Puntos clave
La suplantación de SMS es un tipo de estafa que se basa en la manipulación psicológica para engañar a las víctimas a transferir fondos, compartir información sensible o hacer clic en enlaces maliciosos.
Los atacantes modifican su identidad de remitente para hacer que su mensaje SMS parezca provenir de una fuente confiable.
¿Has recibido un SMS suplantado? Reporta el incidente a la policía de inmediato.
Las tendencias en la industria del fraude en línea cambian tan rápido como avanza la tecnología de vanguardia. Antes, las estafas de correos electrónicos del príncipe nigeriano eran muy populares; hoy en día, son los ataques de suplantación de SMS.
A diferencia de los exploits donde un hacker intenta usar código para infiltrarse en una base de datos de usuarios, los ataques de suplantación de SMS se basan principalmente en la manipulación psicológica. Esto significa que el estafador intentará hacerse pasar por una fuente confiable en un intento de engañar a las víctimas desprevenidas para que transfieran fondos, compartan información sensible como detalles de billetera o incluso envíen enlaces maliciosos que dirijan a sitios web de phishing que podrían vaciar las billeteras de las víctimas.
En este artículo, repasaremos cómo funcionan los ataques de suplantación de SMS, las diferentes maneras en que los atacantes pueden dirigirse a ti y cómo puedes proteger tus fondos.
¿Qué es la suplantación de SMS y cómo funciona?
El atacante de suplantación de SMS modifica su identidad de remitente (el nombre o número de teléfono que aparece en el teléfono del destinatario) para hacer que su mensaje de texto parezca provenir de una fuente confiable. El objetivo es engañar a la víctima para que siga las instrucciones del mensaje.
Debido a cómo funcionan los sistemas de SMS, el mensaje de un estafador puede aparecer en el mismo hilo de conversación que mensajes legítimos anteriores del proveedor, lo que hace más difícil distinguir entre comunicaciones reales y fraudulentas. Como resultado, los usuarios pueden ser llevados a hacer clic en enlaces maliciosos o comunicarse con un estafador en el número de teléfono falso proporcionado.
¿Cómo identificar y evitar la suplantación de SMS?
Incluso una infraestructura de seguridad líder en la industria puede hacer poco para proteger a un usuario que voluntariamente envía su contraseña a un hacker. La primera línea de defensa siempre es el usuario. Para mantener tus fondos seguros, debes permanecer alerta en todo momento, haciendo de las siguientes prácticas un hábito.
1. Presta atención a los mensajes de advertencia con números de soporte al cliente/seguridad falsos
Binance nunca te enviará un SMS pidiéndote que llames a un número y hables con un departamento de soporte al cliente o de seguridad. Cualquier mensaje de advertencia que recibas que se refiera a la seguridad/actividad de la cuenta o transferencias de fondos y requiera que llames a un número de teléfono es una estafa.
En la imagen de arriba, los mensajes resaltados son suplantados y enviados por un estafador. Contactar a estos números solo resultará en que pierdas fondos. Recuerda siempre contactar solo a través de canales de soporte oficiales, disponibles en la aplicación o en el sitio web oficial.
2. Evita enlaces sospechosos
No hagas clic en ningún enlace que te envíen por mensaje de texto. Los enlaces podrían llevar a sitios web de phishing que intentan robar tus credenciales como contraseñas o claves privadas, o incluso instalar malware en tu dispositivo. Asegúrate de usar solo sitios web oficiales.
Aquí hay algunos ejemplos de sitios web de phishing que intentan parecer que están afiliados a Binance. Esta no es una lista exhaustiva, pero sus nombres de dominio te dan una idea de cómo podría lucir un sitio web “falso de Binance” cuyos creadores intentan engañar a los usuarios.
Cómo protegerte de las estafas de criptomonedas por suplantación de SMS
1. Habilita tu Código Anti-Phishing
Para mejorar la seguridad y combatir tales estafas, hemos ampliado el uso de la función de Código Anti-Phishing a las comunicaciones por SMS. Anteriormente disponible para correos electrónicos, este código único establecido por el usuario ayuda a verificar la autenticidad de los mensajes de Binance. Ahora, cuando recibas un SMS de nuestra parte, incluirá tu código personalizado – conocido solo por ti – lo que te permitirá confirmar que el mensaje es legítimo. Se puede configurar fácilmente a través de la aplicación o el sitio web:
Aplicación: [Perfil] > [Información de la cuenta] > [Seguridad] > [Código Anti-Phishing].
Sitio web: [Perfil] > [Cuenta] > [Seguridad] > [Seguridad avanzada].
2. Verifica los mensajes entrantes
Siempre verifica la fuente de un mensaje entrante antes de responder. Ten cuidado con cualquier mensaje no solicitado o aquellos que parezcan sospechosos. Puedes verificar mensajes específicos de Binance utilizando la herramienta Binance Verify o enviando una captura de pantalla del mensaje a nuestro equipo de soporte. Para otros servicios, deberías enviar un mensaje a la plataforma relevante directamente a través de su sitio web oficial o otros canales de confianza.
