Suplantan a empresa de telefonía mexicana para robar datos bancarios
La firma de ciberseguridad ESET ha detectado y analizado una campaña activa de smishing (suplantación de identidad por SMS) que se aprovecha del nombre de una de las principales empresas de telefonía en México para despojar a los usuarios de su información financiera. La campaña, activa durante marzo y principios de abril, es un recordatorio contundente de cómo los ciberdelincuentes perfeccionan sus técnicas de ingeniería social para vulnerar la seguridad personal en cuestión de minutos.
El modus operandi iniciaba con un mensaje de texto dirigido a las víctimas, donde se les notificaba sobre un supuesto canje de puntos acumulados por productos de alta gama como celulares o smartwatches. El anzuelo era lo suficientemente atractivo como para generar clics. El enlace incluido, sin embargo, dirigía a un sitio web fraudulento meticulosamente diseñado para imitar la página oficial de la compañía de telecomunicaciones, con un detalle crucial: la URL presentaba un error mínimo, como cambiar una letra ‘l’ por una ‘i’, imperceptible para un ojo distraído.
Una vez en el sitio falso, la estafa se desarrollaba en etapas. Primero, se solicitaba al usuario ingresar su número telefónico, aparentemente para ‘verificar’ la cuenta y consultar los puntos. Luego, se le pedía completar un formulario con datos personales y financieros sensibles, incluyendo número de tarjeta de crédito o débito, fecha de expiración y CVV, con la excusa de cubrir un ‘costo de envío simbólico’ o una ‘verificación de identidad’. Todo el proceso estaba orquestado para generar una falsa sensación de legitimidad y urgencia.
“Este caso sirve como ejemplo de cómo los ciberdelincuentes combinan suplantación de identidad con manipulación psicológica para comprometer la seguridad de los usuarios”, explicó David González, investigador de seguridad informática de ESET. Aunque el sitio fraudulento específico de esta campaña ya fue deshabilitado, la técnica permanece y es replicada constantemente contra otras marcas e instituciones.
Recomendaciones clave para no caer en la trampa
Frente a este tipo de amenazas, los expertos de ESET enfatizan la necesidad de adoptar hábitos de navegación críticos. La primera regla de oro es desconfiar de los enlaces en mensajes no solicitados, aunque parezcan venir de un remitente conocido. Nunca se debe hacer clic. En su lugar, se debe contactar a la empresa directamente a través de sus canales oficiales (su app o sitio web digitado manualmente) para verificar cualquier promoción.
Otro punto vital es recordar que ninguna empresa legítima pedirá los datos completos de tu tarjeta bancaria o claves de acceso por SMS o en un formulario web derivado de un mensaje. Las transacciones reales se realizan en plataformas seguras con protocolos de pago establecidos. Además, se recomienda habilitar la autenticación en dos factores en todos los servicios financieros y mantener actualizado el software del dispositivo, ya que muchas soluciones de seguridad pueden detectar y bloquear este tipo de sitios de phishing.
La suplantación de identidad (phishing y smishing) sigue siendo una de las amenazas más efectivas en el mundo digital, porque no explota una falla técnica, sino la confianza y los descuidos momentáneos de las personas. En un contexto donde la vida financiera y personal está profundamente ligada al teléfono móvil, la conciencia y la precaución se convierten en la primera y más importante barrera de defensa.
