien que no pica. Que ya no es divertido como los que llamaban de Microsoft. No lines. Esto ya es otro nivel", remata J.J. Merelo.
El Banco Santander y el BBVA también han alertado de estas estafas
Los usuarios también se han dirigido directamente a los bancos para preguntarles sobre estos ataques y ambas entidades han confirmado que están sufriendo una suplantación de identidad y han vuelto a recalcar porqué los SMS de smishing nunca podrían ser suyos.