¿Qué es el smishing?

A menudo recibimos mensajes de texto (SMS) en nuestro teléfono móvil, aunque no sea el método de comunicación más utilizado por lo usuarios. Algunos ciberdelincuentes hacen uso de ellos para llevar a cabo sus fraudes. En este artículo vamos a analizar el fraude conocido como smishing y cómo actuar para evitar convertirnos en víctimas de este tipo de ataque.

El smishing o fraude por mensaje de texto es una palabra compuesta por “SMS” (servicios de mensajes cortos, más conocidos como mensajes de texto) y “phishing”. Es una variante en la que un atacante usa un atractivo mensaje de SMS para convencer al destinatario de que haga clic en un enlace, que le envía al atacante información privada o descarga programas malintencionados a un teléfono móvil o smartphone. Se considera un ataque de ingeniería social porque se aprovechan de la gente corriente mediante la manipulación psicológica, y consiguen suplantar la identidad de empresas de confianza para engañarnos, como bancos, empresas públicas de la Administración, tiendas o comercios, familiares o amigos. El objetivo, como siempre, es obtener toda la información personal (usuario y contraseñas, correos, número de teléfono, domicilio,…) y bancaria para llevar a cabo nuevos fraudes o hacerse con nuestro dinero.

El mayor riesgo de este tipo de ciberataque es el desconocimiento de los usuarios ya que no esperan ser engañados a través de un mensaje de texto. Mientras que la mayoría de nosotros estamos concienciados sobre los riesgos de navegar por Internet, el spam y los correos electrónicos maliciosos, no percibimos el mismo nivel de amenaza cuando se trata de un mensaje de texto que nos notifica una actividad sospechosa. Nos propone una promoción única en la vida o nos informa sobre algún tema importante, todo ello simplemente accediendo a un enlace.

¿Cómo funciona el smishing?

La mayoría de los ataques de smishing funcionan igual que el phishing telefónico. El atacante envía un mensaje con la intención de convencer al usuario de que haga clic en un enlace o le pide que responda enviándole parte de sus datos privados.

Veamos algún ejemplo:

En este ejemplo, los ciberdelincuentes han mandado un SMS a sus víctimas haciéndose pasar por el Banco Santander e informándoles de que su cuenta bancaria ha sido suspendida, lo cual es mentira. Sin embargo, si nos lo creemos y accedemos al enlace, llegaremos a un sitio web malicioso que nos solicitará todo tipo de datos personales. Posteriormente, el malware lo pueden usar para espiar en nuestro smartphone en busca de datos, o para enviar datos delicados discretamente a un servidor controlado por el atacante.

La información que un atacante desea obtener podría ser cualquier cosa, incluyendo:

• Credenciales de cuentas en línea.
• Información privada que podría ser usada en un robo de identidad
• Datos financieros que podrían venderse en los mercados de la “red oscura” (o “darknet”), o para fraudes en línea.

Los “smishers” (como se conoce a los perpetradores de estas técnicas) emplean múltiples estrategias y trucos para lograr que los usuarios les envíen información privada. Pueden usar información básica de su objetivo (como su nombre y dirección), que previamente han obtenido de herramientas públicas en línea, para hacer creer al objetivo que el mensaje proviene de una fuente fiable.

Pautas a seguir para comprobar la autenticidad de los mensajes

• Por norma general, aunque en el mensaje digan que pertenecen a una entidad de confianza, siempre podremos comprobar el remitente del mismo. Si no aparece el nombre de la empresa y solo vemos un número de teléfono, lo más probables es que se trate de un fraude.
• Los enlaces también deben ser revisados. Una empresa de confianza nunca utilizará una URL no segura, es decir, que comience por “http”, aunque las URL que comienzan por “https” pueden haber sido también manipuladas por un ciberdelincuente.
• También es importante leer detenidamente el mensaje en busca de errores ortográficos y gramaticales o fallos en la traducción.
• La mayoría de empresas funcionan entre las 8 de la mañana y las 6 de la tarde, por lo que si recibimos mensajes de una organización “legítima” tarde durante la noche o incluso muy temprano por la mañana, debemos tenerlo en cuenta.
• Por último, debemos recordar que este tipo de entidades ya disponen de toda la información que necesitan, por lo que si tratan de obtener algún dato personal, podemos desconfiar de su autenticidad.

¿Cómo podemos protegernos?

Por suerte, las medidas de protección para este tipo de ataque son muy fáciles de implementar y solo requieren que estemos concienciados y utilicemos un poco de sentido común. Hay algunas cosas que nos ayudarán a identificar y protegernos del smishing:

• Desconfiar de remitentes desconocidos. Si recibimos un mensaje de una persona o entidad desconocida informándonos de un premio o solicitando información, lo más prudente será ignorar y eliminar el mensaje, De igual modo, desconfiaremos si se trata de números de teléfono sospechosos.
• Desconfiar de promociones, cupones o concursos. Suelen utilizarse como anzuelos para obtener la atención de los usuarios y conseguir que accedan a enlaces fraudulentos o contactar con un número de teléfono de tarificación especial, por ejemplo.
• No hacer clic en los enlaces bajo ningún concepto, ya que pueden llevarnos a webs fraudulentas. Es mejor contrastar la información primero y acceder a las páginas oficiales tecleando la URL en el navegador.
• Proteger nuestras cuentas. Utilizar contraseñas robustas y sistemas de doble verificación nos permitirá añadir una capa más de protección.
• No bajar archivos adjuntos, pueden contener malware con el que infectar nuestro dispositivo.
• No facilitar nunca información personal. Una entidad de confianza jamás nos solicitará datos personales sin previo aviso, y mucho menos a través de un mensaje.

¿Qué hacer si somos víctimas de un smishing?

Si creemos estar ante un mensaje de texto fraudulento, lo mejor que debemos hacer es ignorarlo y eliminarlo. Además, debemos tener mucho cuidado de no hacer clic en ningún enlace o adjunto sospechoso para descargar. Si tenemos la sospecha de haber sido víctimas de uno de estos SMS, lo primero que debemos hacer es:

• Escanear nuestro dispositivo con un antivirus actualizado.
• Eliminar cualquier archivo que hayamos descargado desde el SMS o un enlace adjunto en el mensaje.
• Cambiar nuestras contraseñas de las cuentas implicadas, que hayan podido ser vulneradas.
• Activar la verificación en dos pasos en las cuentas que lo permitan para evitar la suplantación de identidad.
• Contactar con el banco para cancelar cualquier pago no autorizado o nuestra tarjeta en caso necesario.
• Bloquear los mensajes de texto que consideremos spam.
• Recopilar todas las pruebas posibles y denunciarlo.