La reciente proliferación de estafas mediante SMS ha encendido las alarmas, pero, cuando centramos nuestra atención en ellas, descubrimos que hay muchas más amenazas en esta categoría que el 'smishing' y que el tradicional 'SMS spoofing'. Ahora, los estafadores están recurriendo a métodos más sofisticados, como el uso de los dispositivos conocidos como stingrays.

Este es el nombre que reciben las 'estaciones base' falsas capaces de obligar a los móviles a conectarse a redes 2G, lo que los expone a vulnerabilidades graves: dichas redes son una tecnología obsoleta que carecen de funciones de autenticación mutua y encriptación.

La GSMA (Asociación del Sistema Global de Comunicaciones Móviles) ha emitido un informe señalando los peligros asociados con el uso de redes 2G por ser un blanco fácil para los estafadores, que utilizan stingrays para obligar a los teléfonos a conectarse a ellas y así poder enviar SMS fraudulentos directamente, sin ser detectados por los filtros de spam de los operadores.

Ejemplo de 'stingray'

Cómo funciona la estafa: Los Stingrays simulan ser una red LTE o 5G, pero en realidad obligan al dispositivo a conectarse a una red 2G. Una vez conectado, los estafadores pueden enviar mensajes falsos que parecen proceder de fuentes legítimas. Estos mensajes pueden incluir enlaces maliciosos o intentar engañar al usuario para que revele información sensible.

¿Por qué está de moda esta estafa? Una de las razones por las cuales este timo está en auge es la facilidad con la que se pueden adquirir y utilizar las 'stingrays': estos dispositivos son portátiles, están disponibles en Internet y no requieren conocimientos técnicos avanzados para operarlos.

En Genbeta

Estas son las estafas con criptomonedas más comunes: cómo detectarlas a la primera para no caer

¿Cómo desactivar la conexión 2G y protegerte?

Desactivar la conexión 2G en tu dispositivo Android es un proceso sencillo pero vital para protegerte contra este tipo de estafas. A partir de Android 12, puedes acceder a los ajustes de red de tu teléfono, generalmente ubicados en la sección de "Conexiones", y desactivar la opción de "Permitir 2G".

Esta acción no afectará la capacidad de hacer llamadas de emergencia, pero eliminará el riesgo asociado con la manipulación de los SMS.

Es importante destacar que, aunque algunos dispositivos Android vienen con una capa de seguridad en la aplicación Google Messages que identifica y bloquea el spam, esta no siempre es infalible, y desactivar el 2G sigue siendo la medida más segura.

Una versión anterior de este artículo fue publicado en 2024.

Imagen | Marcos Merino mediante IA

En Genbeta | Una mujer gastaba miles de euros en recargas de Steam. Un empleado de la tienda vio que algo malo pasaba y confirmó sus sospechas

En las últimas semanas, cientos de ciudadanos han recibido en sus móviles un SMS de la Dirección General de Tráfico (DGT) anunciando una supuesta multa por exceso de velocidad. El mensaje especifica tanto el importe como el enlace para pagar la multa. Sin embargo, se trata de un fraude masivo de smishing, del que las autoridades ya llevan un tiempo advirtiendo.

¿En qué consiste esta estafa?

Los ciberdelincuentes envían un SMS que aparenta provenir de la DGT. El texto suele ser algo como:

"DGT: multa por exceso de velocidad (30 km/h) de 50 euros: [enlace] Paga a tiempo para evitar acumulación".

El enlace, por supuesto, redirige a una web maliciosa que imita visualmente el portal oficial de la DGT. En ella, se informa al usuario de que debe pagar la sanción en menos de 24 horas. Tras pulsar "continuar", se solicita información personal como nombre, DNI, correo electrónico... y datos bancarios para efectuar el supuesto pago.

Obviamente, esta página fraudulenta no pertenece a la DGT. Su objetivo real es que la víctima proporcione sus credenciales bancarias y datos personales, que luego pueden ser usados para realizar robos o fraudes financieros.

¿Cómo identificar que es un fraude?

Tanto la Policía Nacional como la DGT han sido claras al respecto: La DGT nunca notifica sanciones a través de SMS ni de correo electrónico. Toda multa debe consultarse a través de su sede electrónica oficial (www.dgt.es) o a través de los canales de atención al ciudadano.

Indicadores de alerta:

• URLs con nombres raros, mezclas de letras o dominios desconocidos (ej. 'dgtturnprocexit.top').
• Mensajes que generan urgencia o amenaza ("paga en menos de 24 horas").
• Formularios que piden datos bancarios completos o personales sensibles.

