Cómo proteger sus criptomonedas de ataques de suplantación de SMS

El punto principal

• La suplantación de SMS es un tipo de fraude que se basa en la ingeniería social para engañar a las víctimas para que envíen dinero o compartan información confidencial.

• Los atacantes cambian la identidad del remitente para que los mensajes SMS parezcan provenir de una fuente confiable.

• ¿Has recibido SMS falsos? Informe inmediatamente el incidente a las autoridades.

Obtenga información sobre la suplantación de SMS y cómo proteger sus datos personales y criptográficos de los atacantes.

Las tendencias en la industria del fraude cambian tan rápidamente como en cualquier otra industria. Anteriormente, la estafa por correo electrónico del príncipe nigeriano era muy popular. Actualmente, el fraude más común son los ataques de suplantación de SMS.

A diferencia de los exploits, que son intentos de los piratas informáticos que intentan utilizar código para acceder a las bases de datos de los usuarios, los ataques de suplantación de SMS utilizan principalmente ingeniería social. Esto significa que los estafadores intentarán hacerse pasar por una fuente confiable para engañar a víctimas desprevenidas para que envíen dinero o compartan información confidencial, como detalles de su billetera.

En este artículo, analizaremos la mecánica de los ataques de suplantación de SMS, las diversas formas en que los atacantes pueden atacarlo y cómo usted, como usuario, puede proteger sus fondos.

¿Cómo funciona la suplantación de SMS?

Los atacantes modifican la identidad del remitente (el nombre o número de teléfono que aparece en el teléfono del destinatario) para que el mensaje de texto parezca como si proviniera de una fuente confiable. El objetivo es engañar a la víctima para que siga las instrucciones del mensaje.

Se pueden enviar SMS falsos a la bandeja de entrada de su teléfono con un nombre o número de teléfono falso, o ambos. Por ejemplo, el texto que aparece en "Binance" puede ser de un estafador que intenta engañarlo para que descargue malware, comparta detalles de su cuenta o haga clic en un enlace malicioso.

Desafortunadamente, los mecanismos que permiten la suplantación de SMS se encuentran en una zona legal gris en muchas regiones del mundo. Algunos países han prohibido rotundamente la práctica, mientras que otros aún tienen que abordar el uso indebido de cambiar la identidad de los remitentes de SMS.

De hecho, existen varios casos de uso legítimos para cambiar el nombre del remitente tal como aparece en el lado del destinatario. Por ejemplo, una empresa podría ejecutar una campaña de marketing por SMS y utilizar una identidad de submarca en lugar de la marca principal o el número de teléfono.

¿Cómo reconocer y evitar la suplantación de SMS?

Incluso la infraestructura de seguridad líder en la industria puede hacer poco para proteger a los usuarios que envían voluntariamente sus contraseñas a los piratas informáticos. La primera línea de defensa es siempre el usuario. Si deseas almacenar tus fondos de forma segura, debes permanecer alerta en todo momento y convertir en hábito las siguientes prácticas.

1. Verificar mensajes entrantes

Siempre verifique la fuente de los mensajes entrantes antes de responder. Tenga cuidado con los mensajes inesperados o que parezcan sospechosos. Puede verificar los mensajes personalizados de Binance utilizando la herramienta Binance Verify o enviando una captura de pantalla del mensaje a nuestro equipo de soporte. Para otros servicios, debe enviar un mensaje a la plataforma respectiva directamente a través de su sitio web oficial u otros canales confiables.

2. Habilite la autenticación de dos factores

La Autenticación de dos factores (2FA) agrega una capa adicional de seguridad contra los atacantes que intentan obtener acceso a su cuenta, incluso mediante la suplantación de SMS. Habilite siempre 2FA para cada cuenta que lo admita.

Si se usan correctamente, los códigos 2FA pueden ayudar a proteger su cuenta. Ingrese su código 2FA solo en el sitio web oficial. Asegúrese de volver a verificar sus mensajes 2FA para ver para qué se utilizan.

3. No compartas información personal

Evite compartir información confidencial (por ejemplo, contraseñas, números de tarjetas de crédito, números de seguro social y otros identificadores emitidos por el gobierno) a través de mensajes de texto, especialmente con contactos no verificados.

4. Evite enlaces sospechosos

No haga clic en ningún enlace que le hayan enviado por mensaje de texto sin verificar primero su legitimidad. El enlace puede conducir a un sitio web de phishing que intenta robar sus credenciales de inicio de sesión o instalar malware en su dispositivo.

