'Smishing', suplantación de identidad y desviación de llamadas: los usos más habituales de números de teléfonos robados

Un número de teléfono puede ser una herramienta valiosa para los ciberdelincuentes, ya que con él pueden crear campañas de 'smishing', suplantar la identidad de sus propietarios o desviar las llamadas a números bajo su control, una técnica que les permite recopilar información sensible y utilizarla en contra de sus víctimas. Acceder o interceptar el número de teléfono de una persona no tiene gran complicación, en contraste con los riesgos a los que se exponen los usuarios si acaban siendo víctima de un engaño. De ahí que estos números supongan "la puerta de entrada a una variedad de esquemas fraudulentos", según el director de investigación y concienciación de ESET España, Josep Albors. Estos ataques, que son "rentables y escalables", requieren una inversión mínima por parte de los ciberdelincuentes, de manera que "un solo intento exitoso puede cubrir los costes de toda una operación criminal", en palabras del directivo. En ese sentido, conviene decir que una de las técnicas más habituales es la del 'smishing' y la piratería informática, es decir, campañas en las que los estafadores utilizan mensajes de texto para enviar mensajes o archivos maliciosos que, una vez se abren, pueden instalar 'spyware' o 'malware' en los dispositivos. Una vez que el número de teléfono de una persona llega a manos de los ciberdelincuentes, estos también pueden manipular su línea telefónica, desviando las llamadas a números bajo su control. De esa manera, pueden acceder a datos e información sensible de sus víctimas. Para hacerles daño, los actores maliciosos también proceden al intercambio de la tarjeta SIM, es decir, el proceso mediante el cual transfieren estos números de teléfono robados a sus tarjetas SIM, lo que deja a al víctima sin acceso a su línea. Después, los utilizan para realizar fraudes, para lo que falsifican su identificador de llamadas, mediante sistema de Voz sobre Protocolo de Internet (VoIP), ocultando así su identidad. La firma de ciberseguridad también ha indicado que los ciberdelincuentes pueden ejecutar ataques de 'phishing' para obtener datos en el entorno corporativo, suplantanto a ejecutivos o departamentos de contabilidad para solicitar transferencias de dinero o acceso a sitemas críticos. Asimismo, una de las variantes más peligrosas de estos esquemas es el fraude del CEO, en el que los estafadores se hacen pasar por cargos directivos para realizar solicitudes urgentes de fondos a empleados de nivel más bajo. Con el uso de la Inteligencia Artificial (IA) para clonar voces, estas llamadas parecen ser legítimas y suelen provenir de números auténticos, lo que aumenta la credibilidad del engaño y la posibilidad de éxito. CÓMO PREVENIR ESTAFAS Es posible evitar este tipo de estafas telefónicas pero, para ello, es fundamental verificar el origen de la persona o el remitente que se quiere poner en contacto con nosotros. Siempre que se reciba una solicitud de datos personales de una entidad de confianza, lo mejor es llamarles primero y preguntar si la solicitud recibida es auténtica. También es posible evitar desvíos de llamadas o intercambios de tarjeta SIM. Para ello, conviene solicitar al proveedor u operador de la línea que la proteja utilizando factores de seguridad adicionales, como bloqueos de SIM para impedir su cambio o verificaciones más complejas. Por otro lado, es recomendable tener cuidado con la información que se comparte 'online' y limitar la exposición pública de estos datos, ya que los ciberdelincuentes pueden recopilar toda esta información para hacerse pasar por esas personas. También es necesario proteger las cuentas de autenticación de dos factores con aplicaciones en lugar de SMS, ya que es un método que puede ser fácilmente interceptado y permite a los ciberdelincuentes comprometer las cuentas con facilidad. Para terminar, es esencial emplear 'software' de seguridad en el móvil, ya sea un dispositivo de uso personal o profesional. En este último caso, Eset ha recordado que la defensa contra amenazas móviles y la autenticación segura pueden ayudar a superar todo tipo de riesgos.