Principales conclusiones

  • La suplantación de identidad por SMS es un tipo de estafa que se basa en la manipulación psicológica para engañar a las víctimas para que envíen dinero o compartan información confidencial. 

  • Los atacantes modifican la identidad del remitente para que el SMS parezca provenir de una fuente confiable. 

  • ¿Alguna vez has recibido un SMS falso? Informe el incidente a la policía de inmediato. 

Obtenga información sobre la suplantación de SMS y cómo proteger sus criptomonedas y datos personales de los atacantes. 

Al igual que otros sectores, las tendencias del fraude cambian rápidamente. Anteriormente, las estafas por correo electrónico enviadas por un príncipe nigeriano eran las más comunes, pero hoy en día predominan los ataques de suplantación de identidad por SMS.

A diferencia de los exploits en los que un pirata informático intenta utilizar código para acceder a la base de datos de un usuario, los ataques de suplantación de identidad por SMS utilizan principalmente manipulación psicológica. Esto significa que el estafador intentará hacerse pasar por una fuente confiable en un intento de engañar a las víctimas para que envíen dinero o compartan información confidencial, como detalles de la billetera. 

En este artículo cubriremos cómo funcionan los ataques de suplantación de SMS, las diferentes formas en que los atacantes pueden atacarlo y cómo usted, como usuario, puede proteger sus fondos. 

¿Cómo funciona la suplantación de SMS?

El atacante modifica la identidad del remitente (el nombre o número de teléfono que aparece en el teléfono del destinatario) para que su mensaje de texto parezca como si proviniera de una fuente confiable. El objetivo aquí es engañar a la víctima para que siga las instrucciones del mensaje. 

El SMS falso puede llegar a la bandeja de entrada de su teléfono con un nombre falso, un número de teléfono falso o ambos. Por ejemplo, un mensaje de texto de Binance puede ser en realidad de un estafador que intenta engañarlo para que descargue malware, comparta los detalles de su cuenta o haga clic en un enlace malicioso. 

Lamentablemente, los mecanismos que permiten la suplantación de SMS se concentran en condiciones legales ambiguas en muchas regiones del mundo. Algunos países han prohibido completamente la práctica, mientras que otros aún tienen que abordar el abuso de la identificación del remitente de SMS. 

De hecho, existen algunos casos de uso legítimos para cambiar el nombre del remitente que muestra el destinatario. Por ejemplo, una empresa podría ejecutar una campaña de marketing por SMS y utilizar una identidad de submarca en lugar de la marca principal o el número de teléfono. 

¿Cómo identificar y evitar ataques de suplantación de SMS?

Ninguna infraestructura de seguridad en la industria, por fuerte que sea, puede proteger a un usuario que envía voluntariamente su contraseña a un hacker, ya que la primera línea de defensa es siempre el usuario. Si quieres mantener tu dinero seguro, debes permanecer alerta en todo momento y hacer de las siguientes prácticas parte de tu hábito. 

1. Verifique los mensajes entrantes

Siempre verifique la fuente de un mensaje entrante antes de responder. Tenga cuidado con el spam o los mensajes que parezcan sospechosos. Puede verificar los mensajes de Binance utilizando la herramienta Binance Verify o enviando una captura de pantalla del mensaje a nuestro equipo de soporte. Para otros servicios, debe enviar un mensaje a la plataforma correspondiente directamente a través de su sitio web oficial u otros canales confiables.

2. Habilite la autenticación de dos factores 

La autenticación de dos factores (2FA) agrega una capa adicional de seguridad para proteger contra atacantes que intentan acceder a sus cuentas de varias maneras, incluida la suplantación de identidad mediante SMS. Habilite siempre la autenticación de dos factores (2FA) para cualquier cuenta que admita esta función. 

Cuando se usan correctamente, los códigos de autenticación de dos factores (2FA) pueden ayudar a proteger su cuenta. Ingrese códigos 2FA solo en sitios web oficiales y asegúrese de verificar el mensaje 2FA para ver para qué sirve. 

3. No compartas información personal 

Evite compartir información confidencial (como contraseñas, números de tarjetas de crédito, números de Seguro Social y otros identificadores emitidos por el gobierno) a través de mensajes de texto, especialmente con contactos no verificados.

4. Evite enlaces sospechosos

No haga clic en ningún enlace que le envíen por mensaje de texto sin verificar primero que estos enlaces sean legítimos, ya que pueden llevarlo a sitios web de phishing que intentan robar sus credenciales de inicio de sesión o instalar malware en su dispositivo. 

No acceda a sitios con íconos sin bloqueo o URL no cifradas (HTTP en lugar de HTTPS) y verifique siempre la URL antes de hacer clic. Asegúrese de utilizar únicamente sitios web oficiales. Por ejemplo, si no está seguro de si su enlace de Binance, correo electrónico, número de teléfono, ID de WeChat, cuenta de Twitter o ID de Telegram es oficial, puede verificarlo en Binance Verify. 

