A estos intentos de estafa se les conoce como ‘smishing’ y, por desgracia, no siempre resultan fáciles de identificar. Algunos, incluso, se agrupan en nuestro móvil junto a otros que de verdad nos ha mandado la compañía en cuestión, lo que ha tenido consecuencias fatales para muchos usuarios. Según Jonay Puente, docente del Máster de Ciberseguridad de IMF, «puedes acabar en una web falsa, perder dinero, o instalar una ‘app’ maliciosa diseñada para robarte los datos». Y sin darte cuenta.

Para evitarlo, el docente aconseja dos cosas. Por un lado, desconfiar de aquellos mensajes que «incluyen un enlace para pinchar o un número al que llamar y piden algo que no debería solicitarse por SMS: claves, números PIN, datos de tarjetas bancarias, códigos de un solo uso…». Y por otro, hacerlo también «si la URL que aparece no se corresponde con un dominio oficial o está acortada».

Parece sencillo, pero el panorama es desalentador porque cada vez hay más ataques. En el último año el ‘smishing’ se ha incrementado hasta en un 20%. Y con las granjas de tarjetas SIM a pleno rendimiento –pueden llegar a enviar 2,5 millones de mensajes falsos por día–, las grandes multinacionales han optado por buscar otra solución para que no pasemos de sus comunicaciones. Son los llamados SMS verificados.

«En móviles y apps compatibles, algunos mensajes de empresas muestran su nombre y logo con una insignia de verificación. La idea es que el usuario distinga mejor un mensaje real de una suplantación típica de bancos o paquetería, lo que reduce la posibilidad de engaño cuando alguien intenta hacerse pasar por una marca reconocida», explica el experto de IMF.

Ahora bien, ¿cómo funcionan estos mensajes verificados? Están basados en la tecnología RCS (siglas anglosajonas de ‘Rich Communication Services’ o Servicios de Comunicaciones Enriquecidos), que permite el envío de mensajes con información adicional. La buena nueva es que la inmensa mayoría de operadores los soportan y que los usuarios no tienen que configurar nada: recibirán estos SMS directamente en la aplicación de mensajes de su teléfono.

BBVA, una de las primeras entidades en subirse al carro de los SMS verificados, explica en su sitio web cómo distinguirlos de los mensajes de texto de toda la vida: «En Android verás el nombre de BBVA y el logo oficial, acompañado de un ‘check’ azul y el texto ‘Canal oficial de BBVA’ (al pulsar sobre el logo podrás acceder a nuestra información de contacto: teléfono, web y correo electrónico). Por su parte, en iPhone se muestra el nombre de BBVA y el logo junto al indicador ‘Mensaje de texto RCS’. Además, la verificación se confirma al pulsar sobre el logo, donde se verá la validación efectuada por la compañía telefónica».

En dicho proceso de validación radica la clave de este nuevo sistema: las empresas que quieran soportarlo deben registrar y certificar tanto su nombre como su logotipo a través de una empresa verificadora (usualmente un operador de telefonía). A su vez, la compañía de verificación debe figurar en el listado de confianza de la operadora correspondiente al móvil que recibirá los mensajes. Finalmente, nuestra app de mensajes realiza una tercera comprobación y aplica el ‘check’ al texto recibido para que estemos seguros de que resulta legítimo.

Con lo expuesto y siguiendo el ejemplo de BBVA, si un ciberdelincuente intenta suplantar al banco de ahora en adelante, su mensaje aparecerá en un hilo antiguo de mensajes SMS, sin el logo de la entidad. «Dicha ausencia es la pista más importante que debes tener en cuenta para desconfiar inmediatamente de esa comunicación», explica la firma.

Lo anterior no quita para que, en caso de no contar momentáneamente con conexión a internet, podamos recibir un SMS auténtico y sin logo de BBVA. En estas situaciones es fundamental recordar que ninguna compañía nos va a solicitar, bajo ningún concepto, datos personales o bancarios a través de mensajes: «Es el único punto flaco de los SMS verificados: no bloquean los mensajes de los estafadores ni evitan el fraude si el usuario entrega datos o códigos», sentencia Puente.