Cómo proteger tus criptomonedas de los ataques de suplantación de identidad por SMS
Lo más destacado
La suplantación de identidad por SMS es un tipo de estafa que se basa en la manipulación psicológica para engañar a las víctimas para que envíen dinero o compartan información confidencial.
Los atacantes modifican su identidad de remitente para que su mensaje SMS parezca que procede de una fuente de confianza.
¿Has recibido un SMS donde suplantaban la identidad? En ese caso, notifica el incidente de inmediato a la policía.
Aprende más sobre la suplantación de identidad por SMS y cómo proteger tus criptomonedas y datos personales de los atacantes.
En el mundo del fraude, las tendencias cambian tan rápido como en cualquier otro sector. Antes estaban de moda las estafas por correo electrónico de príncipes nigerianos, mientras que hoy lo están los ataques de suplantación de identidad por SMS.
A diferencia de los ataques en los que un hacker intenta utilizar un código para acceder a una base de datos de usuarios, los ataques de suplantación de identidad por SMS utilizan principalmente la manipulación psicológica. Esto significa que el estafador intentará hacerse pasar por una fuente de confianza para intentar engañar a víctimas confiadas para que les envíen dinero o compartan con ellos información confidencial, como los detalles de sus billeteras.
En este artículo, explicaremos cómo funcionan los ataques de suplantación de identidad por SMS, las diferentes formas en que los atacantes pueden elegirte como víctima y cómo los usuarios pueden proteger sus fondos.
¿Cómo funciona la suplantación de identidad por SMS?
El atacante modifica su identidad de remitente (el nombre o el número de teléfono que aparece en el teléfono del destinatario) para que su mensaje de texto parezca provenir de una fuente de confianza. El objetivo es engañar a la víctima y conseguir que siga las instrucciones del mensaje.
Un SMS falsificado te puede llegar a tu bandeja de entrada con un nombre o un número de teléfono manipulados (o ambos). Por ejemplo, un texto aparentemente de «Binance» podría ser en realidad de un estafador que intenta engañarte para que te descargues malware, compartas los datos de tu cuenta o hagas clic en un enlace malicioso.
Lamentablemente, en muchas regiones del mundo los mecanismos que permiten la suplantación de identidad por SMS no están del todo claros y, mientras algunos países han prohibido directamente esta práctica, otros todavía no han abordado el abuso que supone cambiar la identidad del remitente de los SMS.
De hecho, existen algunos usos legítimos que permiten modificar el nombre del remitente tal como le aparece al destinatario. Por ejemplo, una empresa puede llevar a cabo una campaña de marketing por SMS y utilizar la identidad de una submarca en vez del número de teléfono o la marca principal.
¿Cómo puedes identificar y evitar los SMS falsificados?
Incluso una infraestructura de seguridad líder del sector no puede hacer mucho para proteger a un usuario que voluntariamente envíe su contraseña a un hacker. La primera línea de defensa siempre es el usuario. Por tanto, si quieres que tus fondos estén a salvo, debes permanecer alerta en todo momento, convirtiendo en hábito las siguientes prácticas.
1. Comprueba los mensajes entrantes
Verifica siempre minuciosamente la fuente de un mensaje entrante antes de responder. Ten cuidado con los mensajes no solicitados o aquellos que parezcan sospechosos. Puedes verificar los mensajes específicos de Binance utilizando la herramienta Binance Verify o enviando una captura de pantalla del mensaje a nuestro equipo de asistencia. Para otros servicios, envía un mensaje directamente a la plataforma relevante a través de su sitio web oficial u otros canales de confianza.
2. Habilita la autenticación de dos factores
La autenticación de dos factores (2FA) añade una capa adicional de seguridad contra los atacantes que intentan acceder a tus cuentas, incluso a través de la suplantación de identidad por SMS. Habilita siempre la 2FA en todas las cuentas que la admitan.
Cuando se utilizan correctamente, los códigos 2FA pueden ayudarte a proteger tu cuenta. Introduce únicamente tus códigos 2FA en sitios web oficiales y asegúrate de verificar bien el mensaje de 2FA para conocer para qué se está utilizando.
3. No compartas información personal
Evita compartir información confidencial (como contraseñas, números de tarjeta de crédito, números de la seguridad social y otros identificadores emitidos por el gobierno) por mensajes de texto, especialmente con contactos no verificados.
4. Evita los enlaces sospechosos
No hagas clic en ningún enlace que te envíen por mensaje de texto sin verificar primero su legitimidad. Estos enlaces pueden conducirte a webs de phishing que intenten robarte tus credenciales de acceso o instalar malware en tu dispositivo.
No accedas a páginas web con el símbolo «Sin candado» o URL sin cifrar (HTTP en vez de HTTPS), y observa bien la URL antes de hacer clic. Asegúrate de usar únicamente las páginas web oficiales. Por ejemplo, si no estás seguro de si un enlace, correo electrónico, número de teléfono, Id. de WeChat, identificador de Twitter o Id. de Telegram están relacionados con Binance, puedes comprobarlo en Binance Verify.