3. Habilita la autenticación de dos factores
La autenticación de dos factores (2FA) añade una capa adicional de seguridad contra los atacantes que intentan acceder a tus cuentas. Siempre habilita 2FA para cualquier cuenta que lo soporte. Binance ahora soporta claves de acceso para inicios de sesión seguros y más rápidos. Úsalas para 2FA en varios dispositivos para habilitar una protección más conveniente y robusta que solo contraseñas.
4. No compartas información personal
Evita compartir información sensible (por ejemplo, contraseñas, números de tarjeta de crédito, números de seguro social y otras identificaciones emitidas por el gobierno) a través de mensajes de texto, especialmente con contactos no verificados.
Ejemplos de la vida real de ataques de suplantación de SMS
Ejemplo 1: Actividad de cuenta falsa
Los estafadores aman aprovechar el sentido de ansiedad de una víctima y utilizan mensajes que podrían desencadenar reacciones impulsivas en un usuario. A menudo utilizan mensajes advirtiendo sobre inicios de sesión falsos desde otros países o actividad de cuenta relacionada con retiros o APIs, indicando que el usuario necesita comunicarse con un número de soporte falso. Los criminales incluso pueden incluir “números de referencia” que hacen parecer que el usuario está hablando realmente con un agente genuino.
Llamar a estos números generalmente resulta en que la víctima sea convencida de transferir fondos a otra billetera por “seguridad”, mientras que en realidad todos los fondos serán enviados al estafador.
Ejemplo 2: “Cancelación de retiro”
Un usuario, al que llamaremos Brad, recibe un mensaje SMS de alguien con una dirección de remitente “Binance”. El mensaje le recuerda a Brad que “cancele su retiro actual”. Brad, creyendo que el mensaje es oficial, inicia sesión en el sitio web de phishing.
El hacker logra usar el nombre de usuario, la contraseña y 2FA de Brad para iniciar sesión en el sitio web oficial de Binance e iniciar un retiro de efectivo.
En este ejemplo, el usuario no logró hacer dos cosas:
Verificar el enlace en Binance Verify.
Verificar nuevamente el mensaje real de 2FA, que en realidad decía que el código de 2FA se estaba utilizando para iniciar un retiro, no para cancelarlo.
Ejemplo 3: “Verificar” o “actualizar” cuenta
Muchos de nuestros usuarios han informado haber recibido un SMS suplantado con un enlace para “verificar” o “actualizar” sus cuentas o para enviar algún tipo de verificación. Estos mensajes también afirmaron que la falta de realizar las acciones requeridas resultaría en el bloqueo o suspensión de la cuenta. En realidad, el enlace en el mensaje de texto siempre lleva a un sitio web de phishing diseñado para robar tus fondos o ganar acceso a tu cuenta.
Si has sido blanco de un SMS suplantado
Si sospechas que alguien te ha enviado un SMS suplantado, contacta de inmediato a la autoridad policial correspondiente. Si el SMS suplantado está relacionado con Binance, por favor también presenta un informe al equipo de soporte de Binance.
Si tu cuenta ha sido comprometida, congela tu crédito para evitar que los criminales abran nuevas cuentas a tu nombre, además de congelar tus tarjetas de crédito y cuentas bancarias. Para proteger tus activos, también deberías desactivar tu cuenta siguiendo los pasos en esta guía de preguntas frecuentes: Cómo desactivar mi cuenta de Binance.
Nunca envíes los detalles de tu cuenta de Binance, el código 2FA o cualquier otra información financiera a nadie, incluso si quienes lo solicitan parecen legítimos a primera vista. Además de la suplantación de SMS, los estafadores también pueden intentar defraudarte a través de correo electrónico u otros canales.
Verifica cuidadosamente cualquier dominio relacionado con Binance en Binance Verify. Ten en cuenta, sin embargo, que la herramienta no es infalible. Aún debes tener precaución si sientes que algo no está bien.
Para obtener información general sobre cómo proteger tus fondos criptográficos, puedes explorar las secciones de seguridad en nuestras preguntas frecuentes y nuestros blogs de seguridad.
Reflexiones finales
Los ataques de suplantación de SMS se basan en manipular la confianza y la urgencia en lugar de explotar debilidades técnicas. Proteger tus activos criptográficos significa mantenerse alerta, cuestionar mensajes inesperados y utilizar medidas de seguridad como Códigos Anti-Phishing y la autenticación de dos factores.
Recuerda siempre que los servicios legítimos nunca te pedirán que compartas información sensible o que llames a números desconocidos a través de SMS. Al mantenerse informado, verificar las comunicaciones cuidadosamente y reportar actividad sospechosa de inmediato, puedes reducir en gran medida tu riesgo y mantener tus criptomonedas seguras de estas estafas engañosas.
Lectura adicional
Aplicaciones de billetera falsas y Smishing
Mantente a salvo del Smishing
Mantente a salvo: ¿Qué son los ataques de apropiación de cuentas?