Los estafadores siempre adaptan sus técnicas de ataque creando fraudes de manera más ubicua, sofisticada y astuta para robar datos, identidades y dinero de los usuarios. Este año, una tendencia que se ha repetido en todos los mercados es la suplantación de identidad y, en particular, entre supuestamente miembros de una misma familia. En estos mensajes fraudulentos, los ciberdelincuentes se hacen pasar, por ejemplo, por un hijo o una hija en apuros que avisa a sus padres de que se le ha perdido o averiado el móvil, solicitando una transferencia de dinero. Es uno de los clásicos de la ingeniería social que se aprovecha de una situación de emergencia o preocupación para que la víctima no se muestre todo lo precavida que sería normalmente. También puede darse que el atacante dice ser un amigo o compañero de trabajo; todo con tal de que el usuario confíe y se deje llevar por la situación.
El siguiente paso en estos ataques de smishing suele consistir en persuadir a la víctima para que se pase a WhatsApp u otro servicio de mensajería antes de que los estafadores pidan el dinero; probablemente, una suma pequeña, aunque los expertos en ciberseguridad han visto solicitudes de cantidades elevadas dependiendo del señuelo de los mensajes.
“El abuso a través de mensajes de texto y redes sociales es especialmente preocupante, porque los atacantes invierten tiempo y esfuerzo en ganarse la confianza de sus víctimas, empezando por una conversación de lo más inofensiva para engañarlas y burlar tanto las defensas técnicas como humanas”, declara Stuart Jones, director de la división Cloudmark de Proofpoint.
Los teléfonos móviles se han convertido indiscutiblemente en el centro de la vida personal, profesional y financiera de los usuarios, atesorando datos muy valiosos que pueden caer en las manos equivocadas; y el coste para las víctimas de estas estafas, cada vez más variadas y específicas, puede ser muy significativo.
“Hay muchas variantes de estos ataques, por lo que los usuarios deben mostrarse muy escépticos ante cualquier mensaje de remitentes desconocidos o inesperados, sobre todo teniendo en cuenta que pueden entrar en juego herramientas de IA para conseguir que los ciberdelincuentes hagan ataques más realistas que nunca”, insiste Stuart Jones, de Proofpoint.