Si te gustaría obtener información general sobre cómo proteger tus fondos de criptomonedas, puedes consultar las secciones de seguridad de nuestras preguntas frecuentes o Binance Academy.
A continuación, podrás encontrar una lista de páginas web sospechosas que hemos identificado que intentan parecer afiliadas a Binance. Mantente lejos de todas ellas. Sus nombres de dominio también te pueden dar una idea de que se trata de sitios web de Binance falsos, cuyos creados intentan engañar a los usuarios.
Tipos de suplantación de identidad por SMS
Los ataques de suplantación de identidad por SMS pueden tener diferentes objetivos y mecánicas. Sin embargo, todos tienen en común que sustituyen el número o el nombre del remitente real, lo que permite a los estafadores parecer otra persona. Entre las situaciones más comunes en las que alguien puede atacarte con un SMS falsificado se incluyen las transferencias de dinero y las suplantaciones de identidad de acoso.
En el primer caso, los estafadores se hacen pasar por un proveedor de servicios financieros legítimo como Binance y envían mensajes de texto a las víctimas sobre, por ejemplo, una transacción de devolución de dinero falsa. Normalmente estos mensajes indican al destinatario que debe escanear un código QR o acceder a un enlace para reclamar su devolución.
Los acosadores y ciberacosadores también utilizan la suplantación de identidad por SMS para intimidar a sus víctimas enviándoles mensajes amenazadores o inapropiados desde números desconocidos o con nombres aleatorios.
Ejemplos de la vida real de ataques de suplantación de identidad por SMS
Ejemplo 1: mensaje de 2FA falso
Un usuario, al que llamaremos Juan, recibe un mensaje que dice: «[Binance] Los usuarios deben actualizar la Web 3.0 para evitar que sus cuentas queden deshabilitadas. Bianenc.net»
Juan ve que el remitente es «Binance» y que el mensaje le ha llegado a través del mismo canal en el que suele recibir sus códigos 2FA. Por tanto, asume que se trata de un mensaje oficial e inicia sesión en la web de phishing, dándole así los datos de su cuenta al estafador.
Ejemplo 2. «Cancelación de retiro»
Un usuario, al que llamaremos Bruno, recibe un mensaje SMS de alguien con una dirección de remitente de «Binance». El mensaje le recuerda que debe «cancelar su retiro actual». Creyendo que se trata de un mensaje oficial, Bruno inicia sesión en la web de phishing.
El hacker consigue utilizar el nombre de usuario, la contraseña y el código 2FA de Bruno para iniciar sesión en la página web oficial de Binance e iniciar un retiro de efectivo.
En este ejemplo, el usuario no hizo bien dos cosas:
No verificó el enlace en Binance Verify.
No comprobó minuciosamente el mensaje de 2FA auténtico, que en realidad decía que el código 2FA se estaba utilizando para iniciar un retiro, y no para cancelarlo.
Ejemplo 3. «Verificar» o «actualizar» una cuenta
Muchos de nuestros usuarios han notificado que han recibido SMS falsificados con un enlace para verificar o actualizar su cuenta. Como explica el mensaje, si no se realiza la acción indicada, la cuenta quedaría bloqueada. En realidad, el enlace del mensaje de texto remite al usuario a una web de phishing diseñada para robar los datos de la cuenta. Ten en cuenta que los dominios de estos mensajes de texto intentan parecer empresas legítimas.
Si has sido víctima de un SMS falsificado
Si sospechas que alguien te ha enviado un SMS falsificado, contacta de inmediato con las autoridades competentes. Si el SMS falsificado está relacionado con Binance, comunícalo también al equipo de asistencia de Binance.
Si tu cuenta se ha visto comprometida, congela tu crédito para impedir que los delincuentes abran nuevas cuentas a tu nombre, y también tus tarjetas de crédito y cuentas bancarias. Para proteger tus activos, también debes deshabilitar tu cuenta siguiendo los pasos indicados en este tutorial de preguntas frecuentes: Cómo desactivar mi cuenta de Binance.
Nunca envíes a nadie por mensaje de texto los datos de tu cuenta de Binance, tu código 2FA o información financiera, aunque te lo pida alguien que a primera vista parezca legítimo. Además de la suplantación de identidad por SMS, los estafadores también pueden intentar estafarte por correo electrónico u otros canales.
Comprueba minuciosamente cualquier dominio relacionado con Binance en Binance Verify. Sin embargo, ten en cuenta que esta herramienta no es infalible, por lo que debes seguir teniendo cuidado si sospechas que algo no encaja.
Otras publicaciones relacionadas
Aviso legal: La inversión en criptoactivos no está regulada, puede no ser adecuada para inversores minoristas y perderse la totalidad del importe invertido. Es importante leer y comprender los riesgos de esta inversión que se explican detalladamente en aquí.