El peligro del ‘smishing’: ciberdelincuentes intensifican el uso de mensajes SMS para fraudes en Perú

El fraude informático, especialmente a través de celulares robados, se ha convertido en uno de los delitos más frecuentes en el Perú. Según datos recientes, el 2023 marcó un récord de denuncias, con 21.842 casos presentados ante las fiscalías provinciales penales y mixtas del país. Esto representa un incremento del 58 % respecto al año anterior, de acuerdo con el diario El Peruano.

La Unidad Fiscal Especializada en Ciberdelincuencia inició funciones en 2021 con el objetivo de combatir esta creciente ola de crímenes digitales. Desde el 15 de junio de ese año hasta el 29 de febrero de 2024, se han registrado 33,372 denuncias en investigación, de los cuales se lograron resolver 23.016 de estas. Estos números reflejan el auge de este tipo de delincuencia y la necesidad de mayor acción.

Uno de los delitos más comunes es el smishing. Según Erick Iriarte, abogado experto en legislación informática, en conversación con Infobae Perú, este fraude “es un ataque de ingeniería social que utiliza mensajes de texto móviles falsos para engañar a las personas para que descarguen un virus, compartan información confidencial o envíen dinero a un delincuente. El término es una combinación de “SMS” (o “servicio de mensajes cortos”) y phishing”. Este proviene del inglés y está relacionado con la palabra fishing (pescar), ya que los estafadores “pescan” datos personales sensibles de sus víctimas.

De la misma forma, Diego Vences, experto en Data y Analytics de la empresa MoneyGram, explicó para este medio que “los SMS más comunes son aquellos que simulan emergencias o solicitudes de ayuda de familiares y amigos, intentando presionar a la víctima para que realice una transferencia de dinero. También son frecuentes los mensajes que suplantan a instituciones bancarias o que ofrecen empleos y premios falsos”.

El papel de las instituciones y la necesidad de medidas

Por su parte, Crisólogo Cáceres, presidente de la Asociación Peruana de Consumidores y Usuarios (ASPEC), destacó, en conversación con este medio sobre la gravedad del smishing en el Perú. “Aunque las cifras exactas pueden variar, informes de diversas entidades de seguridad han demostrado un incremento. Las tendencias observadas en los últimos años indican un aumento significativo de estos ataques, impulsados por la mayor dependencia de la tecnología y el uso de dispositivos móviles para diversas transacciones diarias”, señaló

Destaca que existen hay problemas fundamentales relacionados con este delito. En primer lugar, mencionó la ausencia de una legislación específica que aborde este tipo de fraude. Además, subraya la falta de concientización y educación entre los consumidores, lo que los deja vulnerables a estas estafas.

Asimismo, propuso una serie de medidas regulatorias para mejorar la protección de los usuarios. Estas incluyen la promulgación de una ley que sancione tanto el smishing como el phishing en general, la obligación de que las empresas de telecomunicaciones implementen sistemas de seguridad capaces de detectar y bloquear mensajes fraudulentos antes de que lleguen a los usuarios, y la creación de programas educativos que fomenten la concientización.

El decano de la carrera de Ingeniería de Software de la Universidad Científica del Sur, Wester Zela, precisó, en conversación con Infobae Perú, que “el desarrollo de aplicaciones seguras frente a ataques de smishing presenta múltiples desafíos. Uno de los principales es la naturaleza dinámica y multifacética del smishing, que combina técnicas de explotación de vulnerabilidades y de ingeniería social, como la manipulación psicológica de los usuarios”.

Además, recalcó que “es vital crear interfaces intuitivas y seguras que alerten a los usuarios sobre posibles amenazas sin generar falsas alarmas, y que faciliten la verificación de la autenticidad de los mensajes. Otro reto importante es la integración de soluciones de autenticación robusta, como la autenticación multifactorial (MFA), para proteger las interacciones a través de plataformas vulnerables, como SMS o aplicaciones de mensajería”.

Asimismo, mencionó que las empresas deben implementar programas de concientización sobre ciberseguridad que incluyan la identificación de posibles ataques.

Vences, por su parte, mencionó que el avance de la inteligencia artificial está siendo aprovechado por los estafadores para perfeccionar sus tácticas de smishing. “Hoy en día, se utiliza bastante la IA para realizar este tipo de estafas. La mejor forma de enfrentarlas es utilizando más tecnología, con herramientas avanzadas que detecten y bloqueen estos intentos de fraude”, sugirió.

Sin embargo, también alertó sobre la rapidez con la que evoluciona la tecnología, lo que hace que las empresas y usuarios estén constantemente en riesgo. “Las empresas deben estar actualizadas en cuanto a los nuevos tipos de estafas que surgen. No solo es crucial que realicen evaluaciones internas, sino que también promuevan la educación entre los usuarios, ya que ellos son el blanco principal de estos ataques”, concluyó.

Recomendaciones para los ciudadanos

Wester Zela especificó que “el smishing puede tener un impacto devastador en el ciudadano promedio, ya que es un ataque directo diseñado para robar información financiera, como números de tarjetas de crédito o credenciales de acceso a bancos y cuentas personales”.

Erick Iriarte aconsejó a los ciudadanos que eviten abrir mensajes o hacer clic en enlaces no solicitados. Además, destacó la importancia de verificar la fuente de la información antes de interactuar con cualquier mensaje recibido.

¿Cómo denunciar un delito informático?

Para denunciar un delito informático, los ciudadanos pueden acudir a cualquier comisaría del país o contactar directamente a la División de Investigación de Delitos de Alta Tecnología a través de un número telefónico 942 440 729 o correo electrónico divindat.servicioguardia@policia.gob.pe.

La entidad recomienda a los ciudadanos guardar las evidencias y no eliminar los mensajes o correos electrónicos recibidos para facilitar el rastreo de los ciberdelincuentes.

¿Qué dice la legislación sobre el fraude informático?

Por su parte, de acuerdo con la Ley Nº 30096 este delito es definido como “el que deliberada e ilegítimamente procura para sí o para otro un provecho ilícito en perjuicio de tercero mediante el diseño, introducción, alteración, borrado, supresión, clonación de datos informáticos o cualquier interferencia o manipulación en el funcionamiento de un sistema informático, será reprimido con una pena privativa de libertad no menor de tres ni mayor de ocho años y con sesenta a ciento veinte días-multa”

La pena será privativa de libertad no menor de cinco ni mayor de diez años y de ochenta a ciento cuarenta días-multa cuando se afecte el patrimonio del Estado destinado a fines asistenciales o a programas de apoyo social.”

De acuerdo con Iriarte, “el smishing, al igual que el phishing, son formas de estafa informática”. De acuerdo con el abogado, “el tema va por dos lados: creación de una cultura de ciberseguridad para evitar caer en estas estafas, y por el otro lado law-enforcement para la persecución de dichos delitos”.