No acceda a sitios con el símbolo "Sin clave" o URL no cifradas (HTTP, no HTTPS). Siempre verifique la URL antes de hacer clic. Asegúrate de utilizar sólo sitios web oficiales. Por ejemplo, si no está seguro de si un enlace, correo electrónico, número de móvil, ID de WeChat, cuenta de Twitter o ID de Telegram asociado con Binance proviene de una fuente oficial, puede verificarlo en Binance Verify

Para obtener información general sobre cómo proteger sus fondos criptográficos, puede explorar la sección de seguridad de nuestras Preguntas frecuentes o de nuestra Binance Academy.

A continuación se muestra una lista de sitios web sospechosos que hemos identificado y que intentan parecer afiliados a Binance. Evite todos estos sitios web. El nombre de dominio también da una idea de cómo es un sitio web “falso de Binance” que intenta engañar a los usuarios.

Tipos de suplantación de SMS

Los objetivos y mecanismos de los ataques de suplantación de SMS pueden variar. El equivalente es que se reemplaza el número o nombre del remitente real, para que los estafadores puedan aparecer como otra persona. Los escenarios comunes en los que alguien podría atacarlo con suplantación de SMS incluyen transferencias de dinero y suplantaciones de acoso.

En el primer caso, los estafadores se harán pasar por un proveedor legítimo de servicios financieros, como Binance, y luego enviarán mensajes cortos a la víctima, por ejemplo, sobre transacciones de reembolso falsas. Estos mensajes suelen pedir a los destinatarios que escaneen un código QR o accedan a un enlace para solicitar un reembolso.

La suplantación de SMS también la utilizan los acosadores y ciberacosadores que quieren intimidar a sus víctimas enviándoles mensajes amenazantes o inapropiados desde números desconocidos o con nombres aleatorios.

Ejemplos reales de ataques de suplantación de SMS

Ejemplo 1: mensaje 2FA falso

Un usuario, llamémoslo Jack, recibió un mensaje que decía: "[Binance] El usuario necesita actualizar Web 3.0 para evitar que su cuenta sea deshabilitada. Bianenc.net".

Jack vio que el remitente era "Binance" y que el mensaje provenía del mismo canal del que normalmente recibía su código 2FA. Jack asume que se trata de un mensaje legítimo, por lo que inicia sesión en el sitio web de phishing y le proporciona los detalles de su cuenta al estafador.

Ejemplo 2. "Cancelación de Retiro"

Un usuario, llamémosle Brad, recibió un mensaje SMS de alguien con la dirección de remitente "Binance". El mensaje le recordaba a Brad que "cancele su retiro en este momento". Brad creyó que el mensaje era oficial y se conectó al sitio web de phishing.

El hacker logró usar el nombre de usuario, la contraseña y 2FA de Brad para iniciar sesión en el sitio web oficial de Binance y luego realizar un retiro de efectivo.

En este ejemplo, el usuario no pudo hacer dos cosas:

• Verifique el enlace en Binance Verify.

• Vuelva a verificar el mensaje 2FA real, que en realidad contiene información de que el código 2FA se utiliza para realizar un retiro, no para cancelarlo.

Ejemplo 3. Cuenta "Verificar" o "Actualizar"

Muchos de nuestros usuarios han informado haber recibido SMS falsos que contienen enlaces para verificar o actualizar sus cuentas. Como se explica en el mensaje, la cuenta será bloqueada si no realiza las acciones requeridas. En realidad, el enlace del mensaje de texto conduce a un sitio web de phishing diseñado para robar detalles de la cuenta. Tenga en cuenta que los dominios en estos mensajes de texto intentan parecer empresas legítimas.

Si usted es el blanco de la suplantación de SMS

• Si sospecha que alguien le ha enviado SMS falsos, comuníquese con las autoridades policiales pertinentes de inmediato. Si la suplantación de SMS está relacionada con Binance, envíe también un informe al equipo de Soporte de Binance.

• Si su cuenta ha sido comprometida, congele sus tarjetas de crédito y cuentas bancarias, y congele su crédito para evitar que los delincuentes abran nuevas cuentas a su nombre. Para proteger sus activos, también debe desactivar su cuenta siguiendo los pasos de esta guía de preguntas frecuentes: Cómo desactivar mi cuenta de Binance.

• Nunca envíes los detalles de tu cuenta de Binance, el código 2FA o información financiera a nadie, incluso si la persona que lo solicita parece legítima a primera vista. Además de la suplantación de SMS, los estafadores también pueden intentar engañarle por correo electrónico u otros canales.

• Vuelva a verificar el dominio asociado con Binance en Binance Verify. Sin embargo, tenga en cuenta que esta herramienta no garantiza que estará libre de fraude. Aún así debes tener cuidado si sientes que algo no está bien.

Otras lecturas

• Conozca su estafa

• Mantenga la seguridad: ¿Qué es un ataque de apropiación de cuentas?

• Guía sobre aplicaciones falsas: cómo reconocerlas y evitarlas