"Estimado cliente,su tarjeta a sido bloqueada por actividades sospechosas. Para reactivarla, verifica tu identidad: https://www.configuracion-movil.online". Este es el texto de un SMS recibido hace dos días por la usuaria de Twitter @MamaConseja_.
Podríamos pensar que, con esa falta de ortografía, el mensaje se ve aún más sospechoso que las 'actividades' a las que hace referencia. Sin embargo, la usuaria en cuestión hizo clic en el enlace por una —aparentemente— buena razón…
…el mensaje se le mostraba en el mismo 'hilo' de mensajes que los anteriores SMS enviados por su banco, el BBVA, con los códigos necesarios para realizar operaciones de banca a distancia, como puede verse en la siguiente imagen:
Vía @mamaconeja_ (Twitter).
Al abrir el enlace en el navegador, se le mostraba una web (que ya ha dejado de estar disponible) en la que se le pedían los datos de su cuenta online. Por fortuna para la usuaria, ese detalle le "olió mal", y optó por no completar la solicitud de datos, prefiriendo entrar en la app oficial:
"[Allí] no aparecía nada de que mi tarjeta estuviese bloqueada ni compra sospechosa alguna, así que lo dejé estar y he llamado esta mañana al servicio de atención al cliente de BBVA".
La usuaria continúa relatando que la telefonista le confirmó que se trataba de un ataque de phising que ya ha sido denunciado por varios clientes, y que el atacante "les han copiado el modus operandi a la perfección".
Poco después la misma cuenta del BBVA le respondía lo siguiente:
Hola, gracias por el aviso. Nuestros equipos ya están monitorizando este caso. Te recomendamos que elimines el mensaje y bloquees al remitente. Un saludo.
— BBVA (@bbva) August 5, 2021
Nadie ha hackeado al BBVA, es un simple caso de 'spoofing'
Pero un par de usuarios contestaron a este tuit planteando una duda tan legítima como aparentemente obvia: ¿cómo va a bloquear al remitente si, en teoría, es el propio banco? Y, si no lo es, ¿por qué aparece en el listado de SMS como un mensaje más del mismo origen?
Pero la explicación de cómo es posible realizar un ataque como éste es sencilla, y no difiere en lo fundamental de estafas vía SMS ya conocidas, como la de las tasas de aduana de Correos.
Deepak Daswani (cofundador de Hackron, el Congreso anual de Hacking en Tenerife) se lo explicaba así a los compañeros de Xataka:
"Hay formas de hacerlo, pero lo más fácil es contratar un servicio de SMS para dar forma al ID del usuario o remitente".
"Hay servicios de este tipo gratuitos, donde se contrata un proveedor externo de otro país y te deja enviar mensajes con el remitente que tú quieras".
Esta técnica es conocida como 'SMS Spoofing', y fundamentalmente permite falsificar un mensaje remitido desde una fuente desconocida para hacerla pasar por una de confianza. Y no hace falta ser ningún superhacker para ello: existen multitud de webs que permiten falsificar un SMS desde un sencillo formulario, a veces, incluso, de manera gratuita.
En la siguiente imagen podemos comprobar que indicar el remitente es tan sencillo como poner un texto en el campo 'From'. Y si dicho remitente —pongamos, por ejemplo, 'BBVA'— coincide con otro del que ya hayamos recibido notificaciones vía SMS, se mostrará en nuestro móvil como parte del mismo hilo de mensajes:
De hecho, incluso los remitentes legítimos hacen uso de esta función para permitir que todos los mensajes que nos remiten, que no tienen por qué proceder siempre del mismo número, se muestren agrupados.
Así que no, nadie se ha hecho pasar por el BBVA ni les ha "copiado el modus operandi a la perfección", como decía la telefonista de Atención al Cliente. Sencillamente, alguien ha escrito 'from:BBVA' en un formulario web.
Ver 8 comentarios