Principal

  • La suplantación de SMS es un tipo de fraude que se basa en la manipulación. El atacante intenta engañar a la víctima para que le envíe dinero o comparta información confidencial.

  • Los estafadores cambian la información del remitente para que parezca que el mensaje SMS proviene de una fuente confiable.

  • Si recibe un mensaje SMS de este tipo, infórmelo inmediatamente a las autoridades policiales.

Obtenga más información sobre la suplantación de SMS y cómo proteger sus criptomonedas y datos personales de los atacantes.

Las tendencias en la industria del fraude cambian tan rápidamente como en cualquier otra industria. Hace unos años, los estafadores enviaban cartas de “príncipes nigerianos”, pero hoy la suplantación de SMS está en la cima de la popularidad.

A diferencia de la piratería, en la que un atacante intenta obtener acceso a la base de datos de un usuario utilizando un código de programa, la principal herramienta de suplantación de SMS es la manipulación psicológica. El estafador se hace pasar por una persona de confianza e intenta engañar a la víctima para que transfiera dinero o comparta información confidencial, como detalles de su billetera.

En este artículo, veremos cómo funciona la suplantación de SMS, cómo pueden atacarlo los atacantes y cómo puede proteger sus fondos.

Cómo funciona la suplantación de SMS

Los atacantes falsifican la información del remitente (nombre o número de teléfono) para crear la impresión de que el SMS proviene de una fuente confiable. Su trabajo es engañar a la víctima para que siga las instrucciones del mensaje.

Este mensaje puede enviarse con el nombre de otra persona o desde un número de teléfono falso, o a veces ambos. Por ejemplo, un mensaje que dice ser de Binance podría ser de un estafador que intenta engañarlo para que descargue malware, comparta sus credenciales o haga clic en un enlace de phishing.

Desafortunadamente, en muchas jurisdicciones, los mecanismos para falsificar el nombre y el número de teléfono del remitente en mensajes SMS no están estrictamente regulados. En algunos países esta práctica está prohibida, en otros es completamente legal.

Además, en algunos casos, mostrar el nombre del remitente modificado en el teléfono del destinatario es bastante razonable. Por ejemplo, al ejecutar una campaña de publicidad por SMS, en lugar del nombre de la marca principal o el número de teléfono en el mensaje, puede indicar la marca a la que se refiere la campaña.

Cómo identificar la suplantación de SMS y protegerse de ella

Incluso la infraestructura de seguridad más avanzada no protegerá a los usuarios si voluntariamente entregan sus contraseñas a los estafadores. En primer lugar, todo está en manos del usuario. Para ayudar a mantener sus fondos seguros, permanezca atento y adopte las siguientes prácticas.

1. Verifique la autenticidad de los SMS entrantes

Siempre verifique la fuente de un mensaje antes de responderlo. Tenga cuidado con cualquier mensaje inesperado o sospechoso. Si recibe un correo electrónico de Binance que parece sospechoso, verifique su autenticidad utilizando la herramienta Binance Verify o envíe una captura de pantalla a nuestro equipo de soporte. Para otras plataformas, comuníquese con la empresa correspondiente directamente a través de su sitio web oficial u otros canales confiables.

2. Habilite la autenticación de dos factores (2FA)

La autenticación de dos factores (2FA) agrega otra capa de protección contra los atacantes que intentan obtener acceso a su cuenta, incluso mediante la suplantación de SMS. Habilite 2FA en todos los servicios que admitan esta función.

Cuando se usan correctamente, los códigos 2FA pueden ayudar a proteger sus datos. Ingrese códigos 2FA solo en sitios web oficiales y asegúrese de verificar si el mensaje con el código 2FA indica exactamente por qué se le envía este código.

3. No compartas tu información personal con nadie.

No comparta información confidencial (como contraseñas, números de tarjetas de crédito, números de identificación u otros documentos gubernamentales) a través de SMS, especialmente con contactos que no sean de confianza.

4. No abras enlaces sospechosos

No haga clic en enlaces enviados por SMS sin verificar su autenticidad. Los enlaces pueden conducir a sitios de phishing que permitirán a los atacantes intentar robar sus credenciales o instalar malware en su dispositivo.

