Principales conclusiones
La suplantación de SMS es un tipo de estafa que se basa en la manipulación psicológica para engañar a las víctimas para que envíen dinero o compartan información confidencial.
Los atacantes modifican su identidad de remitente para que su mensaje SMS parezca provenir de una fuente confiable.
¿Has recibido un SMS falso? Informe el incidente a la policía de inmediato.
Obtenga información sobre la suplantación de SMS y cómo proteger sus datos personales y criptográficos de los atacantes.
Las tendencias en la industria del fraude cambian tan rápido como en cualquier otro lugar. Antes, las estafas por correo electrónico del príncipe nigeriano estaban de moda; hoy en día, se trata de ataques de suplantación de SMS.
A diferencia de los exploits en los que un pirata informático intenta utilizar un código para acceder a la base de datos de un usuario, los ataques de suplantación de SMS utilizan principalmente la manipulación psicológica. Esto significa que el estafador intentará hacerse pasar por una fuente confiable en un intento de engañar a víctimas desprevenidas para que envíen dinero o compartan información confidencial, como detalles de su billetera.
En este artículo, repasaremos cómo funcionan los ataques de suplantación de SMS, las diferentes formas en que los atacantes pueden atacarlo y cómo usted, como usuario, puede proteger sus fondos.
¿Cómo funciona la suplantación de SMS?
El atacante modifica su identidad de remitente (el nombre o número de teléfono que aparece en el teléfono del destinatario) para que su mensaje de texto parezca como si proviniera de una fuente confiable. El objetivo es engañar a la víctima para que siga las instrucciones del mensaje.
Un SMS falsificado puede llegar a la bandeja de entrada de su teléfono con un nombre, un número de teléfono o ambos manipulados. Por ejemplo, un texto que aparece en "Binance" podría ser un estafador que intenta engañarlo para que descargue malware, comparta los detalles de su cuenta o haga clic en un enlace malicioso.
Desafortunadamente, los mecanismos que permiten la suplantación de SMS se encuentran en una zona legal gris en muchas regiones del mundo. Algunos países han prohibido rotundamente la práctica, mientras que otros aún deben abordar el abuso de cambiar la identidad del remitente de SMS.
De hecho, existen algunos casos de uso legítimos para alterar el nombre del remitente tal como aparece en el extremo del destinatario. Por ejemplo, una empresa podría ejecutar una campaña de marketing por SMS y utilizar una identidad de submarca en lugar de la marca principal o el número de teléfono.
¿Cómo identificar y evitar la suplantación de SMS?
Incluso una infraestructura de seguridad líder en la industria puede hacer poco para proteger a un usuario que voluntariamente envía su contraseña a un pirata informático. La primera línea de defensa es siempre el usuario. Si deseas mantener tus fondos seguros, debes permanecer alerta en todo momento, haciendo de las siguientes prácticas un hábito.
1. Verificar mensajes entrantes
Siempre verifique la fuente de un mensaje entrante antes de responder. Tenga cuidado con los mensajes no solicitados o que parezcan sospechosos. Puede verificar mensajes específicos de Binance utilizando la herramienta Binance Verify o enviando una captura de pantalla del mensaje a nuestro equipo de soporte. Para otros servicios, debes enviar un mensaje a la plataforma correspondiente directamente a través de su sitio web oficial u otros canales confiables.
2. Habilite la autenticación de dos factores
La autenticación de dos factores (2FA) agrega una capa adicional de seguridad contra los atacantes que intentan obtener acceso a sus cuentas, incluso mediante suplantación de SMS. Habilite siempre 2FA para cualquier cuenta que lo admita.
Los códigos 2FA, cuando se usan correctamente, pueden ayudar a proteger su cuenta. Ingrese sus códigos 2FA solo en sitios web oficiales y asegúrese de verificar dos veces el mensaje 2FA para ver para qué se utiliza.
3. No compartas información personal
Evite compartir información confidencial (por ejemplo, contraseñas, números de tarjetas de crédito, números de seguro social y otros identificadores emitidos por el gobierno) a través de mensajes de texto, especialmente con contactos no verificados.
4. Evite enlaces sospechosos
No haga clic en ningún enlace que le hayan enviado por mensaje de texto sin antes verificar su legitimidad. Los enlaces podrían conducir a sitios web de phishing que intentan robar sus credenciales de inicio de sesión o instalar malware en su dispositivo.
No acceda a sitios con símbolos de "Sin bloqueo" o URL no cifradas (HTTP en lugar de HTTPS); Siempre verifique la URL antes de hacer clic. Asegúrese de utilizar únicamente sitios web oficiales. Por ejemplo, si no está seguro de si un enlace, correo electrónico, número de teléfono, ID de WeChat, identificador de Twitter o ID de Telegram relacionado con Binance es oficial, puede verificarlo en Binance Verify.
