El peligro del ‘smishing’: ciberdelincuentes intensifican el uso de mensajes SMS para fraudes en Perú

Infobae Perú se comunicó con especialistas, quienes mostraron su preocupación por la proliferación de este delito informático y destacan la necesidad urgente de la implementación de medidas

Los estafadores envían mensajes que parecen provenir de fuentes confiables, como bancos, tiendas o servicios de entrega, instando a la víctima a hacer clic en enlaces maliciosos o proporcionar datos sensibles - Créditos: Freepik/Composición Infobae Perú.

El fraude informático, especialmente a través de celulares robados, se ha convertido en uno de los delitos más frecuentes en el Perú. Según datos recientes, el 2023 marcó un récord de denuncias, con 21.842 casos presentados ante las fiscalías provinciales penales y mixtas del país. Esto representa un incremento del 58 % respecto al año anterior, de acuerdo con el diario El Peruano.

La Unidad Fiscal Especializada en Ciberdelincuencia inició funciones en 2021 con el objetivo de combatir esta creciente ola de crímenes digitales. Desde el 15 de junio de ese año hasta el 29 de febrero de 2024, se han registrado 33,372 denuncias en investigación, de los cuales se lograron resolver 23.016 de estas. Estos números reflejan el auge de este tipo de delincuencia y la necesidad de mayor acción.

Uno de los delitos más comunes es el smishing. Según Erick Iriarte, abogado experto en legislación informática, en conversación con Infobae Perú, este fraude “es un ataque de ingeniería social que utiliza mensajes de texto móviles falsos para engañar a las personas para que descarguen un virus, compartan información confidencial o envíen dinero a un delincuente. El término es una combinación de “SMS” (o “servicio de mensajes cortos”) y phishing”. Este proviene del inglés y está relacionado con la palabra fishing (pescar), ya que los estafadores “pescan” datos personales sensibles de sus víctimas.

El aumento de estafas a través de SMS está transformando el panorama criminal, con un marcado incremento en denuncias por ´smishing´ - Créditos: Andina.

De la misma forma, Diego Vences, experto en Data y Analytics de la empresa MoneyGram, explicó para este medio que “los SMS más comunes son aquellos que simulan emergencias o solicitudes de ayuda de familiares y amigos, intentando presionar a la víctima para que realice una transferencia de dinero. También son frecuentes los mensajes que suplantan a instituciones bancarias o que ofrecen empleos y premios falsos”.

Diego Vences, experto en Data y Analytics, habló acerca del fraude electrónico 'smishing'

El papel de las instituciones y la necesidad de medidas

Por su parte, Crisólogo Cáceres, presidente de la Asociación Peruana de Consumidores y Usuarios (ASPEC), destacó, en conversación con este medio sobre la gravedad del smishing en el Perú. “Aunque las cifras exactas pueden variar, informes de diversas entidades de seguridad han demostrado un incremento. Las tendencias observadas en los últimos años indican un aumento significativo de estos ataques, impulsados por la mayor dependencia de la tecnología y el uso de dispositivos móviles para diversas transacciones diarias”, señaló

Destaca que existen hay problemas fundamentales relacionados con este delito. En primer lugar, mencionó la ausencia de una legislación específica que aborde este tipo de fraude. Además, subraya la falta de concientización y educación entre los consumidores, lo que los deja vulnerables a estas estafas.

Asimismo, propuso una serie de medidas regulatorias para mejorar la protección de los usuarios. Estas incluyen la promulgación de una ley que sancione tanto el smishing como el phishing en general, la obligación de que las empresas de telecomunicaciones implementen sistemas de seguridad capaces de detectar y bloquear mensajes fraudulentos antes de que lleguen a los usuarios, y la creación de programas educativos que fomenten la concientización.

El objetivo del 'smishing' es obtener datos personales, información financiera o credenciales de acceso a cuentas - Créditos: Andina.
“Las instituciones financieras y las empresas de telecomunicaciones desempeñan un papel crucial en la prevención y educación sobre smishing. En ese contexto, deberían liderar campañas informativas de prevención y establecer sistemas de monitoreo para detectar actividades sospechosas, a la par que bloquear y/o alertar a los consumidores”, precisa.

El decano de la carrera de Ingeniería de Software de la Universidad Científica del Sur, Wester Zela, precisó, en conversación con Infobae Perú, que “el desarrollo de aplicaciones seguras frente a ataques de smishing presenta múltiples desafíos. Uno de los principales es la naturaleza dinámica y multifacética del smishing, que combina técnicas de explotación de vulnerabilidades y de ingeniería social, como la manipulación psicológica de los usuarios”.

“Los desarrolladores deben construir sistemas que no solo puedan detectar y bloquear enlaces maliciosos, sino que también sean capaces de identificar patrones sospechosos de comportamiento que indiquen intentos de fraude. Esto requiere el uso de herramientas avanzadas, como la inteligencia artificial y el aprendizaje automático (machine learning), para mantenerse al día con las tácticas cambiantes de los atacantes”, mencionó.

