Buenos días, su envío llegará a las 10.30 al punto de entrega. Vea dónde puede recoger su paquete haciendo clic aquí».
Cuidado, ni se le ocurra pinchar en ese enlace. Este SMS puede dejarle sin ahorros. Los cibercriminales han encontrado por fin el caballo de Troya para introducirse en nuestros teléfonos móviles. Se llama FluBot y es un mensaje de texto en el que se oculta un troyano bancario, un programa malicioso que toma el control del dispositivo y roba los datos y contraseñas que permiten el acceso a la banca móvil. Esta 'epidemia hacker', que comenzó en España y en marzo ya había 'contagiado' a 60.000 teléfonos (el 97 por ciento españoles), se ha extendido por Europa, haciendo saltar las alarmas en Reino Unido, Alemania, Italia, Polonia, Hungría...
Si en los timos postales la edad media de los que 'pican' es de 74 años, los estafados a través del 'smishing' tienen 35 o menos. No perciben que abrir un SMS implique riesgos
El virus también es capaz de copiar la agenda de contactos para reenviar automáticamente el mensaje malicioso. En pocos meses recopiló once millones de números. Esto significa que uno de cada cuatro móviles en España han recibido un SMS que puede llegar a instalar, si pulsamos el hipervínculo, una aplicación silenciosa que dará el control de nuestro teléfono a los ciberdelincuentes sin que nos percatemos. Pero los expertos advierten de que, al ritmo de contagio actual, los hackers podrían disponer de todo el listín de móviles españoles en noviembre.
Los virus informáticos específicos para el móvil no habían tenido demasiado éxito. La razón principal es que las aplicaciones bancarias disponen de varias herramientas muy eficaces para mantenerlos a raya: la autenticación de dos o más factores, el reconocimiento a través de la huella dactilar o incluso facial para autorizar las operaciones, los códigos que caducan en pocos minutos... Pero estamos ante la oleada de estafas más peligrosa y sofisticada hasta la fecha. El Instituto Nacional de Ciberseguridad (Incibe) califica el riesgo de «muy alto». Y la Policía Nacional y otros cuerpos de seguridad han difundido varias alertas en sus redes sociales.
Daba la impresión de que un virus informático solo podía causarnos problemas a través del ordenador y que con un antivirus que enviase a la carpeta de spam los correos electrónicos sospechosos (phishing) era suficiente. Y, en buena medida, así era hasta que aparecieron FluBot y otros programas maliciosos inspirados en él. Los cibercriminales se han percatado de su efectividad. Y se copian unos a otros, perfeccionándolos, de modo muy similar a cómo se replica el coronavirus, favoreciendo que prevalezcan las variantes más contagiosas. Por ejemplo BRATA, que podría calificarse como la 'cepa' brasileña de FluBot, pues empezó en el país sudamericano, desde allí se contagió a Estados Unidos y ya ha saltado el charco.
'Smishing', 'pharming', 'vishing'
Llueve sobre mojado. El ransomware (el secuestro de un ordenador o red de ordenadores para pedir un rescate) es la gran pesadilla de las grandes empresas, sobre todo desde que se generalizó el teletrabajo, y los hackers ya se atreven a atacar incluso a las compañías informáticas, como le ha sucedido al fabricante Acer, al que exigieron un rescate de 50 millones de dólares.
Pero el smishing es el nuevo coco, en este caso, para los usuarios individuales. Smishing es la combinación de las palabras SMS y phishing. Como hemos visto, es el intento de fraude a través de un mensaje de texto para obtener información personal y financiera. El SMS fraudulento pide a la víctima que haga clic en un enlace o que llame a un teléfono para verificar, actualizar o reactivar un servicio. Puede derivar en pharming, si el enlace que se ha pulsado lleva a una página web falsa, con una apariencia muy parecida a la de la web a la que se quería acceder y que pide a la víctima que rellene un formulario que captura la información confidencial.
Esa página también puede contener una solicitud de permiso de accesibilidad al móvil. Si se concede, los hackers son capaces de controlar el dispositivo a distancia.
Hay muchos cebos, pero el más habitual es el de una presunta empresa de mensajería que nos envía un SMS para hacer el seguimiento de un envío que ya está pagado y que no se ha podido entregar. Si pinchamos el enlace, empiezan los problemas...
