Diferencia un SMS de fraude de uno que no lo es

El SMS se ha convertido en una herramienta de comunicación fundamental para las empresas, siendo muy confiable en cuanto a su distribución y con una tasa de lectura muy alta. El uso del SMS Verificado por compañías como Google también aporta una capa de seguridad que hoy en día es muy importante.

Muchas personas, cuando reciben un mensaje,tienen cierta preocupación respecto a posibles fraudes o estafas que puedan sufrir. Y tienen razón para estar atentos: lamentablemente, los intentos de fraude en la web y comunicaciones digitales (email, sms, etc.) son comunes y muy riesgosos. 

El Observatorio Español de Delitos Informáticos ha detectado más de 210.000 delitos en 2019, cuando en 2013 solo hubo alrededor de 42,000. A través de un ataque de phishing (o smishing, como se ha acuñado al acto de fraude a través del SMS), pueden robar datos personales, contraseñas y otra información sensible.

Los SMS no son ajenos a estas prácticas. Por esa razón, a continuación detallaremos cómo se envían este tipo de mensajes ilícitos y detectar posibles fraudes en mensajes de texto.

Es útil saber como normalmente se envían estos mensajes fraudulentos para diferenciar nuestras campañas o envíos. De esta forma evitaremos miedos o confusiones en nuestros destinatarios y así se obtendrán mejores resultados e interacción en cualquier comunicación. El resumen es sencillo: transmitir fiabilidad en el remitente del mensaje.

Formas de detectar estafas vía SMS

La precaución y la seguridad nunca están de más, especialmente en el mundo digital. Las estafas mediante mensajes de texto existen, pero hay ciertas formas de detectarlas a tiempo, antes de caer en la trampa.  Alguna de ellas son:

• La ausencia de un remitente: los SMS maliciosos no suelen tener un remitente alfanumérico. En su lugar tienen como remitente números móviles aleatorios, que los destinatarios no tienen guardados en sus agendas. Se conoce así al emisor del mensaje, como una carta de presentación. Las principales empresas utilizan el recurso de un remitente personalizable y alfanumérico para que los usuarios sepan al instante quién envía el mensaje y brindarles confianza. La mejor opción para esto son los SMS verificados. En este caso, Google, se encarga de verificar los mensajes, mediante un recuadro adicional que brinda el nombre de la compañía y ciertos datos relevantes, como el logo. LabsMobile ofrece SMS Verificados por Google y es necesario un proceso de validación e inscripción de remitentes.
• Links a páginas de autenticación: en general, un SMS malicioso viene acompañado de un link externo, donde se espera concretar el ataque de Phishing. Suele consistir en una página para iniciar sesión con datos personales, o para descargar un archivo en el móvil.  Normalmente la url de destino es similar (pero no exactamente igual) que a la entidad o empresa al que se pretende imitar. Conviene fijarse muy bien en el dominio o url ya que normalmente presentan pequeñas diferencias a las oficiales (ejemplo: bankia.es => login-bankia.es o movil.bankia.es). En especial en los dispositivos móviles es recomendable visualizar la url completa. Muchos navegadores móviles sólo muestran el dominio en la barra de navegación y eso puede ser muy confuso con ciertos dominios maliciosos.