En Genbeta

Cómo denunciar fraudes en Internet y ciberestafas

Consejos para protegerse del smishing

Las autoridades recomiendan seguir estas pautas para evitar caer en este tipo de estafas:

1. No hacer clic en enlaces sospechosos. Si el mensaje incluye un enlace, es mejor ignorarlo y consultar la web oficial.
2. Eliminar inmediatamente el SMS.
3. No responder ni proporcionar información, ni siquiera para "negar" o "corregir" algo.
4. Verificar la información directamente con la DGT.
5. Activar protección contra spam y phishing en tu dispositivo móvil.
6. Desconfiar de mensajes con urgencia excesiva o que pidan pagos inmediatos.

¿Qué hacer si ya has caído en la trampa?

Si has introducido tus datos en una de estas páginas, es importante que actúes rápidamente:

• Contacta con tu banco y alerta de lo ocurrido para bloquear posibles transacciones.
• Recopila evidencias del SMS, capturas de pantalla y dirección de la web.
• Denuncia el hecho ante la Policía Nacional (puedes llamar al 091 o acudir a una comisaría).
• Verifica que no se haya hecho un uso indebido de tus datos personales mediante técnicas como el egosurfing (buscar tu nombre en Google).
• Comprueba si te han suscrito a servicios de pago online sin tu consentimiento.

Imagen | Marcos Merino mediante IA

En Genbeta | Renovar el carnet de conducir no es barato. Pero hay una excepción en la que no se deberá pagar nada a la DGT 

Google está extendiendo las patas de su inteligencia artificial Gemini a todos sus productos. Y desde hace un tiempo también está llegando de manera progresiva a la app de Mensajes en teléfonos Android, pudiendo conversar con el asistente sin salir del cliente de mensajería RCS y SMS.

Si bien como asistente para interactuar ya es una fantástica herramienta, he querido aprovechar sus facultades para que nos instruya acerca de las estafas que podemos recibir por SMS o correos electrónicos, algo que últimamente se ha convertido en un problema que afecta cada vez a más usuarios. Y es que ahora desde la app de Mensajes podemos preguntarle a Gemini sobre cualquier cosa, incluso si los SMS que recibimos son o no estafas.

Gemini está en Mensajes de Android, y por tanto tienes un detector de estafas a mano

Debido a las cada vez más sofisticadas técnicas de phishing, donde ciberdelincuentes utilizan medios elaborados para suplantar nuestra identidad, e incluso robar nuestras credenciales e información sensible, es esencial que tomemos una posición activa en lo que a proteger nuestra privacidad y seguridad en Internet se refiere.

Y sí, hay quienes puedan pensar que usar Gemini no es la mejor manera de proteger nuestra privacidad si al final estamos interactuando con un producto que, entre sus muchas bondades, también es un medio para que la compañía obtenga parte de los datos de nuestra actividad. Pero lo cierto es que la herramienta me ha demostrado una forma sencilla de detectar estafas de manera casi instantánea.

Gemini está aterrizando en la app de Mensajes de muchos teléfonos Android. Lleva desde el año pasado haciéndolo y hace poco llegó a mi OnePlus Nord 2 con Android 13. Si a ti no te ha llegado aún, quizás debas esperar hasta que el despliegue escalonado se acabe completando.

Una vez tengamos Gemini en Mensajes, podemos abrir un chat para conversar con Gemini como si estuviéramos utilizando el servicio RCS de Mensajes. No te preocupes, hablar con Gemini desde Mensajes es gratis, y además puede convertirse en una potente herramienta siempre que te preguntes si el SMS que te ha llegado es o no una estafa.

Generalmente, siempre recomendamos no pulsar sobre ningún enlace que nos hayan mandado desde vías como SMS o correos electrónicos, sobre todo cuando no estamos seguros del remitente. Sin embargo, si tienes dudas, puedes preguntarle directamente a Gemini.

Para ello, lo que he hecho ha sido abrir un chat con Gemini desde la app de Mensajes e indicarle el siguiente prompt: “quiero que actúes como un detector de estafas y me indique si el mensaje SMS que te comparto es o no una estafa”.

En mis pruebas, le he estado enviando varios mensajes que me han llegado durante los últimos días a mi buzón. También le he enviado algunos ejemplos de estafas para ver qué tal se desenvolvía en sus advertencias y explicaciones.

Para ello podemos tanto copiar el texto del mensaje que hemos recibido, como simplemente enviarle una captura de pantalla del mensaje. Yo, honestamente, prefiero enviarle la captura directamente, así no hay lugar a pulsar el enlace del mensaje por error y llevarme un desagradable disgusto.

