Las tecnologías de comunicación móvil ofrecen a los usuarios muchas comodidades, pero al mismo tiempo generan nuevos riesgos. Una de las zonas potencialmente peligrosas es el uso de códigos USSD, que suelen empezar por un asterisco (*) y terminar con almohadilla (#). Muchas personas marcan esas combinaciones sin preocuparse por las posibles consecuencias. En este artículo explicamos qué son los códigos USSD, ofrecemos ejemplos reales de estafas en este ámbito y por qué es tan importante actuar con precaución al usarlos.
Para la mayoría de los propietarios de teléfonos móviles, los códigos USSD se asocian solo con la consulta de saldo o la activación de servicios del operador. Sin embargo, desde hace años los delincuentes utilizan activamente USSD para llevar a cabo distintos tipos de fraudes. El objetivo de este texto es mostrar cuán vulnerable puede ser esta tecnología y ofrecer una serie de recomendaciones que ayuden a protegerse a usted y a sus allegados.
Qué es USSD
USSD (Unstructured Supplementary Service Data) es un protocolo utilizado en redes GSM. Permite que los dispositivos móviles interactúen con el servidor del operador en tiempo real mediante el intercambio de mensajes breves. Ejemplos típicos de uso de USSD son las consultas de saldo (*100#), la activación o desactivación de opciones tarifarias, la transferencia de dinero desde la cuenta y mucho más.
Cuando el usuario marca un comando USSD determinado, el teléfono envía la solicitud al operador y recibe como respuesta un mensaje con los datos solicitados. El proceso es instantáneo y el resultado se muestra en la pantalla. Es rápido y, a primera vista, seguro. Sin embargo, todo mecanismo tiene sus vulnerabilidades. Si un atacante encuentra manera de interceptar la solicitud o de inducir al usuario a introducir una combinación “maliciosa”, esto puede provocar pérdidas financieras o de reputación.
Ejemplos reales de fraude
A pesar del escaso conocimiento sobre estas estafas entre el público general, los casos de ataques y engaños mediante códigos USSD son numerosos. Veamos varios ejemplos que demuestran que el peligro no es solo teórico.
1. Llamada automática a un código para restablecer el teléfono (vulnerabilidad de Android de 2012)
En 2012 se descubrió una vulnerabilidad grave en algunos modelos de teléfonos Samsung con Android. A través de un enlace especialmente formado en el navegador, un atacante podía activar el código USSD *2767*3855#, que restablecía completamente el teléfono a los ajustes de fábrica e, en ciertos casos, incluso eliminaba todos los datos del usuario. Bastaba con que el propietario del smartphone accediera al enlace malicioso. En algunas ocasiones el código se ejecutaba de forma instantánea, sin confirmaciones adicionales por parte del usuario. Este ejemplo muestra claramente que los códigos USSD pueden usarse no solo para fraudes financieros, sino también para causar daño directo al dispositivo.
2. Mensajes de phishing y robo de fondos
Una de las modalidades más comunes de fraude consiste en enviar SMS de phishing o mensajes en aplicaciones de mensajería pidiendo al usuario que marque un “código especial” USSD. Los estafadores pueden afirmar que esa orden activa una “promoción”, una “comprobación de la SIM” o una “nueva tarifa muy ventajosa”. En realidad, la combinación puede cargar fondos de la cuenta del abonado o transferirlos a un número controlado por el atacante.
Por ejemplo, se han registrado casos en los que las personas recibían SMS con textos como: «Para activar un paquete de internet gratis marque *123*XXX#». En realidad, la parte XXX puede ocultar un número al que se transferirá una cantidad determinada. La persona que marca el código cree que recibirá un “regalo”, pero en realidad pierde dinero.
3. Suplantación de códigos en “consejos” de foros y redes sociales
A veces los atacantes explotan la confianza de los usuarios publicando en foros y redes sociales “consejos” y “códigos secretos”. Quienes siguen ese consejo prueban a introducir el código con la esperanza de acceder a funciones únicas, por ejemplo “aumentar la velocidad de internet”, “obtener minutos gratis” o “eludir una limitación de tarifa”. En realidad pueden ser solicitudes USSD que permiten al atacante acceder a su cuenta o a la configuración de la tarjeta SIM.
