Qué es la suplantación de identidad por SMS y cómo evitarla

La suplantación de identidad por SMS es un ciberataque muy común. Los estafadores usan un software especializado para manipular el ID del remitente del SMS y hacen que parezca que el mensaje proviene de una fuente legítima, como un banco. De esta manera, pueden robar información confidencial o descargar un malware en los teléfonos de los destinatarios.

Tipos de suplantación de identidad por SMS

Puede ser difícil distinguir entre mensajes legítimos y falsos. Para mayor seguridad, es muy importante estar alerta y tener cautela al responder a SMS no solicitados. Aquí tienes algunos ejemplos comunes de suplantación de identidad por SMS:

• ID de remitente falso

Es el tipo de suplantación de identidad más común. Consiste en reemplazar el ID del remitente por el número o nombre de una empresa reconocida. Por ejemplo, los estafadores se hacen pasar por Binance o TrustWallet para enviar un SMS de phishing, los cuales se agrupan en el mismo hilo que los mensajes oficiales, como los códigos de 2FA. Esto se debe a que los delincuentes usan la suplantación de identidad para manipular el ID del remitente y ocultar el verdadero origen del mensaje.

• Transferencia de dinero falsa

En este tipo de estafas, los delincuentes afirman que el destinatario ganó un premio. Luego piden los datos bancarios del destinatario para poder depositar las ganancias o que visite un enlace para reclamar el premio.

• Acoso

Implica enviar mensajes amenazantes o inapropiados para intimidar a las víctimas, con la esperanza de extorsionarlas para obtener dinero. Por ejemplo, amenazar con bloquear la cuenta del usuario. Los hackers suelen aprovecharse del miedo a perder activos. En esta situación, intenta mantener la calma y verificar el mensaje antes de actuar.

¿Cómo evitar ser víctima de una suplantación de identidad por SMS?

• Activa un código antiphishing: para mejorar la seguridad y combatir este tipo de estafas, ampliamos el uso de la función Código antiphishing a las comunicaciones por mensaje de texto. Una vez configurado, cuando recibas un SMS de nuestra parte, incluirá tu código personalizado (que solo tú conoces), lo que te permitirá confirmar que el mensaje es legítimo. Puedes configurarlo fácilmente desde la app o el sitio web:
• Aplicación: [Perfil] - [Información de la cuenta] - [Seguridad] - [Código antiphishing].
• Sitio web: [Perfil] - [Cuenta] - [Seguridad] - [Seguridad avanzada].

• Autoverificación: Los estafadores suelen enviar SMS falsos indicando inicios de sesión/retiros/vinculación a una API en tu cuenta. Por eso, cuando recibas un SMS inesperado, siempre:
  • Revisa el registro de seguridad
    • de tu aplicación: [Perfil] - [Información de la cuenta] - [Seguridad] - [Actividades de la cuenta].
    • Sitio web: [Perfil] - [Cuenta] - [Seguridad] - [Dispositivos y actividades].
  • Ten en cuenta que recibir un SMS o llamada falsos no necesariamente significa que tu cuenta de Binance fue vulnerada.
• Verificación automatizada: simplemente carga el SMS en el chatbot para comprobar rápidamente si el SMS que recibiste es oficial o no.

• Verifica la fuente del mensaje: siempre revisa con atención la fuente de un mensaje entrante antes de responder. Ten cuidado con cualquier mensaje no solicitado o que parezca sospechoso. Si tienes dudas, puedes contactar a Atención al Cliente de Binance para verificar la identidad del remitente.
• Habilita la autenticación en dos pasos (2FA) y las llaves de acceso: la 2FA agrega una capa adicional de seguridad a tus cuentas y evita que los hackers obtengan acceso mediante la suplantación por SMS. Las llaves de acceso (biometría) dificultan que los atacantes omitan este paso. Para obtener más información, consulta ¿Cómo crear una llave de acceso para mi cuenta de Binance?
• No compartas información personal: nunca compartas información sensible (p. ej., contraseñas, números de tarjetas de crédito y números de seguridad social) por mensajes de texto, especialmente con contactos no verificados.
• No hagas clic en enlaces sospechosos: no hagas clic en ningún enlace que te envíen por mensaje de texto sin verificar su legitimidad. Los enlaces podrían llevarte a sitios web de phishing que intentan robar tus credenciales de inicio de sesión o instalar un malware en tu dispositivo. Asegúrate de usar el sitio web oficial de la empresa. Por ejemplo, si tienes dudas de si el enlace, correo electrónico, número de teléfono, ID de WeChat, cuenta de Twitter o ID de Telegram es oficial, puedes comprobar su legitimidad en Binance Verify.

Aquí tienes una lista de sitios web de phishing sospechosos que se hacen pasar por Binance.

Ejemplos de suplantación de identidad por SMS

1. Notificación falsa de actualización de la cuenta

Un usuario de Binance recibió un SMS con el nombre de remitente "Binance", en el cual se le pedía que actualizara su cuenta para poder seguir usando los servicios.

Los delincuentes usaron un software especializado para manipular el ID del remitente del SMS y lograron que el mensaje falso pareciera provenir de Binance. Como el mensaje falso estaba en el mismo hilo que los mensajes oficiales de códigos de 2FA, el usuario asumió que el mensaje era legítimo. Después de iniciar sesión en el sitio web de phishing, los delincuentes lograron robar sus credenciales de la cuenta.

2. Solicitud falsa de cancelación de un retiro

Otro usuario de Binance recibió un SMS falso para confirmar un retiro. El usuario pensó que el mensaje era legítimo e inició sesión en su cuenta desde el sitio web de phishing para "cancelar la solicitud de retiro".

Después de obtener las credenciales del usuario, el hacker inició una solicitud de retiro desde su cuenta y lo guio para que ingresara el código de 2FA en el sitio web de phishing. Después de que el usuario ingresó el código, el delincuente retiró los activos con éxito.

Qué podemos aprender de este ejemplo:

• El usuario no verificó la URL del sitio web. Revisa siempre el enlace recibido en Binance Verify antes de ingresar.
• El usuario pensó que el código de 2FA se usaba para cancelar solicitudes de retiro. Sin embargo, si hubiera leído el mensaje con atención, habría notado que el código de 2FA estaba destinado a confirmar una solicitud de retiro. Por lo tanto, presta atención cuando recibas un mensaje con un código de 2FA. Siempre confirma el uso de un código de 2FA antes de ingresarlo.

3. Verificación falsa de una cuenta

Varios usuarios de Binance recibieron un SMS con un enlace para verificar o actualizar sus cuentas, lo cual era un intento de phishing para robar las credenciales de sus cuentas.

4. Solicitud de llamada o declaración personal

El delincuente puede afirmar que se identificó un "nuevo inicio de sesión" y pedirte que devuelvas la llamada a un número de teléfono sospechoso, o que declares datos personales mediante una URL sospechosa.

No llames ni hagas clic en ninguna de las fuentes proporcionadas. Puedes usar Binance Verify para comprobar la legitimidad de cualquier comunicado de Binance. Para obtener más información, lee ¿Qué es Binance Verify?

Si detectas alguna actividad de estafa que se haga pasar por Binance, repórtala de inmediato a nuestro equipo.