Para obtener información general sobre cómo proteger sus fondos criptográficos, puede explorar las secciones de seguridad en nuestras Preguntas frecuentes o en Binance Academy.
Aquí hay una lista de sitios web sospechosos que hemos identificado y que intentan parecer afiliados a Binance. Manténgase alejado de todos ellos. Sus nombres de dominio también le dan una idea de cómo puede ser un sitio web "falso de Binance" cuyos creadores intentan engañar a los usuarios.
Tipos de suplantación de SMS
Los ataques de suplantación de SMS pueden variar en sus objetivos y mecánicas. Lo que todos tienen en común es que se reemplaza el número o nombre del remitente real, lo que permite a los estafadores aparecer como otra persona. Los escenarios comunes de cómo alguien puede apuntar a usted con un SMS falsificado incluyen transferencias de dinero y suplantaciones de acoso.
En el primer caso, los estafadores se harán pasar por un proveedor legítimo de servicios financieros como Binance y enviarán mensajes de texto a las víctimas sobre, por ejemplo, una transacción de reembolso falsa. Estos mensajes suelen indicar a los destinatarios que escaneen un código QR o accedan a un enlace para reclamar su reembolso.
La suplantación de SMS también la utilizan los acosadores y ciberacosadores que quieren intimidar a sus víctimas enviándoles mensajes amenazantes o inapropiados desde números desconocidos o con nombres aleatorios.
Ejemplos de la vida real de ataques de suplantación de SMS
Ejemplo 1: mensaje 2FA falso
Un usuario, a quien llamaremos Jack, recibe un mensaje que dice: “[Binance] Los usuarios deben actualizar Web 3.0 para evitar deshabilitar cuentas. Bianenc.net”
Jack ve que el remitente es "Binance" y que el mensaje llegó a través del mismo canal del que normalmente recibe sus códigos 2FA. Jack asume que se trata de un mensaje oficial e inicia sesión en el sitio web de phishing, proporcionando así los detalles de su cuenta al estafador.
Ejemplo 2. “Cancelación de Retiro”
Un usuario, a quien llamaremos Brad, recibe un mensaje SMS de alguien con una dirección de remitente "Binance". El mensaje le recuerda a Brad que "cancele su retiro actual". Brad, creyendo que el mensaje es oficial, inicia sesión en el sitio web de phishing.
El hacker logra utilizar el nombre de usuario, la contraseña y 2FA de Brad para iniciar sesión en el sitio web oficial de Binance e iniciar un retiro de efectivo.
En este ejemplo, el usuario no pudo hacer dos cosas:
Verifique el enlace en Binance Verify.
Vuelva a verificar el mensaje 2FA real, que en realidad decía que el código 2FA se estaba utilizando para iniciar un retiro, no para cancelarlo.
Ejemplo 3. Cuenta "Verificar" o "Actualizar"
Muchos de nuestros usuarios han informado haber recibido un SMS falso con un enlace para verificar o actualizar su cuenta. Como explica el mensaje, si no se realiza la acción requerida, se bloqueará la cuenta. En realidad, el enlace del mensaje de texto conduce a un sitio web de phishing diseñado para robar detalles de la cuenta. Tenga en cuenta que los dominios en estos mensajes de texto intentan aparecer como empresas legítimas.
Si ha sido blanco de un SMS falsificado
Si sospecha que alguien le ha enviado un SMS falso, comuníquese de inmediato con una autoridad policial pertinente. Si el SMS falsificado está relacionado con Binance, presente también un informe al equipo de soporte de Binance.
Si su cuenta ha sido comprometida, congele su crédito para evitar que los delincuentes abran nuevas cuentas a su nombre, además de congelar sus tarjetas de crédito y cuentas bancarias. Para proteger sus activos, también debe desactivar su cuenta siguiendo los pasos de esta guía de preguntas frecuentes: Cómo desactivar mi cuenta de Binance.
Nunca envíe mensajes de texto con los detalles de su cuenta de Binance, código 2FA o información financiera a nadie, incluso si quienes lo solicitan parecen legítimos a primera vista. Además de la suplantación de SMS, los estafadores también pueden intentar defraudarlo por correo electrónico u otros canales.
Vuelva a verificar cualquier dominio relacionado con Binance en Binance Verify. Sin embargo, tenga en cuenta que la herramienta no es infalible. Aún así debes tener cuidado si sientes que algo anda mal.
Otras lecturas
Conozca su estafa
Manténgase seguro: ¿Qué son los ataques de apropiación de cuentas?
Una guía sobre aplicaciones falsas: cómo detectarlas y evitarlas