Otra modalidad es el vishing, combinación de las palabras 'voz' y 'phishing'. El SMS malicioso lleva un teléfono fijo o móvil. Si llamamos, nos responderá el supuesto empleado de una entidad bancaria, comercio, empresa de mensajería de un organismo público que nos pedirá nuestros datos con cualquier excusa: reembolsar una cantidad, participar en un sorteo, recibir soporte técnico... Por principio, hay que desconfiar incluso de los SMS que nos llegan en el mismo hilo que los de nuestro banco.
Hay muchos cebos. Por ejemplo, los de aquellos que se hacen pasar por empleados de la Seguridad Social, los cibercriminales que nos piden que reembolsemos una cantidad a través de Bizum (un sistema que jamás utilizan los organismos públicos). O nos animan a responder a una encuesta a cambio de un regalo.
También está el chollo del súper: nos ofrecen un robot de cocina a un precio irrisorio. O nos anuncian que hay un paquete a nuestro nombre retenido en la aduana... Pero el más habitual es el siguiente. Una presunta empresa de mensajería nos envía un mensaje para hacer el seguimiento de un envío que ya está pagado y que no se ha podido entregar. Como no hemos comprado nada, pinchamos el enlace para averiguar qué sucede y aparece una página web (falsa) de la empresa en cuestión y una advertencia de que el envío se ha devuelto dos veces debido a un error en los datos.
Para meternos prisa, aparece una cuenta atrás, y nos explican que es la última vez que nos piden la dirección correcta y que, de no proporcionar los datos, anularán el envío. Si le damos a 'Continuar', nos ofrecen información sobre el paquete en cuestión: por ejemplo, un iPhone por el que solo hay que pagar 3 euros por los gastos de envío. A continuación, aparece un formulario para rellenar los datos de nuestra tarjeta y realizar ese pago. Hasta ahora, se han visto suplantaciones de compañías como Correos Express, DHL, FedEX, MRW y otras.
A primera hora de la mañana o última de la tarde
FluBot, en concreto, afecta sobre todo a los teléfonos Android, aunque ya hay versiones específicas para Apple. En el caso del sistema operativo de Google, necesita que el usuario le otorgue el permiso para ganar acceso a la función que permite observar y controlar el dispositivo. Por eso suele enviarse a horas en que estamos menos atentos, temprano por la mañana o a última hora de la tarde. Los hackers confían en que estemos soñolientos o cansados y que pulsemos el enlace sin prestar atención a lo que estamos haciendo. Un mensaje suele meternos prisa, además.
El ciberdelincuente espía lo que hacemos en todas las aplicaciones que abrimos. Y, con nuestras credenciales en su poder, realiza transferencias a sus cuentas, vaciando las nuestras
Una vez hacemos clic, el SMS redirige a la víctima a una página que suplanta a la oficial del sitio y solicita que descargue una aplicación para realizar el seguimiento. Esta 'app' se descarga desde una tienda de aplicaciones distinta de Google Play Store, la oficial. Este virus tiene la capacidad de inyectar páginas superpuestas cuando detecte un inicio de sesión en una de las aplicaciones diana (generalmente una app bancaria o de comercio electrónico, también los monederos virtuales y, últimamente, los programas de gestión de criptomonedas), de forma que el usuario piensa que está introduciendo las credenciales en la web original cuando, en realidad, las está enviando a un servidor remoto controlado por los hackers.
Con el permiso de accesibilidad activado y sirviéndose de una herramienta que monitoriza los toques que el usuario da sobre la pantalla, el ciberdelincuente espía, sin que lo sepamos, lo que hacemos en todas las aplicaciones que abrimos. Y, con nuestras credenciales en su poder, puede realizar transferencias a sus cuentas, vaciando las nuestras.
-
1 «Las guerras son horribles. Yo lo que pinto son seres humanos, su sufrimiento y valor, la victoria y la derrota»
-
2 La guerra de las patentes CRISPR: 57.000 millones de euros y el futuro de la humanidad, en juego
-
3 «Debemos aprender a soportar la incertidumbre»
-
4 Hibristofilia: por qué hay mujeres que se enamoran de asesinos encarcelados
-
5 Juan José Ballesta: «Soy un tío con valores, muy currante... Un tipo optimista que se sabe reinventar»