Hemos recibido muchas consultas últimamente sobre esta nueva técnica de estafa llamada Smishing, este es un ataque de ciberseguridad de phishing llevado a cabo a través de mensajes de texto móviles, también conocido como phishing de SMS. Como variante del phishing, se engaña a las víctimas para que proporcionen información confidencial a un atacante disfrazado. El phishing por SMS puede ser asistido por malware o sitios web fraudulentos. Ocurre en muchas plataformas de mensajería de texto móvil, incluidos los canales que no son SMS, como las aplicaciones de mensajería móvil basadas en datos.

¿Qué es el smishing: phishing + SMS?

Como sugiere la definición de smishing, el término combina «SMS» (servicios de mensajes cortos, mejor conocidos como mensajes de texto) y «phishing». Para definir mejor el smishing, se clasifica como un tipo de ataque de ingeniería social que se basa en explotar la confianza humana en lugar de las hazañas técnicas. Cuando los ciberdelincuentes «phishing», envían correos electrónicos fraudulentos que buscan engañar al destinatario para que haga clic en un enlace malicioso. Smishing simplemente usa mensajes de texto en lugar de correo electrónico. En esencia, estos ciberdelincuentes buscan robar sus datos personales, que luego pueden utilizar para cometer fraude u otros delitos cibernéticos. Por lo general, esto incluye robar dinero, por lo general el suyo, pero a veces también el dinero de su empresa. Los ciberdelincuentes suelen utilizar uno de dos métodos para robar estos datos:

1. Malware: el enlace URL de smishing puede engañarlo para que descargue malware (software malicioso) que se instala en su teléfono. Este malware de SMS puede hacerse pasar por una aplicación legítima, engañándolo para que escriba información confidencial y envíe estos datos a los ciberdelincuentes.
2. Sitio web malicioso: el enlace en el mensaje de smishing puede conducir a un sitio falso que le solicita que ingrese información personal confidencial. Los ciberdelincuentes utilizan sitios maliciosos personalizados diseñados para imitar a los de buena reputación, lo que facilita el robo de su información.

Los mensajes de texto smishing a menudo pretenden ser de su banco y le solicitan información personal o financiera, como su cuenta o número de cajero automático. Proporcionar la información equivale a entregar a los ladrones las llaves de su saldo bancario. A medida que más y más personas usan sus teléfonos inteligentes personales para el trabajo (una tendencia llamada BYOD, o «trae tu propio dispositivo»), el smishing se está convirtiendo en una amenaza tanto para el negocio como para el consumidor. Por lo tanto, no debería sorprender que el smishing se haya convertido en la principal forma de mensajes de texto maliciosos. El cibercrimen dirigido a dispositivos móviles está aumentando, al igual que el uso de dispositivos móviles. Aparte de que los mensajes de texto son el uso más común de los teléfonos inteligentes, algunos otros factores hacen que esta sea una amenaza de seguridad particularmente insidiosa. Para explicarlo, analicemos cómo funcionan los ataques de smishing.

Tipos de ataques Smishing

Cada ataque de smishing utiliza métodos similares, mientras que la presentación puede variar significativamente. Los atacantes pueden usar una amplia variedad de identidades y premisas para mantener actualizados estos ataques de SMS. Desafortunadamente, una lista completa de tipos de smishing es casi imposible debido a la reinvención interminable de estos ataques. Utilizando algunas premisas de estafa establecidas, podemos revelar características para ayudarlo a detectar un ataque de smishing antes de que se convierta en una víctima.

Smishing de servicios financieros

Los ataques de smishing de servicios financieros se enmascaran como notificaciones de instituciones financieras. Casi todo el mundo utiliza servicios bancarios y de tarjetas de crédito, lo que los hace susceptibles a mensajes genéricos y específicos de instituciones. Los préstamos y la inversión también son premisas comunes en esta categoría. Un atacante se hace pasar por un banco u otra institución financiera como un disfraz ideal para cometer fraude financiero. Las características de una estafa de smishing de servicios financieros pueden incluir una solicitud urgente para desbloquear su cuenta, pedirle que verifique la actividad sospechosa de la cuenta y más.

Regalo Smishing

El smishing de regalos sugiere la promesa de servicios o productos gratuitos, a menudo de un minorista de confianza u otra empresa. Estos pueden ser concursos de obsequios, recompensas de compras o cualquier otra cantidad de ofertas gratuitas. Cuando un atacante aumenta su entusiasmo al proponer la idea de «gratis», esto sirve como una anulación lógica para que tome medidas más rápido. Las señales de este ataque pueden incluir ofertas por tiempo limitado o selección exclusiva para una tarjeta de regalo gratis.

Factura o Confirmación de Pedido Smishing

El smishing de confirmación implica una confirmación falsa de una compra reciente o factura de facturación de un servicio. Se puede proporcionar un enlace para un seguimiento para manipular su curiosidad o solicitar una acción inmediata para provocar el temor de cargos no deseados. La evidencia de esta estafa puede incluir cadenas de textos de confirmación de pedidos o la ausencia de un nombre comercial.

