Alerta de seguridad en la Web3: Suplantación de identidad vía SMS

Resumen

● En este artículo te explicamos la mecánica de suplantación de identidad vía SMS y cómo se está utilizando en ataques de phishing dirigidos a usuarios de Bitget. Detallaremos cómo los estafadores falsifican las identidades de los remitentes y explotan la psicología humana para llevar a cabo sus estafas.

● También describiremos las medidas de seguridad de Bitget, incluidos los plazos de reflexión, los canales de verificación oficiales y la autenticación de dos factores (2FA) para proteger las cuentas de los usuarios.

● Por último, compartiremos prácticas recomendadas para que los usuarios mejoren la seguridad de sus cuentas, como instalar software antivirus, evitar links sospechosos y gestionar la información sensible en todas las plataformas.

Recientemente, hemos observado un aumento de tácticas de phishing en determinados países y regiones, donde los estafadores falsifican mensajes SMS oficiales, que se mezclan fácilmente con conversaciones legítimas entre los usuarios y la plataforma de Bitget, lo que los hace muy difíciles de detectar. Aprovechando esta falla, una oleada de ataques de phishing se han dirigido a usuarios de Bitget: los SMS falsos aparecen en el mismo hilo de chat que los oficiales y, a menudo, utilizan identificadores de remitente idénticos, lo que supone un importante riesgo para la seguridad.

A medida que los smartphones se vuelven esenciales tanto para el trabajo como para la vida personal, también aumenta el crimen cibernético dirigido a los dispositivos móviles. Dado que la mensajería de texto es una de las funciones más comunes de los smartphones, el phishing basado en SMS se ha convertido en una amenaza particularmente sigilosa. Veamos cómo funciona la suplantación de identidad vía SMS.

¿Qué es la suplantación de identidad vía SMS?

La suplantación de identidad vía SMS es un tipo de fraude cibernético en el que los atacantes falsifican el número de teléfono del remitente o la identificación del remitente. Cuando se reciben los mensajes, el smartphone los agrupa en hilos existentes según la información del remitente, lo que hace creer a las víctimas que los mensajes proceden de una fuente de confianza (como un banco, un amigo o una institución oficial). Los estafadores utilizan este disfraz para inducir a las víctimas a revelar información personal, hacer clic en links maliciosos, descargar malware o incluso transferir fondos, lo que lleva al fraude o robo de datos.

¿Cómo funciona?

● Identidad falsa del remitente: Los atacantes pueden suplantar cualquier número, como el de Bitget, agencias gubernamentales o incluso contactos personales, lo que hace que el mensaje parezca muy creíble.

● Intención encubierta: Los mensajes suelen enmarcarse como avisos urgentes, alertas de seguridad o actualizaciones importantes para bajar la guardia de la víctima.

Ataques dirigidos: Los mensajes a menudo imitan notificaciones de plataformas específicas (como exchanges de criptomonedas), lo que crea confusión y engaña a los usuarios.

Situaciones comunes

● Ataque de phishing: Engaña a los usuarios para que hagan clic en links falsos que llevan a sitios de phishing donde roban las credenciales de las cuentas.

● Estafas de suplantación de identidad: Los atacantes fingen ser amigos, instituciones o representantes del servicio de atención al cliente para solicitar transferencias de dinero.

● Entrega de malware: Incrusta código malicioso o links en los SMS para infectar el dispositivo del usuario.

Principio subyacente

Independientemente de la situación, el núcleo de los ataques de suplantación de identidad vía SMS reside en el engaño y en la manipulación. Fingiendo ser alguien en quien el usuario confía, los estafadores tienen más probabilidades de éxito. Estos ataques suelen implicar ingeniería social, es decir, la manipulación de las emociones y el comportamiento humanos a fin de atrapar a las víctimas. Así es como ponen las trampas:

● Explotación de la confianza: Los delincuentes cibernéticos se hacen pasar por entidades legítimas o identidades creíbles (soporte de Bitget, afiliados, amigos y KOLs), aprovechando nuestro instinto de confiar en nombres conocidos. Como los SMS se perciben como privados, es más probable que los usuarios crean la información sin cuestionarla.

● Relevancia contextual: Los estafadores adaptan los mensajes para que coincidan con situaciones que tienen sentido, como fingir que envían una alerta de retiro de fondos de tu cuenta de Bitget. Dado que los SMS suelen utilizarse para actualizaciones importantes, es menos probable que los destinatarios duden de su autenticidad de inmediato, lo que los hace más susceptibles a la trampa del atacante.

● Manipulación emocional: Mediante la creación de urgencia (por ejemplo, "actividad anormal de la cuenta" o "verificar ahora") o aprovechando el miedo, la curiosidad o la ansiedad, los estafadores anulan el juicio racional. Las víctimas se ven empujadas a tomar decisiones precipitadas: hacer clic en links, ingresar contraseñas o enviar códigos 2FA. Esta interferencia emocional es la clave del éxito.

Principios técnicos

● Falsificación de la ID del remitente: Los estafadores utilizan software o scripts maliciosos para falsificar el número del remitente y enviar SMS directamente a tu teléfono.

● Servicios VoIP: Los servicios de Voz sobre Protocolo de Internet (VoIP) permiten a los atacantes establecer cualquier nombre o número de remitente. Por ejemplo, pueden suplantar el número oficial del servicio de atención al cliente de Bitget para que aparezcan mensajes falsos dentro de tu hilo legítimo de SMS de Bitget. Cuando estos mensajes SMS falsos se envían a tu teléfono, pueden aparecer directamente en tu conversación SMS normal con Bitget, lo que te hace creer que se trata de una alerta oficial.

