### Repunte del fraude del “hijo” por SMS: cibercriminales perfeccionan la suplantación para robo de dinero en España

#### Introducción

En las últimas semanas, analistas de Kaspersky han detectado un preocupante aumento en la incidencia del conocido fraude del “hijo” en España, una modalidad de ingeniería social que utiliza SMS como vector inicial de ataque. Este fraude, de naturaleza eminentemente psicológica, se caracteriza por la suplantación de identidad de un familiar cercano, generalmente un hijo, para manipular a la víctima y obtener transferencias económicas. El reciente repunte evidencia una mayor sofisticación en las técnicas empleadas y apunta a una campaña coordinada, lo que obliga a los equipos de ciberseguridad a reforzar la vigilancia y educación de usuarios.

#### Contexto del Incidente o Vulnerabilidad

El fraude del “hijo” no es nuevo en el panorama español, pero la oleada actual destaca por la masividad y coordinación observadas en los envíos de SMS. Los atacantes emplean listas de números móviles obtenidas de filtraciones previas o de brokers en foros clandestinos, personalizando los mensajes para aumentar su efectividad. Durante 2023, el porcentaje de estafas reportadas relacionadas con este patrón ascendió un 35% respecto al año anterior, según datos del INCIBE. El principal objetivo son usuarios de mediana y avanzada edad, menos familiarizados con mecanismos de verificación digital y más proclives a responder ante situaciones de urgencia familiar.

#### Detalles Técnicos

Los SMS fraudulentos suelen iniciar con un mensaje corto y directo, simulando una comunicación urgente: “Hola mamá/papá, he cambiado de número, escríbeme a este WhatsApp”. Tras establecer contacto por WhatsApp –canal menos rastreable si se emplean números desechables o servicios de SIM virtual–, los atacantes desarrollan la narrativa: alegan un robo o avería del teléfono y solicitan ayuda económica inmediata, proporcionando una cuenta bancaria para la transferencia o enlaces a plataformas de pago.

Este fraude se encuadra en la táctica T1566 (Phishing) del marco MITRE ATT&CK, con técnicas de suplantación de identidad (T1589.001) y abuso de canales de confianza (T1598). Los indicadores de compromiso (IoC) más habituales incluyen números de teléfono desconocidos y cuentas bancarias de reciente apertura, a menudo vinculadas a mulas de dinero.

En algunos casos, los atacantes automatizan el envío de SMS mediante frameworks o scripts de smishing, dificultando la trazabilidad. No se ha detectado explotación de vulnerabilidades específicas (CVE) en sistemas móviles, pero sí uso de plataformas de mensajería para eludir controles de seguridad tradicionales.

#### Impacto y Riesgos

El impacto principal es económico y reputacional. La Policía Nacional ha estimado en más de 2 millones de euros el montante defraudado solo en el primer trimestre de 2024. Además, el daño a la confianza digital puede ser significativo: más del 60% de las víctimas manifiestan reticencia a responder a mensajes familiares tras el incidente, afectando la comunicación digital legítima.

Desde una perspectiva de compliance, las empresas cuyos empleados sufran este tipo de ataques pueden ver comprometidas cuentas corporativas si el atacante logra derivar la conversación hacia credenciales o información sensible. Además, la GDPR y la Directiva NIS2 exigen a las organizaciones reportar incidentes de seguridad y realizar campañas de concienciación, bajo riesgo de sanciones económicas.

#### Medidas de Mitigación y Recomendaciones

1. **Concienciación**: Implementar programas de formación para empleados y usuarios sobre ingeniería social y verificación de identidad.
2. **Procedimientos de verificación**: Recomendar siempre contactar por otro canal o establecer una palabra clave familiar para situaciones de emergencia.
3. **Bloqueo y reporte**: Fomentar el bloqueo inmediato de números sospechosos y la denuncia ante las autoridades y entidades bancarias.
4. **Monitorización de cuentas**: Las entidades financieras deben mejorar sus sistemas de detección de transferencias anómalas y reforzar la autenticación en operaciones sospechosas.
5. **Análisis de IoC**: Los SOC deben actualizar sus reglas de correlación para identificar patrones de comunicación fraudulentos y movimientos de dinero asociados a cuentas de reciente apertura.

#### Opinión de Expertos

Según David Emm, analista principal de Kaspersky, “la sofisticación de los ataques no radica en la tecnología utilizada, sino en la capacidad de manipulación emocional. Los equipos de ciberseguridad deben enfocar sus esfuerzos no solo en la protección perimetral, sino en la capacitación constante de los usuarios finales”. Desde el CCN-CERT, se insiste en la necesidad de reforzar los canales de denuncia y colaboración con las entidades financieras para el rastreo ágil de cuentas fraudulentas.

#### Implicaciones para Empresas y Usuarios

El repunte de este fraude evidencia la importancia de incorporar la ingeniería social en los planes de respuesta a incidentes. Las pymes y grandes empresas deben considerar la posibilidad de que empleados sean víctimas y, por tanto, establecer procedimientos claros de notificación y contención. Por su parte, los usuarios particulares deben desconfiar de solicitudes económicas urgentes recibidas por canales no verificados y evitar compartir información financiera sin comprobación directa.

#### Conclusiones

El fraude del “hijo” por SMS es una amenaza en auge que combina técnicas clásicas de ingeniería social con la masividad y anonimato de canales digitales. La mitigación efectiva requiere una combinación de concienciación, procedimientos técnicos y colaboración intersectorial. La tendencia apunta a un perfeccionamiento de las tácticas y un posible salto a nuevas plataformas de mensajería o redes sociales, por lo que la vigilancia debe ser constante y la respuesta, proactiva.

(Fuente: www.cybersecuritynews.es)