• Los enlaces se acortan o se ocultan: de manera similar, los enlaces que acompañan al mensaje de fraude vienen acortados con alguna plataforma poco conocida, para camuflarse y que no se pueda ver la dirección completa. Por lo tanto, recomendamos evitarlos, o utilizar alguna herramienta de seguridad del móvil para observar el enlace completo.
• Las páginas de destino suelen ser sencillas y poco funcionales. Normalmente, sólo existe la funcionalidad para la introducción de datos o credenciales. Recomendamos visitar cualquier enlace, link a redes sociales o método de contacto para verificar su autenticidad. Cualquier web auténtica publica métodos de contacto adicionales o soporte, enlaces a la web comercial, etc.
• Suelen ser de plataformas que el usuario no utiliza: los atacantes suelen realizar envíos masivos a muchos miles de usuarios y se escogen marcas o entidades financieras conocidas y utilizadas de forma masiva. De esta forma, se intenta impactar en los usuarios que sí tengan un servicio contratado con la entidad suplantada. Por ejemplo, una compañía logística o una entidad financiera.
• No son mensajes personales: el marketing SMS se destaca por ser personalizado. Las empresas utilizan sus bases de datos para crear una relación más personal y de confianza con sus clientes, enviando mensajes específicos con nombre y apellido. En cambio, los SMS de estafas son genéricos, con frases como “Querido usuario” o “Estimado cliente”.
• Buscan generar pánico con mensajes de alerta: para despistar a la víctima, se trata de mensajes que indican que una cuenta/tarjeta va a ser suspendida, que hubo un problema con la cuenta bancaria, etc. Debido al miedo, muchas personas terminan visitando los enlaces maliciosos, con la intención de solucionar los problemas al instante facilitando credenciales o datos personales.
• Hay errores gramaticales presentes: en los ataques de phishing, la gramática queda en segundo plano. Si se presta atención, se pueden encontrar errores ortográficos, sintácticos, oraciones con poco sentido, traducciones y más. Es importante leer con atención para detectar un posible fraude.

Recomendaciones para evitar los fraudes SMS

Conociendo los principales métodos que utilizan los atacantes en las estafas con mensajes de texto, se pueden tomar precauciones y medidas de seguridad en consecuencia.

1 Por último, hay que chequear cualquier tipo de información sensible. Por ejemplo, si llega un mensaje de alerta del banco, se puede confirmar con una llamada telefónica o un correo electrónico. Realizar una consulta con la supuesta plataforma que envió el SMS puede ser la salvación frente a un ataque de phishing. Como regla general, las entidades financieras y la gran mayoría de empresas no solicitan ningún dato por SMS o email. Cualquier gestión se debe realizar dentro de la app o panel de control una vez nos hemos autenticado de forma correcta. Por tanto, debemos sospechar de cualquier mensaje que nos solicite cualquier dato o login.

2 Prestar mucha atención al dominio o subdominio final del enlace. Comprobar que siempre se realice con conexiones cifradas HTTPS y que el certificado sea correcto y pertenezca a la entidad que queremos visitar.

3 Es muy recomendable activar la autenticación dos fases (2FA) en cualquier web o plataforma que utilicemos, en especial todas aquellas que estén relacionadas con transacciones o que involucren importes económicos. La gran mayoría de estas plataformas disponen de una opción 2FA con SMS, llamada o aplicación Google Authenticator. De esta forma, aunque alguien obtenga nuestras credenciales,no podrá acceder a nuestra cuenta o datos.

4 Ante cualquier problema o alerta, recomendamos contactar directamente con el servicio de Atención al Cliente de la entidad y no seguir ningún enlace posiblemente fraudulento.

5 Desconfiar de cualquier remitente que no tengamos previamente registrado y con el que mantenemos una relación comercial frecuente. Es especial, si se solicitan datos o una autenticación. Es decir, si nunca hemos recibido un SMS de nuestro banco, desconfiar de cualquier nuevo SMS de este banco aunque el remitente parezca correcto.

6 Estar siempre atento a todos los detalles. Leer y releer varias veces el SMS, para encontrar posibles evidencias de la estafa: si no tiene remitente, errores de escritura, enlaces sospechosos u otro detalle. Ante la mínima sospecha, hay que evitar el mensaje. En caso de duda es posible contactar con la entidad para obtener más detalles sobre el caso.

Diferencia un SMS de fraude de uno que no lo es

Si quieres aumentar la confianza de tus usuarios en tus SMS y evitar que no entren en ellos por miedo al fraude, te ofrecemos la mejor solución con nuestra plataforma LabsMobile que incluye:

• Remitente dinámico y alfanumérico (en aquellos países y operadores donde esté disponible)
• Acortador de enlaces de forma fiable.

Además de tener todas las herramientas que necesitas para que tu campaña sea exitosa, también puedes acceder a los SMS Verificados por Google sin costo adicional. Si quieres saber más,  puedes leer este artículo al respecto o comunicarte con nuestro equipo. Estaremos encantados de asesorarte.