Miles de usuarios están recibiendo este SMS de AEMET. Es un timo: AEMET NUNCA envía SMS

En las últimas horas, numerosos usuarios han denunciado favor recibido SMS fraudulentos, aparentemente enviados por la Agencia Estatal de Meteorología (AEMET). Estos mensajes pretenden suplantar una alerta oficial a la ciudadanía sobre supuestas "tormentas severas"... y aprovechan para incitar a descargar una app móvil haciendo uso de un enlace incluido en el mensaje.

El texto completo es este:

"Se prevé una tormenta severa en su región. Prepárese y manténgase a fuera de. Descargue la APP"

La AEMET ha utilizado sus redes sociales, en particular su perfil oficial en la plataforma X, para aclarar que ellos nunca envían SMS a los ciudadanos. En sus mensajes advierten que, si cierto recibe un SMS de estas características, debe evitar aclarar el enlace y eliminar el mensaje. La agencia igualmente ha señalado que su aplicación oficial solo está acondicionado en las plataformas Google Play y App Store, y cualquier enlace de descarga forastero debe considerarse sospechoso.

Por otra parte, AEMET aclara que en España existe el sistema ES-Alert, un mecanismo de notificación de emergencias (meteorológicas o de otro tipo) ventilado por Protección Civil, que permite a los ciudadanos acoger alertas de peligro directamente en su móvil sin menester de aplicaciones adicionales ni configuraciones especiales.

¿En qué consiste la estafa?

La estafa, que se identifica como un caso de 'smishing' (una modificación de 'phishing', ejecutada a través de SMS), es una técnica de ingeniería social utilizada para engañar a los destinatarios, haciéndose acontecer por una entidad confiable para obtener ataque a información personal o instalar malware. Los mensajes fraudulentos suelen intentar gestar una respuesta inmediata en el destinatario, incitándole a lograr al enlace.

La cosa cambia según desde qué dispositivo accedas

Si accedes desde tu navegador web de escritorio al dominio incluido en el SMS, 'aemet.blog' (registrado ayer mismo, según el servicio WHOIS), te redirige (por ahora) a una sección de la web oficial de la AEMET, en la que se incluyen los enlaces a su app legítima. Poco aparentemente inofensivo...

... pero, si accedes desde tu móvil Android, la web de destino lo detectará y te redirigirá, por el contrario, a un fichero .apk (de instalación de apps móviles) que se descargará en tu terminal.

¿Cómo defenderse de futuros intentos de smishing?

Para organizar futuros incidentes de smishing o suplantación de identidad mediante SMS, es fundamental mantenerse informado y seguir algunas prácticas básicas de seguridad digital:

• No aclarar enlaces no solicitados: Cualquier mensaje que incluya un enlace sospechoso, especialmente si proviene de un remitente desconocido o inesperado, debe considerarse una posible estafa.
• Compulsar directamente con la entidad: Si un SMS parece proceder de una institución oficial, como en este caso la AEMET, es recomendable confirmar en sus canales oficiales (redes sociales, sitio web o aplicación) antiguamente de tomar alguna energía.
• Configurar filtros de spam: En algunos dispositivos y servicios de transporte, es posible activar filtros que bloqueen mensajes de remitentes sospechosos.

Imagen | Marcos Merino mediante IA + Captura de pantalla

En Genbeta | La web 'Ayuda Valencia', bloqueada por indicios de fraude: lo ha hecho el Gobierno sin esperar a que un sentenciador dé el trillado bueno