Una vez enviada la captura de pantalla del mensaje, recibí la respuesta de Gemini. En uno de los mensajes fidedignos, el asistente analizaba que se trataba de un remitente conocido, que ofrecía información acerca de una promoción, que el mensaje no solicitaba al usuario ningún tipo de información, y que el enlace remitía directamente a la web oficial, un detalle importante, pues siempre se pueden ocultar entre métodos de acortamiento. Además del análisis del asistente, también nos ofrece una serie de recomendaciones, como no hacer clic en enlaces directamente o verificar la naturaleza del remitente.

En Genbeta

Han usado la IA para recrear el tráiler de 'El Señor de los Anillos' al estilo Ghibli, y su resultado es espectacular

En otros ejemplos, envié capturas de pantalla de mensajes que han sido categorizados como estafas conocidas, como el ejemplo que expongo en este artículo. Aquí envié una captura de pantalla de un supuesto mensaje de correos indicando que el paquete no se ha podido entregar (el típico mensaje de estafa). Para ello nos remite a que leamos las instrucciones a través de un enlace ya de por sí sospechoso.

Aquí, Gemini, muy avispado, nos advierte de que el mensaje tiene varias señales que indican que puede ser una estafa. En su respuesta nos explica que se trata de un remitente genérico llamado ‘Correos’, y que no usa un número oficial de la institución. También señala que el mensaje presenta un carácter de ‘urgencia y amenaza’, ya que nos insta a pagar una tasa de 1 euro a aduanas. Junto a todo ello, también está el tema del enlace, que usa acortamiento y que Gemini nos explica que no parece que se trate de un enlace oficial de Correos.

Además de todo ello, Gemini explica que el mensaje tiene errores gramaticales, que normalmente no encontramos en mensajes provenientes de instituciones oficiales o compañías fidedignas. Como este y otros ejemplos he probado con resultados muy eficaces, ya que en todos ellos ha detectado los mensajes que eran o no estafas.

Siempre defiendo que lo mejor que podemos hacer es ignorar completamente los SMS que recibimos. Hablamos con nuestros familiares y amigos a través de WhatsApp y herramientas similares, y las instituciones normalmente ya no contactan con nosotros vía SMS para pedirnos nada. Sin embargo, si alguna vez te preguntas sobre si un mensaje puede ser falso o no, tener a mano Gemini en Mensajes es una buena oportunidad para salir de dudas. Es un atajo para usar la IA, pero evidentemente también puedes usar Gemini desde su propia app, o cualquier otra IA como ChatGPT o Copilot para el mismo cometido.

Imagen de portada | Xataka Android

En Genbeta | El Google de toda la vida se acaba hoy en España: los resultados con IA cambiarán para siempre cómo buscamos

Supimos, hace unos días, que El Corte Inglés había sido víctima de un ciberataque y que, como resultado de ello, los datos de sus clientes se habían filtrado. Aunque la compañía ha pretendido tranquilizar a estos asegurando que la información filtrada no permite realizar pagos ni operar con las tarjetas, la Organización de Consumidores y Usuarios (OCU) sí ha alertado sobre otros posibles fraudes derivados de esta brecha de seguridad.

Casualmente, este incidente coincide en el tiempo con una reciente campaña de smishing (SMS con enlaces maliciosos) en la que los ciberdelincuentes han intentado suplantar la identidad de la entidad financiera de El Corte Inglés con el objetivo de robar credenciales de acceso.

El ciberataque y sus implicaciones

El pasado domingo, 2 de marzo, El Corte Inglés informó que uno de sus proveedores externos había sufrido un acceso no autorizado a datos personales de clientes: la información filtrada incluía datos identificativos, de contacto (como el número del móvil) y números de tarjetas utilizadas exclusivamente en El Corte Inglés. Según la compañía, esta información no permite realizar pagos ni transacciones fraudulentas.

El incidente fue detectado y subsanado de inmediato, y la empresa ha exigido al proveedor la aplicación de medidas de seguridad adicionales. No obstante, la filtración ha generado preocupación, ya que resultaba evidente que los ciberdelincuentes podrían aprovechar estos datos para promover timos de phishing, vishing o smishing, con los que se podía manipular a los clientes para que revelasen credenciales de acceso (entre otra mucha información).

El fraude del 'smishing': suplantación de la Financiera El Corte Inglés

De manera paralela a que la compañía desvelase este ciberataque, se ha detectado el citado fraude de smishing en el que delincuentes envían mensajes de texto con el identificador fraudulento 'FinancieraElCorteIngles', y en los que se alerta a los clientes sobre una compra inexistente por un importe de 950 euros, instándoles a hacer clic en un enlace si no reconocen como propia dicha compra.

