Todos obtenemos contraseñas de un solo uso (OTP) y otra información bancaria confidencial en números de teléfono móvil vinculados a nuestras cuentas bancarias. Los bancos y otras instituciones financieras, así como las compañías de monederos electrónicos, advierten regularmente a los clientes que no compartan estas OTP móviles con otras personas, que no divulguen datos personales con nadie con el pretexto de tener un KYC móvil y que mantengan actualizados los números de teléfono móvil con los bancos para recibir alertas por SMS de todas las transacciones.
La razón por la que los clientes necesitan estar en guardia constantemente es porque los estafadores siguen desarrollando nuevas herramientas y técnicas para engañar a ciudadanos inocentes. Una adición a la lista es la suplantación de SMS. Es una técnica en la que la información del remitente se altera en el texto SMS. Permite enviar SMS haciéndose pasar por otra identidad. En palabras simples, una falsificación de SMS es aquella en la que el nombre y el número de teléfono móvil del remitente se cambian para fingir que no son alguien.
En nuestro caso, es decir, bancario, la identificación del remitente generalmente se cambia para que el SMS parezca legítimo y genuino de un banco.
Cómo funciona la suplantación de SMS
El estafador le enviará un SMS y le pedirá que lo reenvíe a un número específico de su número de teléfono móvil del banco registrado. Una vez que reenvías el SMS, el estafador puede vincular/registrar tu número de teléfono móvil con UPI en su teléfono inteligente.
Posteriormente, puede llamarle para pedirle detalles relacionados con la cuenta, como el número de tarjeta de débito, el PIN de la tarjeta de cajero automático, la fecha de caducidad de la tarjeta de débito y OTP, si es necesario. Obtener estas credenciales le permite crear un Número de Identificación Personal de Banca Móvil o MPIN para su cuenta registrada en su dispositivo. Este MPIN se utilizará posteriormente para autenticar transacciones desde la cuenta bancaria.
En algunos casos, el estafador puede enviar una «solicitud de cobro» a su ID de UPI y pedirle que apruebe la solicitud. Esto se hace generalmente con el pretexto de ofrecer reembolsos. Al caer en el anzuelo, uno puede terminar autenticando la transacción, terminando en perder dinero.
