Cómo detectar una estafa por mensaje de texto

Una mujer mirando un teléfono inteligente.
fizkes / Shutterstock

La persona promedio en estos días es lo suficientemente inteligente como para detectar una estafa por correo electrónico, razón por la cual los estafadores han recurrido a los mensajes de texto. Smishing (phishing a través de SMS) va en aumento, pero así es como puede evitar ser víctima de él.

¿Qué es una estafa por mensaje de texto?

Las tácticas de una estafa de mensajes de texto son prácticamente idénticas a las que se utilizan en una estafa estándar de phishing por correo electrónico . El «phishing» es cuando alguien actúa como representante de una empresa o institución legítima para robar información personal, como los datos de su tarjeta de crédito, información de cuenta bancaria o número de seguro social.

Normalmente comienza con un correo electrónico que parece legítimo. Dentro del cuerpo del correo electrónico, hay un enlace a un sitio web «oficial» que está diseñado para engañarlo para que revele sus credenciales de inicio de sesión, datos personales o dinero. El sitio web suele ser indistinguible de la empresa real, incluida la marca.

«Smishing» (un acrónimo de SMS y phishing) funciona de manera casi idéntica. El estafador envía un mensaje de texto con un enlace a las víctimas potenciales. Normalmente, el mensaje lo invita a verificar los detalles de su cuenta, realizar un pago o reclamar un premio.

Crear un correo electrónico de phishing que no despierte sospechas de inmediato requiere cierta habilidad. El estafador debe tener en cuenta la marca y el tono y asegurarse de que el correo electrónico no contenga errores. También tiene que esperar que un filtro de spam no capte el correo electrónico.

Dado que los SMS son una forma de comunicación tan básica, los mensajes fraudulentos son mucho más difíciles de detectar. Los mensajes de texto son cortos, lo que deja poco espacio para errores obvios de ortografía o gramática. Además, los acortadores de URL son comunes en los mensajes de texto debido al límite de 160 caracteres.

Esta oportunidad no ha pasado desapercibida para los estafadores. Enviar mensajes de texto en masa desde una interfaz web es económico y fácil de hacer. Si bien existe evidencia de que los operadores de telefonía móvil utilizan técnicas de filtrado de spam similares a las de los proveedores de correo electrónico, muchos intentos de smishing se escabullen por la red.

También hay muchas otras estafas que circulan a través de SMS. La ingeniería social, en la que un estafador le envía mensajes directamente e intenta ganarse su confianza también es un problema. Este tipo de estafador a menudo usa llamadas telefónicas y correos electrónicos además de mensajes SMS para parecer más legítimo.

Aquí hay seis cosas que debe tener en cuenta la próxima vez que reciba un mensaje de texto no solicitado que lo invite a hacer clic en un enlace.

Número uno: ¿Es el mensaje relevante para usted?

Los estafadores intentarán cualquier cosa para que haga clic en su enlace. Por ejemplo, podrían decir que ganó algo. ¿Pero participaste en algún tipo de competencia? Es posible que se le notifique que tiene un paquete que recoger, pero ¿espera algo?

Una estafa por mensaje de texto con un enlace que dice que el receptor ha ganado una "caja misteriosa".

A veces, es una tarjeta de regalo para una tienda donde no compras. Otras veces es un aviso final de una factura que nunca antes ha recibido. He recibido mensajes sobre “premios” de aerolíneas con las que nunca he volado y, de todos modos, ¿con qué frecuencia las aerolíneas regalan premios?

Recuerde siempre la regla de oro: si parece demasiado bueno para ser verdad, probablemente lo sea.

Número dos: no toque los enlaces en los mensajes sospechosos

La mayoría de las estafas de mensajes de texto incluyen un enlace y, por lo general, la URL no coincide con el nombre de la empresa. Sin embargo, incluso si lo hace, no tiene forma de saber si es seguro o no. Algunas de estas estafas están diseñadas para difundir malware y, a veces, todo lo que requiere un toque (o clic) en un enlace.

Una estafa por mensaje de texto con un enlace aleatorio.

Para estar seguro, evite tocar enlaces en mensajes de texto no solicitados. En agosto de 2019, las personas que poseen iPhones estuvieron expuestas a malware  simplemente visitando una URL en Safari debido a un exploit de día cero . Si bien este fue el primer (y, al momento de escribir estas líneas, el único) exploit de este tipo, es un recordatorio de que nunca debes confiar en un enlace aleatorio.

Si toca un enlace, es posible que se le redirija (a menudo varias veces) a un sitio web diferente. Si la barra de direcciones de su navegador lo lleva de un sitio web a otro en rápida sucesión, es una buena señal de que está siendo atacado por una estafa.

Número tres: no se deje engañar por un sitio web convincente

Suponga que toca accidentalmente un enlace sin pensarlo mucho y ve un sitio web de aspecto muy oficial. Algunos estafadores son expertos en producir sitios web que parecen idénticos a las empresas que intentan imitar. ¡No te dejes engañar!