Como suele ocurrir en esta clase de campañas, el miedo del usuario a perder dinero es utilizado para arma para convencerle de proporcionar al delincuente los datos que necesitará... para robarle el dinero.

Al acceder al enlace, el usuario es dirigido a una página web falsa que imita el diseño del portal oficial de la Financiera El Corte Inglés. En este sitio fraudulento se solicitan datos de acceso como el DNI y la contraseña, permitiendo a los estafadores obtener información crítica que permite acceder a las cuentas reales.

En Genbeta

Filtran 570 GB de datos sensibles de CCOO: los expertos en ciberseguridad que lo descubren empiezan a recibir tuits sobre 'mariscadas'

Cómo protegerse ante estos ataques

Dado que los ciberdelincuentes podrían utilizar los datos filtrados para cometer estos y otros fraudes, El Corte Inglés y la OCU han emitido una serie de recomendaciones para los clientes:

1. Desconfiar de mensajes y llamadas sospechosas: El Corte Inglés ya ha dejado claro que nunca solicitará datos personales, contraseñas o códigos de seguridad por teléfono, correo electrónico o SMS.
2. Verificar la URL de los sitios web: Antes de ingresar datos en una página, asegurarse de que la dirección corresponde a la oficial (https://www.financieraelcorteingles.es).
3. No responder a mensajes con tono de urgencia: Los ciberdelincuentes suelen utilizar estrategias de miedo y presión para que las víctimas actúen sin pensar.
4. Practicar egosurfing: Buscar el propio nombre en internet para comprobar si los datos personales han sido filtrados y utilizados de manera indebida.
5. Vigilar los movimientos bancarios: Ante cualquier cargo no reconocido, contactar de inmediato con la entidad financiera para bloquear posibles transacciones fraudulentas.
6. Denunciar el fraude: Si se ha sido víctima de un engaño, es crucial denunciar ante la Policía Nacional o la Guardia Civil y contactar con la entidad financiera para minimizar daños.

OCU exige más transparencia y protección para los clientes

La OCU ha instado a El Corte Inglés a proporcionar información más detallada sobre la fecha exacta del ciberataque (aún no revelada) y a garantizar que los afectados sean informados de manera individual. Además, recuerda que cualquier pago realizado bajo engaño debe ser reembolsado por la entidad bancaria.

Para resolver dudas o reportar cualquier incidencia al respecto, El Corte Inglés ha habilitado el teléfono gratuito 900 334 334 y el correo electrónico delegado.protecciondatos@elcorteingles.es.

Imagen | Marcos Merino mediante IA

En Genbeta | Una filtración masiva de datos de Hacienda puede ser "la madre de todas las filtraciones" para estafarnos. Así puede afectarnos

Las precipitaciones intensas que están afectando en las últimas horas al Levante y al sureste peninsular, parecen haber 'inspirado' a los ciberdelincuentes para encontrar una nueva forma de engañar a la población.

La Guardia Civil ha alertado sobre una campaña de mensajes SMS fraudulentos que suplantan a la Agencia Estatal de Meteorología (AEMET) con el objetivo de siempre: robar datos personales y bancarios a través de un enlace malicioso.

Un fraude que se repite

Esta práctica, conocida como smishing, ya ha sido detectada en ocasiones anteriores, como sucedió con la DANA de Valencia en octubre pasado. El fraude consiste en el envío masivo de mensajes de texto que alertan sobre una supuesta "tormenta severa" e incluyen un enlace para descargar una aplicación falsa que infecta los dispositivos con software malicioso.

El Instituto Nacional de Ciberseguridad (Incibe) ha advertido que el enlace descargado en dispositivos Android podría contener un malware diseñado para robar credenciales bancarias y realizar transferencias a cuentas controladas por los estafadores.

AEMET ha desmentido categóricamente el envío de estos mensajes, recordando que nunca solicita información personal ni envía SMS a los ciudadanos. La agencia meteorológica solo comunica información oficial a través de su página web, redes sociales verificadas y su aplicación oficial, disponible exclusivamente en Google Play y la App Store.

En Genbeta

Recaudaciones fraudulentas puerta a puerta, y correos con malware: así se aprovechan de la tragedia de la DANA los estafadores

¿Cómo detectar el fraude?

Existen varios indicios que pueden ayudar a identificar este tipo de estafa:

1. Supuesto origen del mensaje: AEMET no envía SMS, por lo que cualquier mensaje recibido en nombre de esta institución es sospechoso.
2. Errores ortográficos y redacción extraña: El uso incorrecto de palabras como "severa" y la ausencia de tildes son señales de advertencia.
3. Dominio del enlace: Los mensajes fraudulentos incluyen enlaces con dominios no oficiales, como ".blog". La web oficial de AEMET siempre tiene el dominio ".es".