● Pasarelas SMS: Los atacantes pueden alquilar o secuestrar pasarelas SMS fraudulentas, o confabularse con proveedores de servicios sospechosos para enviar mensajes falsos que parezcan proceder de Bitget.

Protecciones de seguridad de Bitget

Bitget se compromete a informarte y a mantenerte un paso adelante de lo que ocurre en tu cuenta.

Alertas por correo electrónico

Si vinculaste tu correo electrónico, recibirás un mensaje cada vez que inicies sesión desde un nuevo dispositivo. Estos correos electrónicos incluyen tu código anti-phishing, código de verificación, ubicación de inicio de sesión, dirección IP y detalles del dispositivo. Tómate siempre un momento para verificar que esta información coincide con tu actividad.

Si accedes a tu cuenta desde otro lugar, recibirás un correo electrónico de seguimiento en el que se te notifica el inicio de sesión. Verifica este acceso.

Cuando realices un retiro, recibirás un correo electrónico con el código de verificación y todos los detalles de la transacción. Confirma siempre que todo coincide con el retiro previsto.

Plazo de reflexión (1 hora o 24 horas)

Para evitar acciones impulsivas causadas por estafas, Bitget implementó un plazo de reflexión, una custodia temporal que se activa cuando el sistema detecta riesgos potenciales en la cuenta (como ubicaciones de inicio de sesión inusuales, transacciones sospechosas o sospechas de fraude):

Plazo de reflexión: Según el nivel de riesgo (1 hora o 24 horas).

● Periodo de 1 hora: Para situaciones de menor riesgo (por ejemplo, inicios de sesión remotos), esta breve demora pausa los retiros para que los usuarios puedan verificar la actividad de la cuenta.

● Periodo de 24 horas: En situaciones de alto riesgo (por ejemplo, cambios en el método de verificación o riesgos de phishing), se suspenden todos los retiros, lo que da tiempo a los usuarios para volver a evaluar la seguridad de la cuenta.

Canales de verificación oficial

Si no tienes seguridad sobre la identidad de alguien, siempre puedes verificarla a través del canal de verificación oficial de Bitget.

Prácticas recomendadas para mejorar la seguridad de la cuenta

Activa varios métodos 2FA

La autenticación de dos factores (2FA) es una layer crítica de protección que requiere dos métodos separados de verificación de identidad. Esto puede incluir combinaciones de correo electrónico, contraseñas, SMS, Google Authenticator, llaves de seguridad u otros métodos. Utilizar varias opciones de 2FA refuerza enormemente la seguridad y confiabilidad de tu cuenta.

Establece un código anti-phishing

Un código anti-phishing es una función de seguridad de Bitget que ayuda a los usuarios a identificar sitios web de phishing. Una vez que actives esta opción, todos los correos electrónicos oficiales y SMS de Bitget (sin incluir los códigos de verificación por SMS) incluirán tu código único anti-phishing. Los correos electrónicos y SMS de phishing no contendrán códigos anti-phishing, por lo que los usuarios podrán identificar fácilmente si proceden de los canales oficiales de Bitget.

Para configurarlo, ve a Perfil > Seguridad > Código anti-phishing y sigue las instrucciones.

Visita este link para obtener más detalles sobre los códigos anti-phishing.

Activa la confirmación de la dirección de retiro

Al retirar fondos a través del sitio web de Bitget, existe el riesgo de actividades maliciosas como el secuestro de tráfico, que puede alterar tu dirección de retiro. Para evitarlo, Bitget ofrece un interruptor de verificación entre dispositivos. Se te solicitará que escanees un código QR con la app móvil de Bitget para confirmar la dirección de retiro antes de que la solicitud pueda iniciarse.

Practica una buena higiene contable

Instala software antivirus. Descarga siempre apps y software de fuentes oficiales de confianza y evita hacer clic en links recibidos por SMS. Para mejorar aún más la seguridad de tu cuenta, considera la posibilidad de utilizar un dispositivo específico para acceder a cuentas sensibles o confidenciales. Nunca pongas todos los huevos en la misma cesta. Evita iniciar sesión en tu correo electrónico, insertar una tarjeta SIM y almacenar Google Authenticator en el mismo teléfono. Si pierdes tu dispositivo o se ve comprometido, tenerlo todo en un único dispositivo podría significar perderlo todo. Repartir el riesgo puede reducir significativamente las pérdidas potenciales.

Conclusión: La seguridad empieza por la concientización y depende de ti

La tecnología puede crear defensas en el campo de seguridad de la red, pero tu concientización y vigilancia son la custodia definitiva. Los estafadores se aprovechan de la confusión y de la urgencia, pero cuando estás informado, puedes detectar las trampas y responder con confianza. Bitget proporciona un marco de seguridad de múltiples capas para proteger a los usuarios, pero la custodia más poderosa es tu propia comprensión del riesgo. Cada conocimiento sobre estafas que adquieras es otro escudo que protege tus activos.

El conocimiento es poder. La acción es protección. Bitget seguirá actualizando los recursos antiestafa y las alertas de riesgo. Cada vez que compruebas dos veces un detalle o tomas una decisión prudente, ahuyentas a los estafadores. Trabajemos juntos para hacer de la seguridad nuestra base común.

Más información: Prácticas de seguridad recomendadas de Bitget