El SMS sin errores de un número oculto llama: “Estimado cliente, queda pendiente de pago un saldo impago de 6,80 euros. Sin regularización antes del 12/10/2025 su servicio quedará suspendido definitivamente. Siga las instrucciones de…” El mensaje redirige a un sitio de pago falso, con los colores de un servicio de peaje de autopista.
Convertido en un clásico desastre de las estafas “smishing”, el mensaje, firmado por la Agencia Nacional de Tratamiento Automatizado de Delitos (Antai), es utilizado por estas empresas privadas con la misma técnica: pidiendo el pago urgente de una deuda atrasada. ¿Objetivo de esta nueva estafa online? Como mínimo, roban sus datos personales o, en el peor de los casos, retiran una pequeña suma mientras recuperan sus datos bancarios.
“Vimos llegar los primeros mensajes en primavera y desde entonces todas las empresas de autopistas, como Vinci, se han visto afectadas. Los SMS en nombre de Sanef aparecieron hace tres o cuatro semanas contra los automovilistas de la zona”, recuerda Christophe Sicard, experto en ciberseguridad de la plataforma de atención a las víctimas Cybermalveillance.gouv.fr.
Las empresas están luchando por frenar el fenómeno. “Somos víctimas de robo de identidad a través de campañas de phishing que no podemos predecir. Por eso presentamos una denuncia contra X”, nos cuenta Ulys. “Se trata de ataques contextualizados que se vuelven creíbles porque apuntan a servicios que realmente utilizamos a diario”, analiza Bernard Montel, director técnico para EMEA de la empresa de ciberseguridad Tenable.
IA para ataques “personalizados”.
La última campaña se dirige a los usuarios de la A13, con sus peajes libres, que no pagarían por el paso. Con un detalle inquietante en phishing. Algunos mensajes fraudulentos requieren atención al detalle para incluir su nombre, pero también la marca del vehículo y la matrícula.
Esto no sorprende porque los ciberdelincuentes han industrializado sus prácticas. Explotan la gran cantidad de datos personales que se encuentran disponibles tras filtraciones de grandes marcas o instituciones. Nombre, apellido, número de teléfono o dirección de correo electrónico personal… la vertiginosa multiplicación de estos robos de información personal proporciona una materia prima inesperada para los ciberdelincuentes especializados en “phishing” o “smishing”.
Reunidos en grandes archivos, estos millones de datos valen inicialmente decenas de miles de euros para ser revendidos en plataformas ilegales. Luego circulan de forma gratuita, en forma de paquetes fraudulentos ya preparados. «Proceden como las redes sociales, agregando datos y aplicando modelos de inteligencia artificial para clasificarlos y generar ataques personalizados», subraya Bernard Montel.
No es necesario lanzar una gran red de pesca, se apunta a las víctimas para optimizar el rendimiento. “Realizaron trabajos de control cruzado con nombres y matrículas filtrados de talleres o empresas de mantenimiento de automóviles como Autosur o Norauto para realizar un perfilado exhaustivo”, explica Christophe Sicard. Estos ataques, cada vez más sofisticados, requieren aumentar el nivel de vigilancia y, sobre todo, nunca reaccionar rápidamente.
About The Author