Además, recalcó que “es vital crear interfaces intuitivas y seguras que alerten a los usuarios sobre posibles amenazas sin generar falsas alarmas, y que faciliten la verificación de la autenticidad de los mensajes. Otro reto importante es la integración de soluciones de autenticación robusta, como la autenticación multifactorial (MFA), para proteger las interacciones a través de plataformas vulnerables, como SMS o aplicaciones de mensajería”.

Debido a que los mensajes SMS suelen generar una sensación de urgencia, las víctimas a menudo se sienten presionadas a actuar rápidamente - Créditos: Andina.

Asimismo, mencionó que las empresas deben implementar programas de concientización sobre ciberseguridad que incluyan la identificación de posibles ataques.

“En segundo lugar, es recomendable utilizar la autenticación multifactorial (MFA), que añade una capa extra de seguridad y minimiza el riesgo de que un atacante que obtenga información a través de smishing pueda acceder a sistemas sensibles. Las actualizaciones regulares de software y sistemas también son esenciales para cerrar posibles vulnerabilidades. Finalmente, diseñar interfaces de usuario que incluyan advertencias claras sobre enlaces sospechosos puede ayudar a reducir el riesgo”, explicó.

Vences, por su parte, mencionó que el avance de la inteligencia artificial está siendo aprovechado por los estafadores para perfeccionar sus tácticas de smishing. “Hoy en día, se utiliza bastante la IA para realizar este tipo de estafas. La mejor forma de enfrentarlas es utilizando más tecnología, con herramientas avanzadas que detecten y bloqueen estos intentos de fraude”, sugirió.

Sin embargo, también alertó sobre la rapidez con la que evoluciona la tecnología, lo que hace que las empresas y usuarios estén constantemente en riesgo. “Las empresas deben estar actualizadas en cuanto a los nuevos tipos de estafas que surgen. No solo es crucial que realicen evaluaciones internas, sino que también promuevan la educación entre los usuarios, ya que ellos son el blanco principal de estos ataques”, concluyó.

El crecimiento de fraudes mediante SMS revela una preocupación creciente por el smishing en el ámbito de la seguridad digital - Créditos: Freepik.

Recomendaciones para los ciudadanos

Wester Zela especificó que “el smishing puede tener un impacto devastador en el ciudadano promedio, ya que es un ataque directo diseñado para robar información financiera, como números de tarjetas de crédito o credenciales de acceso a bancos y cuentas personales”.

“Además, la falta de conocimiento sobre estas amenazas hace que muchos caigan en las trampas, resultando en pérdidas económicas, robo de identidad y daños a la privacidad. Es crucial que las personas estén educadas sobre estas amenazas y adopten buenas prácticas, como verificar la fuente de los mensajes y no proporcionar información personal a través de SMS o enlaces sospechosos”, mencionó.

Erick Iriarte aconsejó a los ciudadanos que eviten abrir mensajes o hacer clic en enlaces no solicitados. Además, destacó la importancia de verificar la fuente de la información antes de interactuar con cualquier mensaje recibido.

¿Cómo denunciar un delito informático?

Para denunciar un delito informático, los ciudadanos pueden acudir a cualquier comisaría del país o contactar directamente a la División de Investigación de Delitos de Alta Tecnología a través de un número telefónico 942 440 729 o correo electrónico divindat.servicioguardia@policia.gob.pe.

La entidad recomienda a los ciudadanos guardar las evidencias y no eliminar los mensajes o correos electrónicos recibidos para facilitar el rastreo de los ciberdelincuentes.

Los delincuentes envían mensajes que parecen legítimos, haciéndose pasar por instituciones financieras, empresas conocidas o servicios de entrega, entre otros - Créditos: Freepik.

¿Qué dice la legislación sobre el fraude informático?

Por su parte, de acuerdo con la Ley Nº 30096 este delito es definido como “el que deliberada e ilegítimamente procura para sí o para otro un provecho ilícito en perjuicio de tercero mediante el diseño, introducción, alteración, borrado, supresión, clonación de datos informáticos o cualquier interferencia o manipulación en el funcionamiento de un sistema informático, será reprimido con una pena privativa de libertad no menor de tres ni mayor de ocho años y con sesenta a ciento veinte días-multa”

La pena será privativa de libertad no menor de cinco ni mayor de diez años y de ochenta a ciento cuarenta días-multa cuando se afecte el patrimonio del Estado destinado a fines asistenciales o a programas de apoyo social.”

De acuerdo con Iriarte, “el smishing, al igual que el phishing, son formas de estafa informática”. De acuerdo con el abogado, “el tema va por dos lados: creación de una cultura de ciberseguridad para evitar caer en estas estafas, y por el otro lado law-enforcement para la persecución de dichos delitos”.