Así, en algunos sitios se encontraban publicaciones con “consejos calientes”, del tipo: “Marque *123*número_de_teléfono# y reciba un bono” (sin detallar más). Si marca ese código, puede dar, sin saberlo, su consentimiento para un traspaso de fondos desde su saldo. El operador recibirá la orden desde su teléfono y la ejecutará, ya que visualmente parece una petición legítima del titular del número.
4. Suscripciones automáticas y servicios de pago
En algunas estafas los atacantes usan solicitudes USSD ocultas para activar suscripciones de pago o servicios en su número sin su consentimiento explícito. Esto puede ocurrir mediante aplicaciones maliciosas que obtienen acceso al marcador y envían automáticamente los códigos necesarios. Al final, el usuario descubre cargos recurrentes por una “suscripción” que no contrató.
Casos similares se han registrado en varios países donde los operadores permiten activar servicios de entretenimiento (música, juegos, suscripciones de contenido) a través de comandos USSD cortos. El estafador distribuye una aplicación falsa que contiene funcionalidad oculta para enviar la orden de activación de ese servicio. Resultado: el usuario, sin saberlo, comienza a pagar por un servicio innecesario.
Por qué surgen estas vulnerabilidades
Podría pensarse que los operadores y los fabricantes de teléfonos deberían proteger a fondo la infraestructura USSD. En parte así es: la mayoría de los sistemas operativos y de los servidores de operadores ofrecen protecciones básicas contra combinaciones incorrectas. Sin embargo, hay varias razones por las que los delincuentes logran explotar fallos:
- Amplia funcionalidad de USSD. El protocolo fue concebido como una herramienta universal para la interacción con el operador, por lo que tiene capacidades extensas, entre las cuales hay combinaciones peligrosas.
- Falta de información entre los usuarios. Pocos se plantean que una “orden” de ese tipo pueda conllevar pérdida de dinero o fuga de datos.
- Simplicidad del mecanismo. Para ejecutar una orden basta marcar unos símbolos y pulsar llamar. A menudo el operador no exige contraseñas ni confirmaciones especiales.
- Abuso de la confianza. Los estafadores pueden hacer pasar un código por “oficial” del operador o por un servicio nuevo, usando ingeniería social y SMS falsos.
Cómo protegerse del fraude con códigos USSD
La buena noticia es que existen medidas sencillas y efectivas para protegerse. Basta aplicar el sentido común y unas reglas básicas de seguridad.
- Nunca marque códigos de fuentes no verificadas. Incluso si quien llama dice ser empleado del operador o del servicio técnico, aclare el propósito de la combinación y compruébelo en el sitio oficial o en el centro de contacto.
- Use aplicaciones antivirus fiables. Algunos antivirus y programas de protección modernos pueden controlar el acceso al marcador y detectar actividad sospechosa.
- Lea con atención los mensajes emergentes. Al introducir ciertos códigos USSD pueden aparecer cuadros de diálogo informativos. No pulse “Aceptar” automáticamente; asegúrese de entender el contenido del mensaje.
- Limite el acceso de las aplicaciones. Si su sistema operativo lo permite, controle qué aplicaciones pueden iniciar llamadas USSD. Desactive esa función para el software en el que no confía.
- Tenga cuidado con los enlaces que recibe. Si recibe un enlace por SMS o mensajería que supuestamente dirige a una página del operador, mejor escriba la dirección manualmente en el navegador o utilice la aplicación oficial.
- Revise facturas y suscripciones. Consulte regularmente el detalle de sus gastos de telefonía. Si detecta cargos desconocidos, contacte de inmediato con el operador.
Advertencia de responsables oficiales
El viceministro de Desarrollo Digital de la región de Vólogda, Akhmetzhan Makhmutov llama la atención sobre otro método frecuente de engaño: los estafadores que se hacen pasar por empleados del operador o técnicos piden a los abonados que marquen códigos USSD bajo el pretexto de “comprobar la conexión”. En la práctica pueden ser comandos *21*número# (desvío de llamadas o SMS) o *43# (captura de llamadas). Si alguien introduce esas combinaciones, los estafadores pueden obtener acceso a datos confidenciales e incluso interceptar códigos bancarios de confirmación para robar dinero.