Recomendaciones de las autoridades

La Guardia Civil y el Incibe han emitido una serie de recomendaciones para evitar caer en este tipo de fraude:

• No hacer clic en enlaces sospechosos.
• Verificar siempre la información en fuentes oficiales (como AEMET, la Dirección General de Tráfico (@DGTes) y Protección Civil (@proteccioncivil)).
• No proporcionar nunca datos personales ni bancarios a través de enlaces no verificados.
• Denunciar el fraude ante la Policía Nacional o la Guardia Civil para evitar su propagación.

¿Qué hacer si has sido víctima del fraude?

Si has pulsado sobre el enlace y descargado la aplicación fraudulenta, es fundamental tomar medidas rápidas:

1. Eliminar el archivo de la carpeta de descargas antes de ejecutarlo.
2. Si la aplicación se ha instalado, desconectar el Wi-Fi y usar un antivirus para intentar eliminar el malware.
3. En caso de que el dispositivo siga comprometido, restablecer los valores de fábrica, recordando hacer una copia de seguridad previa de los datos importantes.

La mejor defensa contra este tipo de fraudes es la prevención y el sentido común. Mantenerse informado y verificar las fuentes oficiales antes de actuar puede marcar la diferencia entre evitar una estafa o convertirse en víctima de los ciberdelincuentes.

En Xataka | España debería empezar a concienciarse en una “cultura de la emergencia” real. Tenemos muchos ejemplos donde fijarnos

Google ha anunciado una nueva funcionalidad de seguridad en Mensajes de Google (su app predeterminada para mensajes de móvil en Android) que utiliza funciones de IA para detectar en tiempo real mensajes fraudulentos. Esta tecnología, diseñada para prevenir estafas mediante mensajes, representa un avance significativo en la protección de los usuarios contra tácticas de ingeniería social y fraudes digitales.

Detectando estafas

La detección de estafas en Mensajes de Google emplea inteligencia artificial avanzada para identificar patrones sospechosos en conversaciones de SMS, MMS y RCS. A diferencia de los filtros de spam tradicionales, que bloquean mensajes antes de que se inicie la conversación, esta tecnología analiza mensajes en tiempo real y emite advertencias cuando detecta actividad potencialmente fraudulenta.

Así, cuando se active la detección de estafas, el usuario recibirá una alerta con la opción de bloquear y reportar al remitente o simplemente ignorar la advertencia. Google enfatiza que todo el proceso se realiza dentro del dispositivo, sin enviar datos a servidores externos, lo que en teoría garantiza la privacidad del usuario.

Este sistema está diseñado para identificar un amplio abanico de fraudes, desde estafas laborales hasta intentos de phishing disfrazados de conversaciones aparentemente inofensivas. Gracias a la IA, el sistema puede detectar cambios en el tono y contenido de los mensajes para alertar sobre posibles engaños antes de que el usuario comparta información sensible o realice transacciones fraudulentas.

En Genbeta

Ahora que estábamos empezando a 'ver venir' los e-mails de ciberestafas, llega una nueva técnica: el phishing de clonación

Disponibilidad y configuración

Inicialmente, este sistema de detección de estafas estará disponible en inglés para usuarios en EE. UU., Reino Unido y Canadá, aunque ya hay planes para implementarlo a otros países en el futuro. La función estará activada por defecto y solo se aplicará a conversaciones con números que no estén guardados en la lista de contactos del usuario. No obstante, aquellos que prefieran desactivar la función pueden hacerlo desde la configuración de protección contra spam en Google Messages.

Ubicación en directo con 'Find My Device'

Otra mejora significativa será la posibilidad de compartir la ubicación en tiempo real a través de la aplicación 'Find My Device'. Esta función permitirá a los usuarios coordinar encuentros con amigos o familiares y localizarse más fácilmente. A diferencia de la función ya existente en Google Maps, esta nueva función permite gestionar la ubicación desde la misma app que ya usamos para rastrear dispositivos perdidos.

Google ha garantizado que los datos de ubicación estarán almacenados de manera segura y que los usuarios podrán elegir con quién compartir esta información y por cuánto tiempo (además, se enviarán recordatorios periódicos sobre quiénes tienen acceso a la ubicación compartida).

Imagen | Marcos Merino mediante IA

En Genbeta | Vamos a dejar de ponérselo fácil a los estafadores mediante llamadas y SMS: estas son las medidas que acaba de aprobar el Gobierno

Una nueva estafa está cobrando notoriedad en los últimos días mientras se difunde a través de mensajes de texto. Lo denunciaba en su cuenta de Instagram el asesor fiscal Miguel Ángel Mejías, cuando alertaba a los usuarios sobre un SMS que simula provenir del sistema público de salud y que solicita a los destinatarios que 'actualicen' su tarjeta sanitaria.

