Por Kevin Collier – NBC News
Sólo hizo falta un momentáneo fallo de juicio para que Alyssa Beckwith cayera en la estafa.
El mensaje de texto que recibió parecía legítimo, incluso esperado. Después de que le robaran algunos datos personales hace unos años, se apuntó a las alertas de texto de su banco, Wells Fargo, para confirmar cada vez que hiciera una nueva compra. Y ese paso para protegerse, irónicamente, es lo que la convirtió en un objetivo fácil.
Cuando un estafador envió un mensaje de texto a Beckwith en abril, diciéndole que su tarjeta de Wells Fargo había sido cargada con 240 dólares y que "se pusiera en contacto si sospechaba", no se lo pensó dos veces y llamó. Una voz robótica le dio la bienvenida a Wells Fargo y le pidió que se verificara, por lo que introdujo su número de tarjeta de crédito, su número de la Seguridad Social y su fecha de nacimiento.
"Esta información es válida. Gracias", dijo la voz, y colgó. Sólo entonces se dio cuenta de su error.
"Quedé impactada", dijo Beckwith en una entrevista telefónica, "me sorprendió que no me hubieran puesto en contacto con alguien con quien hablar. Normalmente eso es lo que ocurre. Fue entonces cuando pensé: 'Dios mío, dios mío, creo que esto es una estafa".
En pocos minutos, Beckwith se convirtió en la última víctima del smishing, o phishing por SMS, en el que un estafador envía un mensaje de texto para engañar a una persona para que entregue información personal sensible, que puede ser utilizada para todo tipo de fraudes, como desviar dinero de su cuenta bancaria o abrir tarjetas de crédito a su nombre.
[Este actor de Hollywood fue arrestado por una presunta estafa piramidal de 227 millones de dólares]
Los mensajes de texto no deseados han existido prácticamente desde que existen los propios mensajes de texto. Pero con el aumento del número de personas que utilizan sus teléfonos para realizar pagos, y muchos sitios de bancos y empresas de servicios públicos que verifican las cuentas de los usuarios a través de mensajes de texto, se han abierto las compuertas del fraude.
La Comisión Federal de Comercio recibió 334,833 quejas sobre mensajes de texto fraudulentos en 2020, más del doble que el año anterior. Las personas de todo el mundo estuvieron expuestas a un 125% más de intentos de smishing cada tres meses, según un nuevo estudio de la empresa de ciberseguridad Lookout.
Jacinta Tobin, vicepresidenta de Proofpoint, una empresa de ciberseguridad especializada en amenazas a los teléfonos celulares, dijo que los estafadores y los hackers criminales se dieron cuenta que cada vez más comerciantes y empresas interactúan con la gente a través de mensajes de texto, y simplemente siguieron esa tendencia.
"Antes, el texto era un canal muy limpio, relativamente, de igual a igual. No te comunicas con extraños a través del texto. Son sólo amigos", dijo Tobin en una entrevista telefónica, "pero ahora los mensajes de texto se han abierto como un canal de comunicación más general para las empresas, como confirmaciones de transacciones, alertas de fraude".
[Aumentan las estafas relacionadas con la vacuna contra el COVID-19, según autoridades]
Los mensajes de estafa y phishing enviados a través de texto son especialmente tenaces porque hay poca capacidad para bloquearlos. Los buenos proveedores de correo electrónico bloquean ahora la mayoría de los mensajes basura y de phishing, lo que hace que el spam por correo electrónico sea una sombra del problema que era antes. Aunque las llamadas telefónicas no deseadas son molestas, al menos puedes mirar el número de la persona que llama y decidir no coger la llamada.
Pero, aunque los teléfonos inteligentes son casi omnipresentes (el 97% de las personas en Estados Unidos tiene uno), es muy poco lo que se puede hacer para evitar los mensajes de texto no deseados.
Apple y Google, los respectivos fabricantes de los sistemas operativos para teléfonos inteligentes iOS y Android, aconsejan a los usuarios bloquear los números no deseados, pero a los estafadores les resulta tan fácil fingir que envían un mensaje desde un número diferente que esas estrategias carecen de sentido.
Apple, al menos, permite a los usuarios filtrar todos los mensajes de personas que no están ya en sus contactos, pero eso no señala qué textos pueden ser una estafa, y los pone en la misma carpeta que los mensajes auténticos de números no guardados.
Las filtraciones de información personal de los usuarios -incluidos sus números de teléfono- son frecuentes, y los hackers comercian regularmente con los datos de las personas con estafadores ansiosos. Es tan común que en abril, después de que los investigadores se dieran cuenta de que los piratas informáticos eran capaces de obtener más de 500 millones de nombres y números de teléfono de usuarios de Facebook, la red social envió accidentalmente a un reportero holandés un memorando interno en el que se decía: "Preveemos que haya más incidentes de scraping y creemos que es importante tanto enmarcar esto como un problema amplio de la industria como normalizar el hecho de que esta actividad ocurre regularmente".