Makhmutov subraya que los operadores nunca piden introducir tales códigos USSD para probar o comprobar la conexión. Si recibe esa petición, con alta probabilidad se trata de una estafa. En esos casos debe interrumpir la llamada de inmediato y contactar con el servicio de atención real del operador para reportar el intento de engaño.
Medidas de seguridad adicionales recomendadas por especialistas:
- Verificar el propósito de los códigos USSD a través del sitio oficial del operador o del servicio de atención.
- Desactivar el desvío de llamadas en la configuración del teléfono si no lo usa habitualmente.
- Establecer un PIN en la tarjeta SIM: esto dificultará la tarea a los estafadores si se apoderan de su dispositivo o SIM.
- Usar un “segundo número” para recibir SMS bancarios, de modo que los códigos de confirmación queden aislados del número principal.
- Instalar aplicaciones anti-spam (aunque hay que recordar que los estafadores cambian a menudo los números, por lo que no conviene confiar únicamente en estas apps).
- Aplicar pensamiento crítico: no tema hacer preguntas, aclarar con el operador y verificar cualquier información dudosa.
El papel de los operadores en la prevención del fraude
Los propios operadores también tienen interés en mantener la confianza de los clientes y combatir el fraude. Implementan diversos mecanismos de protección: por ejemplo, exigen confirmación de ciertas acciones mediante un código SMS, limitan el acceso de aplicaciones a solicitudes USSD de alto riesgo y bloquean combinaciones claramente maliciosas. Sin embargo, la eficacia de esas medidas depende también de las capacidades técnicas y del nivel de sofisticación del ataque.
En algunos países, operadores móviles y entidades financieras han puesto en marcha sistemas de alertas en tiempo real: si se detecta una transferencia sospechosa mediante USSD, el operador puede detener la transacción y solicitar confirmación adicional. Pero de momento esas medidas no están extendidas en todos los lugares, y los delincuentes siguen buscando nuevas brechas.
Consejos para quienes ya han sufrido una estafa
Si descubre que se han cargado fondos de su cuenta tras marcar un código desconocido o instalar una aplicación sospechosa, intente actuar con rapidez:
- Contacte con el operador. Explique la situación y solicite bloquear todas las suscripciones o transferencias de pago que no haya autorizado personalmente.
- Cambie las contraseñas. Si dispone de un acceso personal en el sitio del operador, cambie la contraseña de inmediato para evitar accesos no autorizados.
- Compruebe el dispositivo en busca de virus. Instale o actualice un antivirus para identificar y eliminar programas maliciosos que puedan enviar automáticamente solicitudes USSD.
- Desactive todos los desvíos. Vaya a la configuración del teléfono o utilice comandos del operador para cancelar cualquier desvío que se haya activado sin querer.
- Acuda a las autoridades. En caso de pérdidas financieras importantes, presente una denuncia para aumentar las probabilidades de localizar a los responsables y recuperar el dinero. A menudo los operadores facilitan el detalle de llamadas y SMS como prueba.
Conclusión
El fraude con códigos USSD no es un simple “cuento para asustar”, sino una amenaza real que puede afectar a cualquier propietario de teléfono móvil. A pesar de la aparente seguridad de estas órdenes cortas, permiten ejecutar una amplia gama de acciones en el lado del operador: desde cambiar la configuración de la SIM hasta transferir dinero. Los delincuentes explotan la confianza y la desinformación de los usuarios, publican códigos falsos en redes sociales, envían mensajes engañosos e intentan persuadir al abonado para que marque determinadas combinaciones.
Para protegerse de pérdidas, no caiga en trampas: verifique siempre la información y recuerde que el operador normalmente no envía “códigos secretos” por canales dudosos. Si tiene dudas, consulte con el servicio de atención en lugar de arriesgar sus finanzas o la seguridad de sus datos. Con la debida atención y el cumplimiento de reglas básicas de uso seguro de la telefonía móvil, podrá evitar la mayoría de los problemas relacionados con el fraude por USSD.
