"Tus puntos están por caducar...": Alerta por SMS fraudulentos
Están circulando mensajes SMS fraudulentos que advierten sobre puntos por caducar, usando marcas reconocidas como LATAM, Copec, Movistar y Entel para engañar a los usuarios. Aprende a identificarlos y evitar caer en el smishing.
Múltiples mensajes de texto que aseguran que "tus puntos están por caducar" han llegado a los teléfonos móviles de los chilenos desde remitentes que se hacen pasar por empresas como LATAM Airlines, Copec, Movistar o Entel, en una práctica fraudulenta conocida como smishing.
Esto consiste en el envío masivo de enlaces fraudulentos a miles de usuarios simultáneos, haciéndose pasar por una compañía que genere confianza. Así, el usuario ingresa sus datos personales e información sensible.
El director de Consultoría en Riesgo y TI de Forvis Mazars, Darío Rojas, explicó que "es necesario mantener siempre un alto nivel de escepticismo frente a ofertas que sean muy tentadoras, ya que podrían ser falsas. A veces, consultar en la web por el mensaje recibido, también nos podría indicar si se trata de un mensaje fraudulento o no".
A esto, Rojas agrega que "el tema de la ciberseguridad es bastante ágil y cambiante, ya que a medida que se cubren brechas, aparecen otras nuevas, lo que transforma a la seguridad en una constante de riesgo, y por ende, en una constante de nuevas medidas que se deben estar analizando en el mercado día a día".
Ejemplos de smishing con mensajes de "tus puntos están por caducar", lo que genera una sensación de urgencia en los usuarios que los reciben.
¿Qué dicen las empresas?
Ante este intento de fraude con el mensaje "tus puntos están por caducar", las empresas están tomando medidas.
Copec aseguró a Chócale que ya ha detectado "el uso indebido de la marca mediante mensajes de texto falsos sobre puntos Full Copec, que incluyen enlaces fraudulentos". Desde la compañía afirman que en este tipo de casos realizan las denuncias correspondientes.
"En Copec no solicitamos información personal ni enviamos enlaces por esta vía. Informamos constantemente a nuestros clientes sobre este tipo de estafas a través de nuestros canales oficiales para proteger su seguridad", señalan.
Por otro lado, en Entel afirman estar al tanto de los antecedentes. Recalcaron que la empresa "cuenta con un canal de SMS oficial, donde el remitente de estos mensajes figura de manera predefinida como Entel y no como un número desconocido. Además, estos mensajes no pueden responderse, es decir, no se puede generar una 'conversación' con Entel”.
"Estamos permanentemente entregando recomendaciones en materia de ciberseguridad a nuestros clientes y usuarios para reconocer así los diferentes tipos de amenazas que hay en la web", señalan desde la compañía, y aseguran que es posible de constatar en todas sus redes sociales oficiales.
El gerente de Seguridad e Inteligencia de Movistar Chile, Miguel Cisterna, finalmente, agrega que realizan "un monitoreo constante para detectar y reportar sitios web fraudulentos que utilizan nuestro nombre y marca de manera ilegítima".
Por su parte, la aerolínea LATAM en sus redes sociales ha hecho llamados a proteger los datos personales. Así, a través de este medio recomendaron nunca abrir enlaces sospechosos ni responder mensajes de desconocidos, además de instar a siempre chequear los canales oficiales. La empresa no respondió a las consultas de este medio.
Cómo opera el smishing de "Tus puntos están por caducar..."
El gerente del Equipo Global de Respuestas a Emergencias para Américas en Kaspersky, Eduardo Chavorro, afirma que "el phishing por SMS puede contar con la ayuda de malware o sitios web fraudulentos. Se produce en muchas plataformas de mensajería de texto móvil, incluidos canales que no son SMS".
Chamorro explica que "los principios de ingeniería social permiten a los atacantes que utilizan el smishing manipular la toma de decisiones de la víctima". Lo hacen a través de tres factores que impulsan el engaño: la confianza, el contexto y la emoción.
El ejecutivo de Kaspersky asegura que la información que se suele solicitar corresponde a datos de tarjetas de crédito o débito, claves bancarias, fotos de documentos personales o incluso direcciones.
"Una vez que los ciberdelincuentes acceden a estos datos pueden robar dinero de las cuentas, obtener nuevas cuentas bancarias o créditos financieros y realizar grandes compras o transacciones a nombre del defraudado", señala.
En el caso de los SMS que dicen "Tus puntos están por caducar", los delincuentes llevan al usuario a una web semejante en colores y diseño a la empresa suplantada. Se le pide ingresar su RUT o número de teléfono, para luego mostrarle que tiene puntos disponibles para canjear productos de un catálogo. Estos estarían próximos a vencer, lo que genera sensación de urgencia.
El fraude se busca concretar exigiendo un supuesto copago para el costo de envío del producto a domicilio.
Recomendaciones de seguridad
Inicialmente, Darío Rojas de Forvis Mazars recomienda "bloquear el número del contacto para no seguir recibiendo estos mensajes. En el caso de utilizar una herramienta tecnológica para esto, confirmar que el número quede registrado como posible spam o fraude".
Para Rojas, "los filtros de spam son muy útiles, ya que capturan lo más obvio, sin embargo, debemos estar preocupados de actualizarlos para que estén al día con las tendencias de seguridad móvil".
Miguel Cisterna, gerente de Seguridad e Inteligencia de Movistar Chile, por su parte, insta a desconfiar de todo SMS que provenga de fuentes desconocidas o que tenga errores evidentes en el texto. Además, aconseja revisar los canales oficiales de la empresa cuando se trate de mensajes que avisan sobre cancelación de servicios o boletas impagas.
Chavorro agrega que, al recibir SMS con carácter de urgente, "la recomendación es ignorar dicho mensaje. Hay que dirigirse a la página oficial de la supuesta empresa para verificar que se trate de un ofrecimiento real".
El representante de Kaspersky destaca que "ninguna empresa reconocida solicita a los usuarios que entreguen datos personales por mensaje o alguna plataforma externa. Por eso hay que evitar brindar información sensible hasta que hayas comprobado que el proceso es legítimo".
Cómo enfrentarse al problema
En el caso de caer en este tipo de fraude, como el de "tus puntos están por caducar" u otro similar, el ejecutivo de Kaspersky recomienda tomar una serie de medidas para limitar el daño: Reportar el caso a las autoridades, como la Polícia de Investigaciones (PDI). Congelar sus tarjetas o créditos para evitar fraudes de identidad. Cambiar todas las contraseñas y PIN de acceso a cuentas. Activar las notificaciones sobre inicio de sesión en otros dispositivos. Estar atentos a notificaciones de transferencias bancarias.
Para el especialista de Forvis Mazars, además, "las empresas de telecomunicación deben invertir en herramientas que ofrezcan mayor seguridad en sus líneas, así como las autopistas deben invertir en la seguridad de sus carreteras". "Vemos que algunas autopistas son multadas por defectos en su infraestructura. Quizás en un futuro no lejano las empresas de telecomunicación puedan pasar por lo mismo", puntualiza.