Evite visitar sitios con un símbolo de candado abierto o URL no cifradas (con el prefijo HTTP en lugar de HTTPS) y siempre verifique los enlaces antes de abrirlos. Utilice sólo sitios oficiales. Por ejemplo, si no está seguro de si el enlace, la dirección de correo electrónico, el número de teléfono, el número de WeChat, el identificador de Twitter o el identificador de Telegram asociado con Binance es oficial, puede verificarlo usando Binance Verify.

Para obtener información general sobre cómo proteger sus fondos en criptomonedas, consulte las secciones de seguridad de las preguntas frecuentes o de Binance Academy.

A continuación se muestra una lista de sitios que conocemos que pretenden ser servicios afiliados a Binance. Manténgase alejado de ellos. Sus nombres de dominio también dan una idea de cómo podría verse un sitio falso de Binance y están tratando de engañar a los usuarios.

Tipos de suplantación de SMS

Los ataques de suplantación de identidad varían en sus objetivos y mecanismos de ejecución. Pero lo que tienen en común es que el estafador se hace pasar por otra persona, falsificando el nombre o el número del remitente. Los mensajes SMS falsificados suelen estar asociados con transferencias de dinero o acoso.

En el primer caso, los estafadores se hacen pasar por un proveedor legítimo de servicios financieros como Binance y envían a las víctimas mensajes sobre reembolsos falsos. Normalmente, se le pide al destinatario que escanee un código QR o haga clic en un enlace para recibir un reembolso.

Los acosadores y ciberacosadores también utilizan la suplantación de SMS. Intentan intimidar a sus víctimas enviando mensajes amenazantes u obscenos desde números desconocidos o con nombres aleatorios.

Ejemplos de la vida real de ataques de suplantación de SMS

Ejemplo 1: mensaje 2FA falso

El usuario, llamémoslo Jack, recibió un mensaje que decía: “[Binance] Los usuarios deben actualizar a Web 3.0 para evitar la desactivación de la cuenta. Bianenc.net"

Jack ve que el mensaje llegó de Binance a través del mismo canal por el que suele recibir sus códigos 2FA. Entonces toma el mensaje como oficial, va al sitio de phishing e ingresa sus credenciales.

Ejemplo 2: cancelar un retiro

Un usuario al que llamaremos Brad recibe un mensaje de texto que dice ser de Binance. El mensaje le recuerda “cancelar el retiro de fondos”. Brad toma el mensaje como oficial y va a un sitio de phishing.

Como resultado, el estafador recibe un nombre de usuario, contraseña y código 2FA, que le permite iniciar sesión en el sitio web oficial de Binance y retirar dinero.

En este ejemplo, Brad no hizo dos cosas:

  • No revisé el enlace a través de Binance Verify.

  • No verifiqué dos veces el mensaje real con el código 2FA, que decía que este código es para retirar fondos y no para cancelar una transacción.

Ejemplo 3: Verificar o actualizar su cuenta

Muchos de nuestros usuarios informan haber recibido SMS falsos con un enlace para verificar o actualizar su cuenta. El mensaje indica que de lo contrario la cuenta será bloqueada. En realidad, el enlace conduce a un sitio de phishing que los estafadores han creado para robar credenciales. Tenga en cuenta que los dominios de dichos SMS son muy similares a los oficiales.

Qué hacer si eres víctima de suplantación de SMS

  • Si sospecha que ha recibido un SMS con información falsa del remitente, comuníquese con la policía de inmediato. Si el SMS se envió en nombre de Binance, infórmelo también a nuestro equipo de soporte.

  • Si su cuenta ha sido pirateada, congele sus fondos para evitar que los atacantes abran nuevas cuentas a su nombre y bloquee todas las tarjetas de crédito y cuentas bancarias. Para proteger sus activos, desactive su cuenta siguiendo las instrucciones de las preguntas frecuentes sobre cómo desactivar su cuenta de Binance.

  • Nunca envíe sus credenciales de Binance, código de autenticación de dos factores o información financiera a nadie a través de SMS, incluso si la solicitud parece legítima. Además de la suplantación de SMS, los estafadores también pueden intentar obtener su información confidencial a través del correo electrónico u otros canales.

  • Vuelva a verificar los dominios relacionados con Binance con Binance Verify. Pero tenga en cuenta que esta herramienta no ofrece una garantía del 100%. Si cree que algo anda mal, tenga mucho cuidado.

información adicional

  • Cómo reconocer el fraude

  • Cómo protegerse: ¿qué son los ataques de apropiación de cuentas?

  • Aplicaciones falsas: cómo detectarlas y evitar ser estafados