Tampoco hay muchos indicios de que las autoridades estén haciendo mucho al respecto o tengan consejos para el público en general. Cuando Beckwith se dio cuenta de que había caído en una estafa, se puso en contacto con la Comisión Federal de Comercio, que no le respondió, y con la Administración de la Seguridad Social, que le dijo que vigilara su crédito.
Pero esa fue toda la ayuda que le dieron, y aunque no ha notado que nadie haya pedido un préstamo a su nombre, los mensajes de spam no han hecho más que empeorar.
[Alertan sobre el aumento de estafas disfrazadas de spam. Aquí algunos consejos para protegerse]
"Recibo textos sobre 'su paquete de UPS está esperando, por favor, haga clic en este enlace para confirmar", dijo. "Textos de Amazon, recibo uno de esos casi todos los días", agregó.
Aunque las compañías telefónicas cuentan con algunas medidas antispam, su proceso de protección contra los estafadores es muy escaso y ofrecen poca ayuda específica a los clientes. Sprint y Verizon no respondieron a la solicitud de comentarios. AT&T rechazó comentar, pero señaló la guía oficial de la Asociación de Telecomunicaciones Celulares e Internet, un grupo comercial del sector, que tiene algunas recomendaciones para los usuarios que reciben mensajes de spam, entre ellas: "Si recibes mensajes que no quieres, responde STOP".
Responder "STOP" a una empresa de marketing o inscribirse en la lista de "No llamar" de la FTC puede reducir el spam de las empresas que pretenden cumplir la ley. Pero los expertos en seguridad advierten que, dado que muchos estafadores no tienen interés en cumplir la ley.
Donna Gregory, jefa de la unidad del Centro de Denuncias de Delitos en Internet del FBI, advirtió del peligro de responder a aparentes intentos de smishing.
[Alertan sobre estafas en plena temporada de impuestos, ¿cómo protegernos?]
"Si responden, demuestran que hay alguien al otro lado. Puede que solo estén buscando números vivos", dijo Gregory en una entrevista telefónica.
Tobin, de la empresa de ciberseguridad Proofpoint, dijo que responder a los ataques de smishing probablemente convierte en un objetivo.
"La inteligencia sobre ti no se disipa sino que se acumula", dijo, "cada ataque que ocurre, cada texto que respondes o cada llamada que respondes. Incluso si el atacante no obtiene ese dinero de ti, puede obtenerlo vendiendo tu información".
Para la mayoría de la gente, caer en un ataque de smishing supone perder dinero o acabar con un mayor riesgo de robo de identidad. Pero los mensajes de texto también son el método de entrega preferido para la forma más extrema de hackeo telefónico, cuando los delincuentes o los países obtienen el control total de un teléfono, convirtiéndolo en un micrófono secreto o robando todos sus correos electrónicos y textos.
John Scott-Railton, investigador principal del Citizen Lab de la Universidad de Toronto, dijo que a menudo ve a piratas informáticos que trabajan para países autoritarios enviando textos a los disidentes que intentan engañarlos para que descarguen un programa que les dará acceso a su teléfono. Muchos fingen ser parte del proceso de autenticación de dos factores, en el que un usuario verifica su identidad a través de una vía adicional a su nombre de usuario y contraseña.
[Alertan por una nueva modalidad de estafa telefónica en EE.UU.]
Aunque los expertos en ciberseguridad recomiendan el uso de una aplicación de celular dedicada y de confianza para configurar el doble factor, muchas empresas siguen haciéndolo a través de textos.
"Los mensajes de texto siguen siendo un resquicio legal", dijo Scott-Railton en una llamada telefónica, "los ciberdelincuentes lo saben y los utilizan. Los gobiernos que quieren hacer chanchullos también los utilizan porque los mensajes de texto están especialmente bien preparados para explotar toda una categoría de ataques de restablecimiento de contraseñas de cuentas y tomas de posesión."
"El verdadero problema es que el mensaje de texto como segundo factor sigue siendo extremadamente común", dijo, "y mientras siga siendo extremadamente común, el phishing a través de mensajes de texto también será realmente común, porque la gente está condicionada a esperar que las cosas importantes puedan llegar a través de mensajes de texto".
Sin una solución fácil en el horizonte, a la mayoría de la gente no le queda más remedio que extremar las precauciones para no hacer clic en los enlaces que les envían personas que no conocen.
"Los números de los SMS se pueden falsificar fácilmente", dijo Tobin, "no haga clic en una URL en un mensaje de texto. No confíe en las URL de los mensajes de texto a menos que tenga más garantías. Si recibes un mensaje de texto de un banco o un comercio, escribe la URL en tu navegador por separado".