Un vistazo a la barra de direcciones debería confirmar cualquier sospecha. Eche un vistazo al siguiente ejemplo de la estafa de Australia Post. La URL en la barra de direcciones resaltada no coincide con la del sitio web oficial de Australia Post, lo que significa que es una estafa. Sin embargo, algunos estafadores hacen todo lo posible para que sus URL también parezcan convincentes.

Un ejemplo de un sitio web falso de la estafa de Australia Post.

Es sorprendentemente fácil crear una copia al carbón de un sitio web simplemente descargando la página y cargándola en otro lugar. A veces, todo el sitio web funciona como lo haría normalmente , incluidos los enlaces «Acerca de nosotros» y otro contenido no relacionado.

Número cuatro: preste atención a la gramática

Un gran porcentaje de intentos de smishing se originan en países donde el inglés no es el idioma oficial (o el primer idioma). Como resultado, muchos estafadores cometen errores de ortografía o gramática que deberían ser relativamente fáciles de detectar para un hablante nativo.

Esto puede ser tan simple como una palabra fuera de lugar, uso incorrecto de mayúsculas o una oración que simplemente parece «incorrecta». Consulte el error de doble espacio en el mensaje a continuación. También ve mayúsculas incorrectas, falta de puntuación y una URL que se pegó incorrectamente a mitad de la oración.

Una estafa por mensaje de texto para el ganador de una "Tarjeta de regalo" con muchos errores gramaticales.

Por supuesto, no todos los estafadores provienen de países que no hablan inglés. Muchos tienen un conocimiento sólido del idioma y entienden cómo hacer que el cebo parezca genuino.

Sin embargo, de forma anecdótica, la gran mayoría de los intentos de smishing que he recibido han contenido errores gramaticales o ortográficos obvios.

Número cinco: no confíe en un mensaje personalizado

En muchos de los ejemplos de este artículo, los estafadores lograron acertar mi nombre. Este tipo de personalización podría llevar a algunos a creer que el mensaje es genuino. Es posible que reciba un mensaje similar al intentar hacerse pasar por su banco, ISP o proveedor de telefonía móvil.

Una estafa por mensaje de texto usando el nombre del autor.

Desafortunadamente, hay muchas posibilidades de que parte de su información personal se haya filtrado en línea. Las filtraciones de datos son comunes y permiten a los estafadores recopilar información que los hace parecer más legítimos.

Por ejemplo, es posible que conozcan su dirección, qué teléfono inteligente usa o sus manejadores de redes sociales.

Número seis: ¿Sospecha que es real? Póngase en contacto directamente con la empresa

Uno de los intentos de smishing más comunes en los últimos tiempos es la estafa de correos. El mensaje parece ser de un servicio postal que le informa que debe pagar costos de envío adicionales en un paquete o verificar su dirección. La página de destino dice que el paquete se devolverá al remitente si no paga para crear una sensación de urgencia.

Mi compañero recibió el intento de smishing a continuación la semana pasada. A pesar del número de seguimiento de apariencia oficial y una copia al carbón del sitio web de Australia Post, los administradores de correo no intentan cobrar los costos de envío vencidos por mensaje de texto. Tampoco devolverán su paquete a los pocos días de recibirlo. Debido a estas inconsistencias, la estafa quedó al descubierto.

Una estafa de mensajes de texto de "franqueo vencido".

Una búsqueda rápida me llevó a una página en  el sitio web de AusPost que  describe la estafa. También exploramos anteriormente la estafa de entrega de paquetes de FedEx . Si recibe un SMS similar, busque en la web «Estafa de mensajes de texto de USPS (o el servicio de entrega correspondiente)».

Los ataques de ingeniería social pueden ser mucho más difíciles de detectar, especialmente si ya cree que la persona con la que está hablando es quien dice ser. Una forma fácil de detectar esta estafa es si la otra parte solicita pagos o donaciones en tarjetas de regalo, como lo hicieron recientemente en Louisville, Kentucky.

Está bien establecido que las empresas nunca le enviarán correos electrónicos, mensajes de texto ni llamarán para solicitar el pago. Si sospecha que una factura vencida o una tarifa de envío no es legítima, comuníquese directamente con la compañía antes de dar cualquier información. Si alguien está solicitando donaciones, asegúrese de hacer una donación a la organización directamente, a través de su sitio web oficial, en un punto de venta o en una caja de recolección en lugar de por mensaje de texto.

Tenga cuidado ahí fuera

Sea escéptico ante cualquier mensaje de texto que reciba que no sea de amigos o conocidos. Si tiene en cuenta estos conceptos básicos, no se le engañará para que entregue dinero en efectivo o su información personal.

Para llevar su protección un poco más lejos, también puede proteger su dispositivo Android  o seguir algunos consejos básicos de seguridad de iPhone .