Para obtener información general sobre cómo proteger sus fondos en criptomonedas, puede navegar por las secciones de seguridad de nuestras Preguntas frecuentes o de Binance Academy. 

A continuación se muestra una lista de sitios web sospechosos que hemos identificado y que intentan parecer afiliados a Binance. Manténgase alejado de todos ellos. Los nombres de dominio de estos sitios le dan una idea de cómo podría verse un sitio web falso de Binance cuyos creadores intentan engañar a los usuarios.

Tipos de ataques de suplantación de SMS

Los ataques de suplantación de SMS pueden variar en sus objetivos y mecanismos, pero todos tienen en común la sustitución del número o nombre real del remitente, lo que permite a los estafadores hacerse pasar por otra persona. Las transferencias de dinero o el spam son escenarios comunes cuando alguien intenta enviarle un mensaje de texto falso.

En el primer caso, los estafadores se hacen pasar por un proveedor legítimo de servicios financieros como Binance y envían a las víctimas mensajes de texto sobre una transacción de reembolso falsa, por ejemplo. Estos mensajes suelen pedir a los destinatarios que escaneen un código QR o hagan clic en un enlace para reclamar un reembolso en efectivo.

La suplantación de identidad por SMS también es un método utilizado por acosadores y ciberacosadores que quieren intimidar a sus víctimas enviándoles amenazas o mensajes inapropiados desde números desconocidos o nombres aleatorios.

Ejemplos de la vida real de ataques de suplantación de SMS

Ejemplo 1: mensaje 2FA falso

El usuario, lo llamaremos Jack, recibe un mensaje que dice: "Los usuarios de [Binance] deben actualizar a Web 3.0 para evitar que se deshabiliten las cuentas de Bianenc.net".

Jack ve que el remitente es Binance y que el mensaje llegó a través del mismo canal del que normalmente recibe sus códigos 2FA. Jack asume que se trata de un mensaje oficial e inicia sesión en el sitio de phishing, proporcionando así los detalles de su cuenta al estafador.

Ejemplo 2. “Cancelar retiro”

Un usuario, lo llamaremos Brad, recibe un SMS de alguien con una dirección de remitente de Binance. El mensaje incluye un recordatorio para que Brad "cancele el retiro actual". Brad cree que el mensaje es oficial, por lo que inicia sesión en el sitio de phishing. 

El pirata informático pudo utilizar el nombre de usuario, la contraseña y el código de autenticación de dos factores de Brad que se envió para iniciar sesión en el sitio web oficial de Binance y realizar una transacción de retiro de efectivo. 

En este ejemplo, el usuario hizo dos cosas:

  • Verifique el enlace en Binance Verify.

  • Vuelva a verificar el mensaje del código 2FA real que en realidad indica que el código 2FA se utilizó para iniciar el retiro, no para cancelarlo. 

Ejemplo 3. "Verificar" o "actualizar" una cuenta

Muchos de nuestros usuarios han informado haber recibido un SMS falso con un enlace para verificar o actualizar su cuenta. Según el mensaje, si no se realiza la acción requerida, se bloqueará la cuenta. Pero el enlace en el mensaje de texto lleva al usuario a un sitio web de phishing diseñado para robar detalles de la cuenta. Tenga en cuenta que estos mensajes de texto intentan parecer como si fueran de partes legítimas.

Si ha sido blanco de ataques de suplantación de SMS

  • Si sospecha que alguien le ha enviado un SMS falso, comuníquese inmediatamente con la autoridad policial correspondiente. Si la estafa por SMS está relacionada con Binance, infórmelo también al equipo de soporte de Binance.

  • Si su cuenta ha sido pirateada, congele su crédito para evitar que los delincuentes abran nuevas cuentas a su nombre y también congele sus tarjetas de crédito y cuentas bancarias. Para proteger sus activos, también debe desactivar su cuenta siguiendo los pasos de esta guía de preguntas frecuentes: Cómo desactivar mi cuenta de Binance.

  • Nunca envíe los detalles de su cuenta de Binance, el código de autenticación de dos factores o información financiera a nadie a través de mensajes de texto, incluso si la entidad que solicita estos datos parece legítima a primera vista. Además de la suplantación de identidad por SMS, los estafadores también pueden intentar estafarlo por correo electrónico u otros canales. 

  • Vuelva a verificar cualquier dominio relacionado con Binance en Binance Verify. Sin embargo, tenga en cuenta que la herramienta no es completamente infalible y debe tener cuidado si siente que algo le resulta sospechoso. 

Artículos relacionados

  • Más información sobre estafas

  • Manténgase a salvo: ¿Qué son los ataques de secuestro de cuentas? 

  • Una guía sobre aplicaciones falsas: cómo detectarlas y evitarlas