Nuevo fraude ‘smishing’ se propaga en Perú: estafa virtual roba datos personales desde el celular

En Perú, se ha detectado una nueva modalidad de estafa virtual que preocupa a las autoridades y a la población. Los delincuentes están empleando mensajes de texto, también conocidos como SMS, para robar datos personales de los ciudadanos a través de sus dispositivos móviles.

Esta técnica, conocida como ‘smishing’, consiste en enviar mensajes fraudulentos que aparentan ser de entidades confiables, como bancos, empresas de telefonía servicios courier o instituciones gubernamentales, con el objetivo de engañar a los destinatarios para que revelen información personal y financiera sensible.

Los mensajes suelen contener enlaces que dirigen a los usuarios a páginas web falsas, diseñadas para imitar a las oficiales. En estos sitios se solicita a las víctimas que ingresen sus datos, como nombres completos, números de identificación, direcciones, información de cuentas bancarias, entre otros. Una vez que los estafadores obtienen esta información, pueden cometer diversas actividades ilícitas, incluyendo el acceso a cuentas bancarias, solicitudes de créditos fraudulentos y la realización de compras no autorizadas.

Recientemente, la empresa de telefonía Claro alertó sobre este nuevo tipo de fraude virtual. Los estafadores utilizaban el nombre de la marca para ofrecer supuestos beneficios o advertencias sobre el vencimiento de los mismos. Mediante un comunicado en sus redes sociales, la empresa de servicios móviles alentó a los usuarios y dejó en claro que no está vinculada con estos contenidos que están circulando en varios números de celulares.

Según lo reportado por la compañía de telefonía, se trata de la estafa conocida como ‘smishing’. Esta práctica consiste en enviar mensajes de texto masivos a los usuarios, alertándolos sobre el supuesto vencimiento del servicio Claro Puntos.

Los perpetradores de este delito incluyen un enlace que simula ser una tienda virtual de Claro y solicitan a los usuarios ingresar los datos de su tarjeta de crédito o débito, con el fin de robar esta información para cometer otros delitos.

El ‘smishing’ es una táctica que implica el envío de mensajes de texto que parecen legítimos, provenientes de fuentes confiables como bancos, empresas de servicios o incluso entidades gubernamentales. Estos mensajes suelen alertar al receptor sobre situaciones urgentes que requieren atención inmediata, como problemas con cuentas bancarias o paquetes pendientes de entrega.

A través de esta modalidad, se incita al destinatario a hacer clic en un enlace o a proporcionar información personal para “resolver” el problema. Sin embargo, el enlace conduce a un sitio web falso diseñado para obtener datos sensibles o incluso instalar software malicioso en el dispositivo del usuario. Algunas de las estrategias comunes utilizadas en este tipo de estafa incluyen:

• Mensajes de alerta falsos: Los estafadores envían alertas fraudulentas sobre actividades sospechosas en cuentas bancarias o tarjetas de crédito, presionando a las víctimas para que verifiquen sus datos de inmediato.
• Promociones y premios falsos: Los destinatarios son informados de que han ganado un premio o sorteo, y se les pide que ingresen información personal o realicen un pequeño pago para reclamar su “premio”.
• Suplantación de entidades oficiales: Se envían mensajes que aparentan ser de instituciones reconocidas, como la Sunat o el Banco de la Nación, solicitando datos personales para trámites supuestamente obligatorios.

El término ‘smishing’ surge de la combinación de las palabras SMS y phishing (suplantación de identidad), utilizado por ciberdelincuentes para atacar teléfonos móviles. Según un informe del Security Report Latinoamérica de ESET, el Perú es el país con más ataques de las diversas modalidades de phishing en América Latina.

Este nuevo ataque cibernético que vulnera la seguridad de los celulares, utiliza un virus bancario conocido como ‘FluBot’, que se oculta en mensajes de texto.

Este malware, el ‘FluBot’, tiene la capacidad de tomar el control del dispositivo y robar datos y contraseñas utilizados para acceder a la banca móvil. Además, puede copiar la lista de contactos para propagar automáticamente el mensaje malicioso.

Esta ‘epidemia hacker’ tuvo su origen en España en 2021 y se expandió por toda Europa, generando variantes que se propagaron de manera similar al coronavirus, alcanzando otros continentes. Por ejemplo, ‘BRATA’ una variante que podría compararse con la ‘cepa’ brasileña del ‘FluBot’, surgió en dicho país sudamericano y se propagó a Estados Unidos y otros países de la región.

Las autoridades peruanas instaron a la población a reportar inmediatamente si se es víctima de ‘smishing’ y recomiendan no compartir información personal y tomar en cuenta los siguientes ocho consejos:

1. Si te llega un mensaje que aparenta ser de tu banco o de alguna empresa, y te piden que actualices tu información o confirmes datos de tu tarjeta haciendo clic en un enlace, ten cuidado, es probable que sea un intento de fraude. No te confíes de estas alertas urgentes ni de las ofertas que te presionan para actuar rápidamente.
2. No abras enlaces de correos electrónicos o mensajes de texto si no conoces al remitente. Si tienes dudas, borra el mensaje.
3. Es mejor evitar descargar aplicaciones que no sean oficiales o desconocidas, y asegúrate de tener desactivada la opción de instalar aplicaciones de fuentes desconocidas en tu dispositivo.
4. Presta atención a errores de ortografía, mensajes que no te nombran personalmente o que están escritos de manera extraña, como si fueran enviados por un contacto conocido pero con un estilo diferente. Podría ser que el teléfono de alguien que conoces haya sido hackeado y tú seas el siguiente objetivo.
5. Antes de ingresar tus datos en el portal de un banco o en un sitio de compras en línea, verifica que la dirección comience con un candado cerrado y con https, ya que la ‘s’ indica que la información que ingreses estará cifrada y segura.
6. Si recibes una notificación de tu banco informándote que tu cuenta está bloqueada, llama directamente al número oficial de atención al cliente del banco, no uses los números que te llegan en la notificación.
7. Mantén tu teléfono móvil actualizado y utiliza herramientas de seguridad como el “Gestor de Teléfono” para revisar posibles virus o malware en tu dispositivo.
8. Si descubres que han accedido a tu cuenta y han realizado cargos no autorizados, sigue estos pasos: primero, contacta con tu banco utilizando el número oficial de atención al cliente para informar sobre la suplantación de identidad. Luego, dirígete a una comisaría y presenta una denuncia formal.

Para reportar un delito informático, la opción más accesible para los ciudadanos es dirigirse a cualquier comisaría del país. Alternativamente, se puede contactar directamente con la División de Investigación de Delitos de Alta Tecnología (Divindat).

El coronel PNP Luis Huamán Santamaría, jefe de la Divindat, aconseja a los denunciantes conservar las pruebas relevantes, como mensajes o correos electrónicos recibidos, sin eliminarlos. Esto facilita el proceso de rastreo y persecución de los ciberdelincuentes.

Estos son los canales de denuncia de la Divindat:

• Llamar al número de emergencia 1818 o al número fijo (01) 431-8898
• Enviar un correo electrónico a divindat.depcpi@policia.gob.pe o a través de divindat.servicioguardia@policia.gob.pe.