“SMS SPOOFING Y SMISHING”, LAS NUEVAS ESTAFAS INFORMÁTICAS SE INCREMENTAN

Antes de comenzar, conviene hacer referencia a otro concepto que es el “phishing”, un término general más amplio que a menudo se centra en correos electrónicos y sitios web engañosos.

El SMS spoofing y el smishing son dos tipos de estafa que utilizan mensajes de texto falsos para obtener información confidencial de víctimas desprevenidas. Ambos se basan en técnicas de ingeniería social, pero difieren en la forma en que se dirigen a la persona. En el primero la suplantación de identidad por SMS se produce cuando un hacker envía un mensaje SMS desde un número irreconocible. El mensaje puede parecer que proviene de alguien conocido, o puede proceder de una empresa u organización de confianza. El objetivo de estos ataques es engañarle para que responda o haga clic en un enlace que descargará “malware” en su teléfono u ordenador y en el caso del smishing, los hackers envían correos electrónicos falsos con enlaces maliciosos incrustados en ellos en lugar de utilizar mensajes de texto. Si se hace clic en el enlace, intentarán instalar malware en el dispositivo o le llevarán a un sitio web falso en el que le pedirán información personal, como números de tarjetas de crédito y de la seguridad social.

Al igual que los ataques de phishing basados en el correo electrónico, estos mensajes engañosos suelen parecer proceder de fuentes fiables y utilizan tácticas de ingeniería social para crear una sensación de urgencia, curiosidad o miedo con el fin de manipular al destinatario para que realice una acción no deseada.

Los “smishers”, es decir, quienes realizan este tipo de estafas, emplean múltiples estrategias y trucos para lograr que los usuarios les faciliten información privada.

Son varias las sentencias que ya han advertido de estas nuevas modalidades, entre las más recientes, la Sentencia 142/2024, de 21 marzo de la Audiencia Provincial de Asturias.

A tenor de la misma, al cliente le resultó imposible saber que estaba ante un SMS fraudulento cuya finalidad era la obtención fraudulenta de sus datos bancarios al utilizar el estafador el propio ID de los SMS de su Banco. Y, precisamente fue ese el motivo por el que introdujo a continuación la clave de seguridad que le fue facilitada por el Banco.

Argumenta la sentencia que “hubo un déficit del sistema de seguridad de la entidad bancaria para evitar esta clase de ataques informáticos (…) Al cliente le resultaba imposible percibir que se trataba de un SMS fraudulento dada la técnica utilizada, pues el estafador utilizaba el propio ID de los SMS del banco (..)”.

El mensaje no advertía, como alega el Banco, de una vinculación con otro dispositivo distinto, lo que hubiera alertado al cliente, sino que hacía referencia solo a dispositivo, sin indicar cuál era, de tal modo que lo que tuvo que  presumir el cliente era que se trataba del propio, que había que vincular de nuevo dado el acceso no autorizado del que había sido informado. Así pues, el actor no introdujo la clave necesaria para llevar a cabo una concreta operación, consistente en la transferencia realizada, sino que, una vez vinculado el dispositivo que utilizaba el ciberdelincuente, a éste le serían remitidas las claves necesarias para las nuevas operaciones que deseara realizar.

Finalmente, la Audiencia Provincial declara la responsabilidad del Banco por la orden de pago no autorizada por su cliente, debiendo restituirle la suma que le fue sustraída. Indica que “además del déficit de su sistema de seguridad a la hora de evitar estas estafas, tan habituales últimamente, debió detectar que se estaba ante un posible fraude por cuanto se trataba de una transferencia con carácter inmediato, por importe de relativa importancia, desde un nuevo dispositivo que acababa de vincularse a la banca digital y a favor de una financiera extranjera de dinero electrónico, tan poco usuales en la práctica (…) pese a que meses antes el Banco de España informó de esta clase de delitos a través de las nuevas modalidades de smishing y spoofing, la entidad bancaria no adoptó las técnicas o medidas de seguridad necesarias y suficientes para evitar que se produjera esta clase de ataques informáticos en su ámbito de actuación, como evidencia el gran número de estafas cometidas por este medio en pocos días con relación a la misma entidad bancaria. (…)»