Atención al cliente

Los atacantes de smishing de atención al cliente se hacen pasar por representantes de soporte de una empresa de confianza para ayudarlo a resolver un problema. Las empresas de comercio electrónico y tecnología de alto uso como Apple, Google y Amazon son disfraces efectivos para los atacantes en esta premisa. Por lo general, un atacante afirmará que hay un error en su cuenta y le dará los pasos para resolverlo. La solicitud puede ser tan simple como usar una página de inicio de sesión fraudulenta, mientras que los esquemas más complejos pueden pedirle que proporcione un código de recuperación de cuenta real en un intento de restablecer su contraseña. Las advertencias de un esquema de smishing basado en soporte incluyen un problema con la facturación, el acceso a la cuenta, la actividad inusual o la resolución de la queja reciente de un cliente.

Cómo prevenir el Smishing

La buena noticia es que es fácil protegerse contra las ramificaciones potenciales de estos ataques. Puedes mantenerte a salvo si no haces nada en absoluto. En esencia, los ataques solo pueden causar daño si muerdes el anzuelo. Dicho esto, tenga en cuenta que los mensajes de texto son un medio legítimo para que muchos minoristas e instituciones se comuniquen con usted. No todos los mensajes deben ignorarse, pero debe actuar de manera segura independientemente. Hay algunas cosas que debe tener en cuenta que lo ayudarán a protegerse contra estos ataques.

• No respondas. Incluso las indicaciones para responder, como enviar un mensaje de texto con la palabra «STOP» para cancelar la suscripción, pueden ser un truco para identificar números de teléfono activos. Los atacantes dependen de su curiosidad o ansiedad sobre la situación actual, pero puede negarse a participar.
• Reduzca la velocidad si un mensaje es urgente. Debe abordar las actualizaciones urgentes de la cuenta y las ofertas por tiempo limitado como señales de precaución de un posible smishing. Manténgase escéptico y proceda con cuidado.
• Llame a su banco o comerciante directamente si tiene dudas. Las instituciones legítimas no solicitan actualizaciones de cuenta ni información de inicio de sesión a través de mensajes de texto. Además, cualquier aviso urgente se puede verificar directamente en sus cuentas en línea o a través de una línea de ayuda telefónica oficial.
• Evite usar enlaces o información de contacto en el mensaje. Evita usar enlaces o información de contacto en mensajes que te hagan sentir incómodo. Vaya directamente a los canales de contacto oficiales cuando pueda.
• Verifique el número de teléfono. Los números de teléfono de aspecto extraño, como los de 4 dígitos, pueden ser evidencia de servicios de correo electrónico a texto. Esta es una de las muchas tácticas que un estafador puede usar para enmascarar su verdadero número de teléfono.
• Opte por nunca mantener números de tarjetas de crédito en su teléfono. La mejor manera de evitar que la información financiera sea robada de una billetera digital es nunca ponerla allí.
• Utilice la autenticación multifactor (MFA). Una contraseña expuesta aún puede ser inútil para un atacante smishing si la cuenta que se viola requiere una segunda «clave» para la verificación. La variante más común de MFA es la autenticación de dos factores (2FA), que a menudo usa un código de verificación de mensaje de texto. Las variantes más fuertes incluyen el uso de una aplicación dedicada para la verificación (como Google Authenticator) disponibles.
• Nunca proporcione una contraseña o un código de recuperación de cuenta por mensaje de texto. Tanto las contraseñas como los códigos de recuperación de autenticación de dos factores (2FA) de mensajes de texto pueden comprometer su cuenta en las manos equivocadas. Nunca le des esta información a nadie, y solo utilízala en sitios oficiales.
• Descarga una aplicación antimalware. Los productos como Kaspersky Internet Security para Android pueden proteger contra aplicaciones maliciosas, así como también los propios enlaces de phishing de SMS.
• Informe todos los intentos de phishing por SMS a las autoridades designadas.

Recuerde que, al igual que el phishing por correo electrónico, el smishing es un delito de engaño: depende de engañar a la víctima para que coopere haciendo clic en un enlace o proporcionando información. La protección más simple contra estos ataques es no hacer nada. Si no responde, un texto malicioso no puede hacer nada.

Qué hacer si eres víctima de Smishing

Los ataques de smishing son astutos y es posible que ya lo hayan victimizado, por lo que deberá tener un plan de recuperación. Tome estas medidas importantes para limitar el daño de un intento exitoso de smishing:

1. Reporte el presunto ataque a cualquier institución que pueda ayudar.
2. Congele su crédito para evitar cualquier fraude de identidad futuro o en curso.
3. Cambie todas las contraseñas y los PIN de las cuentas siempre que sea posible.
4. Supervise las finanzas, el crédito y varias cuentas en línea en busca de ubicaciones de inicio de sesión extrañas y otras actividades.

Cada uno de estos pasos tiene un peso sustancial para su protección después de un ataque de smishing. Sin embargo, informar un ataque no solo lo ayuda a recuperarse, sino que también evita que otros sean víctimas.