Anatomía de una estafa por SMS: Análisis de un mensaje de cobro jurídico falso

El smishing es una variante específica del phishing que utiliza mensajes de texto (SMS) para engañar a las personas. El término proviene de la combinación de "SMS" y "phishing". Su objetivo principal es robar información confidencial, como credenciales de acceso, números de tarjetas de crédito o datos de identidad, induciendo a la víctima a hacer clic en un enlace malicioso o a llamar a un número de teléfono fraudulento.

¿Cómo funciona el Smishing?

A diferencia del correo electrónico, el SMS genera una sensación de cercanía y urgencia mayor. Los atacantes suelen seguir este proceso: Suplantación de identidad: Se hacen pasar por una entidad de confianza (bancos, empresas de mensajería como Servientrega o DHL, entidades de tránsito o incluso la DIAN).El Gancho: Utilizan un pretexto urgente, como "cuenta bloqueada", "paquete retenido" o, como en el caso que me mostraste, una "orden de embargo". La Acción: El mensaje incluye un enlace que lleva a una página web falsa (clonada) diseñada para capturar tus datos en tiempo real.

Análisis del mensaje recibido

Existen varias "banderas rojas" en la imagen que indican que es un intento de estafa:

Enlace sospechoso: El link no pertenece a ninguna entidad gubernamental ni de tránsito oficial (como el SIMIT o el RUNT en Colombia). Las entidades oficiales usan dominios que terminan en .gov.co.
Sentido de urgencia y amenaza: Utilizan palabras fuertes como "EMBARGO DE BIENES" y "COBRO JURÍDICO" para asustarte y obligarte a actuar rápido sin pensar.
Promesas de descuentos irreales: Ofrecer un 50% de descuento inmediato a través de un enlace de texto es una táctica común para atraer a la víctima.
Remitente genérico: El mensaje proviene de un número corto (893182) que, aunque parece "oficial", es alquilado por servicios de mensajería masiva que los delincuentes usan para atacar a miles de personas a la vez.

Diferencias: Mensaje Legítimo vs. Fraudulento

Para protegerte en el futuro, utiliza esta tabla comparativa:

Característica	Mensaje Legítimo (Seguro)	Mensaje Fraudulento (Estafa)
Dominio del Link	Siempre termina en .gov.co (o el oficial de tu país).	Usa acortadores o dominios extraños (.cc, .xyz, .net, .info).
Identificación	Suele incluir tu nombre real o el número de placa del vehículo.	Usa términos genéricos como "Sr(a) INFRACTOR" o "Estimado usuario".
Tono	Informativo y formal.	Amenazante, alarmista o con promesas de premios/descuentos urgentes.
Ortografía	Correcta y profesional.	Errores de puntuación, falta de tildes o uso excesivo de mayúsculas.
Acción requerida	Te pide consultar en la página oficial directamente.	Te presiona para que hagas clic en un enlace directo para pagar.

¿Qué se debe hacer ahora?

No hacer clic: Si ya lo hiciste, cierra la página de inmediato y no descargues nada.
Bloquear y reportar: Bloquear el número en tu celular y márcalo como "Spam".
Verificar en fuentes oficiales: Si tienes dudas sobre multas reales, ingresa directamente a la página del SIMIT o de la Secretaría de Movilidad de tu ciudad digitando la dirección tú mismo en el navegador.

Cómo evitar ser víctima de Smishing

Para protegerte de estos ataques, puedes seguir estas reglas de oro:

1. Desconfía de la urgencia extrema. Si el mensaje te presiona para actuar "ahora mismo" o bajo amenaza de consecuencias legales inmediatas, es casi seguro que es falso. Las entidades oficiales siguen procesos de notificación formal.

2. No hagas clic en enlaces directos. Nunca accedas a la banca móvil o a portales de pago a través de un link enviado por SMS. La regla de oro es: cierra el mensaje, abre tu navegador y escribe manualmente la dirección oficial del banco o la entidad.

3. Verifica el remitente.

Aunque algunos atacantes pueden enmascarar el nombre del remitente (haciendo que aparezca el nombre del banco), la mayoría usa números cortos o internacionales desconocidos. Si no esperas un mensaje de esa entidad, ignóralo.

4. Nunca entregues códigos OTP. Jamás compartas por SMS o teléfono los códigos de un solo uso (OTP) que te llegan para autorizar transacciones. Ningún funcionario legítimo te pedirá esos números.

5. Mantén tu dispositivo actualizado. Las actualizaciones de seguridad de Android o iOS a menudo incluyen filtros de spam mejorados que bloquean estos mensajes antes de que lleguen a tu bandeja de entrada principal.

Dato clave: En Colombia, puedes reportar estos números sospechosos a través del CAI Virtual de la Policía Nacional para que el dominio sea bloqueado. También reportar el enlace en: Navegación segura de google.

Autor: Fredy Avila

No olvides Compartir...

Síguenos en twitter: @disoftin - @fredyavila - @PaolaMRincon

Anatomía de una estafa por SMS: Análisis de un mensaje de cobro jurídico falso

¿Cómo funciona el Smishing?

Análisis del mensaje recibido

Diferencias: Mensaje Legítimo vs. Fraudulento

¿Qué se debe hacer ahora?

Cómo evitar ser víctima de Smishing

Publicado por fredyavila2

Publicar un comentario

0 Comentarios

Visitas al sitio

Más popular

Dorks de carding para inyección SQL

IA aplicada a las fuerzas de Policía

Tecnologias incorporadas a las fuerzas de Policía

Protege tus datos personales: 7 consejos infalibles para evitar los peligros del smishing