La Guardia Civil ha detenido en Barcelona a seis personas pertenecientes a una organización cibercriminal que estafaba a las víctimas mediante campañas masivas de smishing, mensajes de texto (SMS) fraudulentos se hacían pasar por entidades bancarias, haciendo uso de varias técnicas novedosas de suplantación de identidad y spoofing tanto por SMS como por teléfono para ejecutar la estafa.
Estos mensajes contenían un enlace de acceso a un sitio web que se hacía pasar por una entidad bancaria. Mediante la estafa han logrado estafar más de 3 millones de euros a más de 1.200 personas en todo el territorio nacional, según explica el Ministerio del Interior.
La operación se inició en agosto de 2022, cuando la Guardia Civil recibió la denuncia de dos personas de la provincia de Salamanca. Las víctimas reportaron tener transferencias bancarias en sus cuentas que no habían autorizado.
Estas detenciones se suman a otras nueve detenciones ya practicadas en Toledo, Ciudad Real, Badajoz, Murcia y Valencia.
Así funcionaba la estafa de smishing y vishing
El smishing es una técnica que se basa en la suplantación de identidad y que se envía a través de SMS. Los criminales envían mensajes de texto de manera masiva a una gran cantidad de números de teléfono con un texto que se hace pasar por una entidad bancaria y que incluyen un enlace.
El mensaje alertaba de un supuesto acceso no autorizado a la cuenta bancaria, y se requería verificación inmediata de las operaciones a través del enlace. Este les redireccionaba a una página web muy similar a la del banco suplantado. Esta web era falsa, controlada por los ciberdelincuentes. El objetivo era que las víctimas introdujeran los datos bancarios completos.
Para añadir sofisticación a la estafa, los cibercriminales incorporaban varias técnicas adicionales. Por un lado el “SMS Spoofing”. Es decir: lograban incluso suplantar la identidad del banco, para que a las víctimas les apareciese como remitente del mensaje la entidad bancaria y no sospecharan.
Por otro lado, suplantaban también la identidad del banco mediante llamadas de teléfono (vishing o phishing telefónico) y haciendo uso de la técnica “Caller ID Spoofing”, que los agentes han considerado novedosa por su ejecución. Ya que los ciberdelincuentes necesitaban los códigos de seguridad que envía el banco al móvil del titular para autorizar cada operación, la organización usaba esta novedosa técnica.
Con ella conseguían suplantar el número de teléfono real de la sucursal bancaria, llamando a los perjudicados. Les alertaban de operaciones fraudulentas en su cuenta y les pedían los códigos de seguridad que acababan de recibir por SMS para anular esas operaciones. De esta manera consumaban la estafa.
Múltiples estafas
Cuando los ciberdelincuentes no lograban que los SMS fraudulentos tuvieran éxito, el fraude no acababa ahí.
De nuevo mediante la técnica de vishing, los estafadores llamaban a la entidad bancaria, suplantando la identidad de las víctimas, con el objetivo de hacer transferencias bancarias.
Por si esto fuera poco, esta organización también lanzaba campañas de SMS mediante el fraude del “móvil roto”. Enviaban SMS con un enlace a WhatsApp, indicando a las posibles víctimas que eran sus hijos, que habían perdido el móvil y que necesitaban contactarlos en un número nuevo a través de ese enlace.
Después, solicitaban a la víctimas una transferencia de dinero a una cuenta controlada por la organización.
“Hola mamá, papá, mi otro teléfono está roto”: cuidado, este SMS es una estafa (y está de vuelta)
Siempre verificar: cómo evitar ser una víctima de una estafa por SMS o llamada
Las autoridades advierten que no se debe facilitar nunca datos personales o bancarios a través de teléfono, SMS, ni tampoco correo electrónico u otros canales como WhatsApp. Esto incluye contraseñas, claves, usuarios, códigos, números de cuenta, o cualquier otro dato.
Es importante tener en cuenta que las entidades bancarias nunca solicitarán información personal por estos medios.
Ante una llamada, y si se tiene sospecha de que puede ser fraudulenta, es mejor colgar y llamar nosotros mismos a la entidad bancaria.
No facilitar nunca contraseñas por teléfono. Las entidades bancarias nunca solicitarán este tipo de información por este medio.
También se recomienda usar únicamente las aplicaciones oficiales de las entidades bancarias y nunca acceder a la banca online a través de enlaces contenidos en SMS o correos electrónicos.