El mecanismo del fraude

Estamos ante una técnica conocida como smishing, en la que los ciberdelincuentes manipulan a sus víctimas para que pulsen en un enlace que les haya llegado en un mensaje de móvil e introduzcan sus datos personales y/o financieros en la web a la que son redirigidos.

En este caso, el mensaje fraudulento insta a los usuarios a hacer clic en un enlace para completar la supuesta actualización de su tarjeta sanitaria; la página web falsa, que imita a la de una entidad de salud oficial, les solicita información variada (como datos bancarios o credenciales de acceso) lo que puede derivar en un robo de identidad o en el vaciado de cuentas bancarias.

vía Miguel Ángel Mejías en Instagram

En Genbeta

Este truco resulta muy útil cuando te llaman de tu operadora y pretenden liarte para aceptar ofertas 'que no puedes dejar pasar'

No contestes. Mejor comprueba

Mejías enfatiza en su mensaje la importancia de no responder al SMS, de no hacer clic en los enlaces proporcionados y, sobre todo, de no llamar al número que aparece en el mensaje. Cualquier interacción con estos elementos puede terminar poniéndole en bandeja nuestros datos a los ciberdelincuentes.

Ante la incertidumbre que pueden generar estos mensajes, Mejías recomienda a los ciudadanos que acudan directamente a su centro de salud más cercano para verificar la veracidad de cualquier comunicación que reciban. Allí podrán comprobar que las 'actualizaciones online' de las tarjetas sanitarias son un puro invento.

Tres claves para evitar el phishing

Para protegerte de este tipo de fraudes, es fundamental seguir tres reglas básicas:

1. No hacer clic en enlaces sospechosos. Los ciberdelincuentes suelen utilizar SMS, correos electrónicos y mensajes de WhatsApp para propagar estos engaños.
2. No compartir datos personales. Ninguna entidad fiable solicitará información sensible a través de mensajes de texto.
3. Contactar con el banco ante cualquier sospecha. Si se ha proporcionado información personal por error, es recomendable comunicarse con la entidad financiera para que tome medidas de seguridad.

Imagen | Marcos Merino mediante IA

En Genbeta | Le pidieron un favor con trampa en WhatsApp. Ella respondió de forma inesperada: "Justo a la más muerta de hambre quieres estafar"

Los procedimientos de seguridad digital están en constante evolución (como lo están las técnicas de los cibercriminales). Por ello, Gmail, el servicio de e-mail más usado en todo el mundo, ha decidido cambiar los suyos para proteger mejor a sus usuarios... y ha anunciado que reemplazará la autenticación mediante SMS por un nuevo sistema basado en códigos QR.

Un cambio necesario: el adiós a los SMS

Durante años, la verificación en dos pasos a través de SMS ha sido un pilar fundamental en la protección de cuentas online. Sin embargo, este método ha demostrado ser vulnerable a diversas amenazas, como el phishing, el SIM swapping y diversos ataques basados en la ingeniería social.

Ross Richendrfer, portavoz de Gmail, explicó que la autenticación por SMS, si bien es mejor que no contar con ningún método de verificación, presenta demasiados riesgos de seguridad que pueden ser explotados por actores malintencionados.

Es por eso que Google ha decidido abordar estos problemas eliminando progresivamente el uso de mensajes SMS para la autenticación en Gmail: según información revelada por Forbes, la compañía ha confirmado que este cambio se implementará en los próximos meses.

¿Cómo funcionará la autenticación con códigos QR?

El nuevo método de verificación reemplazará el tradicional código de seis dígitos enviado por SMS con un código QR generado en la pantalla de inicio de sesión. Para acceder a su cuenta, el usuario deberá escanear este código con la cámara de su smartphone.

En Genbeta

Qué es el quishing: cuando te estafan usando un código QR fraudulento

Este sistema elimina por completo el riesgo de que los usuarios sean engañados para compartir códigos de acceso, dado que ya no existirán en formato de texto.

Además, esta innovación evita la dependencia de las operadoras de telefonía móvil, cuyas medidas de seguridad pueden ser vulneradas con tácticas de fraude como el SMS spoofing.

También protege a la propia Google de una práctica fraudulenta creciente conocida como "traffic pumping" o "toll fraud", en la que delincuentes generan un alto volumen de mensajes SMS de verificación (por los que la compañía ha de pagar a la operadora de turno)... porque ellos mismos controlan los números a los que van dirigidos, por lo que se lucran con cada mensaje de verificación que solicitan para lucrarse con cada mensaje enviado.

