Antes de que arranque el torneo, los ciberdelincuentes ya llevan semanas preparando mensajes falsos sobre boletos, premios, streaming y alertas bancarias. Llegan justo cuando bajas la guardia. Se llama smishing y está diseñado para que no notes la diferencia.
El mensaje que no viene de donde dice venir
Tu celular vibra. Número desconocido, pero el texto parece urgente: “Su BancaNet se ha bloqueado por motivos de seguridad. Para desbloquear, confirme su identidad: http://bit.ly/…”
O quizás llega esto:
“¡Felicidades! Ganaste 2 entradas para el partido de México en el Mundial. Reclama antes de las 11:59 PM: [enlace]“.
Ninguno viene de donde dice venir. Los dos son smishing: estafas por mensaje de texto construidas para que actúes antes de pensar. El mecanismo es siempre el mismo, el atacante se hace pasar por una institución conocida, un banco, el SAT, una aerolínea, una plataforma de apuestas, y elige un solo ingrediente: urgencia.
“Último aviso“, “Tu cuenta será suspendida“, “Solo quedan 3 lugares“, todo calculado para que no te detengas a verificar.
Por qué el Mundial es temporada alta
Los eventos masivos no solo mueven pasiones, mueven distracción. Durante cuatro semanas, miles de millones de personas buscan boletos, streams, promociones y resultados al mismo tiempo. Ese ruido colectivo es el escenario ideal para que un mensaje falso pase desapercibido entre decenas de notificaciones reales.
Las campañas de smishing ligadas al Mundial no son improvisadas, se preparan con anticipación y se afinan conforme avanza el torneo: mensajes alineados con el calendario de partidos, los países clasificados, los goles del día anterior. Cuanto más relevante parece el texto, más probable es que alguien le dé click.
Analistas del sector, citados por Infobae México, proyectan picos de hasta 55 millones de ataques mensuales durante el torneo, vinculados a boletos falsos, hospedajes clonados y esquemas que aprovechan el entusiasmo del Mundial. Es una estimación, no un dato oficial.
Lo que pasa después del Click
Un click lleva a una página que imita la interfaz del banco o plataforma con bastante fidelidad. Logo, colores, formulario, todo en su lugar. Lo que falta es que sea real. Quien ingresa sus datos ahí los entrega directamente al defraudador.
En algunos casos ni siquiera hace falta el click: descargar un archivo puede instalar un malware que trabaja en silencio mientras el usuario sigue usando el celular sin notar nada extraño.
Lo que se roba: contraseñas, números de tarjeta, datos de identidad, etc., no siempre se usa de inmediato. A veces se vende o se guarda para meses después, cuando quien cayó ya olvidó haber tocado ese enlace.
Hay algo más que conviene saber: el número de origen no garantiza nada. Existe una técnica llamada spoofing que permite falsificar el remitente. Un SMS puede aparecer como si viniera de tu banco sin venir de ahí.
Una cifra que dice todo
Según datos de la CONDUSEF analizados por The Competitive Intelligence Unit, en México se registran 10 denuncias por fraude financiero por minuto. La mayoría ocurre desde un celular. Y uno de cada tres internautas reconoce que no sabría identificar un mensaje fraudulento.
El Mundial no crea el problema. Lo amplifica.
Qué hacer, sin necesitar ser experto
Las instituciones oficiales no solicitan contraseñas, códigos de verificación ni datos bancarios por SMS. Si un mensaje te pide eso, es una estafa, sin importar lo convincente que se vea.
Si recibes algo que te genera urgencia, ese solo hecho ya es razón para frenar. Abre la app de tu banco directamente, sin tocar el enlace. Si el cargo sospechoso que te mencionan no aparece ahí, el mensaje era falso.
Desconfía de los premios que no buscaste. Nadie rifó tu número entre millones de personas para regalarte entradas al Mundial. Ese modelo no existe fuera de las estafas.
Y si ya caíste, actúa rápido. Estas tres dependencias federales reciben tu denuncia:
- CONDUSEF, para fraudes vinculados a bancos, tarjetas o servicios financieros: gob.mx / 800 999 8080.
- Guardia Nacional, para delitos digitales de cualquier tipo, desde cualquier estado del país: 088.
- Profeco, para fraudes con boletos, paquetes de viaje, plataformas de streaming o cualquier servicio al consumidor: gob.mx / 800 468 8722.
Cambia tus contraseñas y activa la verificación en dos pasos en cuanto puedas.
El smishing no funciona porque la gente sea descuidada, funciona porque durante el Mundial todos vivimos la misma emoción simultáneamente: buscamos lo mismo, hablamos de lo mismo, reaccionamos al mismo tiempo. Esa emoción simultánea es exactamente lo que explotan quienes diseñan estas campañas.
El gol más importante de estos meses no lo va a meter ningún delantero. Lo metes tú la próxima vez que te llegue un mensaje sospechoso y lo ignores sin pensarlo dos veces.
¡No le des click!