¿Mayor seguridad o sólo un nuevo desafío?

Si bien la autenticación mediante códigos QR representa una mejora significativa en seguridad respecto a los SMS, no está exenta de riesgos. Los códigos QR ya han sido usados en el pasado en ataques de phishing, para redirigir a los usuarios a sitios maliciosos que pueden comprometer sus credenciales.

Dado que Google es consciente de estas amenazas, probablemente implementará capas adicionales de seguridad.

En cualquier caso, es importante destacar que este nuevo método de autenticación no será el único disponible para los usuarios de Gmail: Google ya ofrece diversas alternativas de seguridad, como claves de acceso basadas en hardware y aplicaciones de autenticación, que seguirán estando disponibles para aquellos que deseen una protección aún más robusta.

Imagen | Marcos Merino mediante IA

En Genbeta | La Guardia Civil advierte de que este mensaje no es del 'equipo de soporte de WhatsApp': es un timo que puede robarte la cuenta

Una nueva modalidad de estafa empieza a popularizarse, y esta vez nos llega mediante SMS, y usando como anzuelo el indudable atractivo de una hamburguesa gratis. El Instituto Nacional de Ciberseguridad (INCIBE) ha empezado ya a alertar sobre esta amenaza que ya ha afectado a varios usuarios, incluyendo menores de edad, generando costos elevados en sus facturas telefónicas.

El caso de un menor víctima del fraude

El INCIBE ha difundido un caso reciente en el que un menor de edad recibió un SMS desde un número extranjero: el mensaje incluía el nombre de una reconocida cadena de comida rápida y ofrecía una hamburguesa gratis, permitiendo al receptor elegir entre tres opciones de regalo respondiendo con la letra correspondiente (A, B o C).

Sin sospechar que se trataba de un engaño, el menor respondió al mensaje. Poco después, su familia descubrió un incremento significativo en la factura telefónica. Tras revisar los registros de consumo, encontraron que se habían enviado 120 mensajes en pocos minutos a números internacionales, lo que elevó considerablemente el costo total de la factura.

La proliferación de estafas mediante SMS

Este fraude se suma a una lista creciente de estafas telefónicas que circulan a través de mensajes de texto. Algunos ejemplos recientes incluyen los falsos SMS de la DGT, que alertan sobre supuestas multas impagadas, o los mensajes que notifican la llegada de un paquete inexistente con el objetivo de robar datos bancarios y/o de instalar malware en los dispositivos de las víctimas.

En Genbeta

Spoofing: la ciberestafa que permite suplantar tanto e-mails como SMS y llamadas de voz

El Gobierno de España aprobó recientemente medidas para combatir este tipo de fraudes, con nuevas regulaciones que entrarán en vigor en los próximos meses. Entre ellas, se contempla una mayor supervisión del uso de códigos alfanúmericos como identificación de los SMS (lo que dificulta la suplantación de instituciones) y la exigencia de que las operadoras de telecomunicaciones bloqueen ciertos tipos de llamadas y mensajes de texto.

Cómo funciona la estafa

A diferencia de otros fraudes que incluyen enlaces maliciosos para robar información o instalar malware en el dispositivo, en este caso, la estafa se basa en manipularte para que te suscribas, sin saberlo, a servicios de SMS premium. Una vez que la víctima responde al mensaje, el dispositivo queda comprometido y comienza a enviar una gran cantidad de mensajes automáticamente a números extranjeros con tarifas elevadas.

Dependiendo del país de destino de estos mensajes, el costo puede variar, pero se estima que en muchos casos oscila entre 0,73 y 0,90 euros por SMS, lo que puede llegar a generar un gasto superior a los 100 euros en cuestión de minutos.

Medidas de seguridad recomendadas por el INCIBE

El INCIBE ha recomendado una serie de medidas para evitar caer en este tipo de estafas... así como para minimizar sus efectos en caso de haber sido ya víctima de las mismas:

1. Ante todo, nunca acceder a enlaces ni seguir indicaciones de SMS que resulten sospechosos.
2. Contactar con la compañía telefónica para dar de baja cualquier servicio de SMS premium y bloquear el envío de mensajes a números extranjeros.
3. Realizar un análisis del dispositivo con un antivirus para detectar posibles aplicaciones maliciosas.
4. Revisar todas las apps instaladas y desinstalar aquellas que no sean reconocidas, y revocar aquellos permisos que resulten extraños o innecesarios.
5. Recopilar evidencias del fraude, como capturas de pantalla del SMS, registros de consumo y facturas telefónicas y presentar la correspondiente denuncia ante las autoridades.
6. Interponer una reclamación ante la entidad bancaria adjuntando la denuncia policial si se han realizado cargos indebidos en la cuenta.

Imagen | Marcos Merino mediante IA

En Genbeta | Solíamos decir que "si sale en la primera página de Google será de fiar". Pero si te lo crees, puedes caer víctima de esta estafa

El Gobierno ha aprobado finalmente una nueva orden ministerial con el objetivo de combatir las estafas telefónicas y por SMS, una modalidad de fraude que ha crecido de forma alarmante en España en los últimos tiempos.

La normativa, que empezará a entrar en vigor de manera escalonada a partir de marzo, contempla medidas para impedir que los delincuentes utilicen numeraciones falsas o suplantadas para engañar a los ciudadanos. Destacan entre las iniciativas clave:

• La prohibición de llamadas comerciales desde números móviles.
• La obligación para las operadoras de bloquear ciertos tipos de llamadas fraudulentas en origen.

El secretario general de Telecomunicaciones, Infraestructuras Digitales y Seguridad Digital, Matías González, destacó que este plan sigue las mismas directrices ya aplicadas en países como Francia, Alemania o Finlandia, donde han logrado reducir hasta en un 90% las estafas telefónicas.

Medidas clave de la orden ministerial

La normativa establece varias medidas fundamentales que se aplicarán en plazos distintos, permitiendo que los operadores y organismos afectados puedan adaptarse progresivamente.

1. Bloqueo de llamadas con numeración no asignada o falsificada

A partir de los 20 días tras la publicación en el Boletín Oficial del Estado (BOE), los operadores estarán obligados a bloquear llamadas y mensajes de texto que muestren numeraciones que no hayan sido debidamente atribuidas, asignadas o adjudicadas. Esto incluye numeraciones vacías o ficticias, como las que comienzan por 3 o 4, que actualmente no corresponden a ningún servicio en España.

"Y si son ficticias, ¿cómo pueden mostrarse esas numeraciones?", te preguntarás. Bueno, pues igual que se suplantan numeraciones reales correspondientes a bancos: recurriendo al spoofing.

En Genbeta

Estoy en la Lista Robinson, pero no paro de recibir spam telefónico a todas horas. Y tiene todo el sentido del mundo

2. Restricción de llamadas internacionales con numeración manipulada

Otra de las medidas clave, que se aplicará a los tres meses de la entrada en vigor de la norma, es la obligación de los operadores de bloquear llamadas internacionales que simulan proceder de un número español. Esta técnica es una de las más utilizadas por los estafadores para generar confianza en la víctima.

La normativa establece que sólo se permitirá este tipo de llamadas para clientes en roaming, es decir, aquellos que se encuentren temporalmente en el extranjero y necesiten utilizar un número español.

3. Registro seguro de códigos alfanuméricos en SMS

Los fraudes vía SMS también se han convertido en una preocupación creciente. Para combatirlos, la CNMC creará una base de datos nacional con códigos alfanuméricos verificados. Esto evitará que los estafadores suplanten a entidades oficiales como bancos, compañías de envíos o administraciones públicas suplantando dichos códigos (técnicamente, en la actualidad, cualquiera puede mandar un SMS con el identificador 'BBVA', por ejemplo).

Esta medida, debido a su complejidad técnica y administrativa, se implementará en un plazo de 15 meses.

4. Fin de las llamadas comerciales desde móviles

Una de las medidas más esperadas por los consumidores es la prohibición de llamadas comerciales desde números móviles, una práctica que ha sido explotada por estafadores para engañar a los usuarios. Esta restricción será obligatoria a partir de los tres meses de la publicación de la norma en el BOE.

Ya explicamos hace unos días lo complicado que será hacer cumplir esta medida, sobre todo teniendo en cuenta los precedentes.

Además, se habilitará el uso de los números 800 y 900 para realizar llamadas comerciales, ya que hasta ahora solo podían recibirlas. Esto garantizará que las llamadas comerciales procedan de numeraciones específicamente destinadas a ese fin, facilitando a los usuarios la identificación de posibles comunicaciones de este tipo.

Sanciones para las operadoras incumplidoras

Para garantizar el cumplimiento de estas medidas, la orden ministerial establece sanciones de hasta dos millones de euros para las compañías telefónicas que no apliquen correctamente los bloqueos establecidos.

No obstante, la normativa deja claro que las operadoras no serán responsables de indemnizar a los usuarios que hayan sido víctimas de estafas. Estos deberán presentar una denuncia ante las autoridades correspondientes.

Imagen | Marcos Merino mediante IA

En Genbeta | Aumenta el número de casos de estafas mediante llamadas internacionales de WhatsApp: así puedes evitarlas