Smishing: significado y definición
El smishing, también conocido como phishing de SMS, es un ataque de ciberseguridad de phishing que se lleva a cabo a través de mensajes de texto.
Es una variante de phishing en la que los atacantes engañan a las víctimas para que compartan información confidencial. El phishing de SMS puede estar respaldado por malware o sitios web fraudulentos. Ocurre en muchas plataformas móviles de mensajería de texto, incluidos canales que no son de SMS, como las aplicaciones de mensajería móvil basadas en datos.
¿Qué es el smishing?
Como la definición lo sugiere, el término combina las siglas "SMS", del inglés "short message services" (servicios de mensajes cortos), y "phishing".
Para ampliar la definición, el smishing está categorizado como una clase de ataque de ingeniería social que se basa en la explotación de la confianza humana, en lugar de en exploits técnicos.
En los ataques de phishing, los ciberdelincuentes envían correos electrónicos fraudulentos que buscan engañar al destinatario para que haga clic en un enlace malicioso.
El smishing simplemente utiliza mensajes de texto en lugar de correo electrónico.
En esencia, estos ciberdelincuentes buscan robar datos personales, que luego pueden utilizan para cometer fraude u otros ciberdelitos.
Suele incluir el robo de dinero (por lo general propio, pero a veces también puede ser el dinero de tu empresa).
Los ciberdelincuentes suelen utilizar uno de los siguientes dos métodos para robar estos datos:
1. Malware: el enlace de URL de smishing podría engañarte para que descargues malware (software malicioso) que luego se instala en tu teléfono. Este malware de SMS podría enmascararse como una aplicación legítima, que te engaña para que introduzcas información confidencial y envíes estos datos a los cibercriminales.
2. Sitio web malicioso: el enlace en el mensaje de smishing podría llevar a un sitio web falso que solicite el ingreso de información personal confidencial. Los ciberdelincuentes utilizan sitios maliciosos personalizados, diseñados para imitar a sitios reconocidos, lo que facilita el robo de información.
En ocasiones, los mensajes de texto de smishing parecen provenir de tu banco y solicitan información personal o financiera, como número de cuenta o número secreto de cajero automático.
Si proporcionas la información, es como si entregaras a los ladrones la clave de tu cuenta bancaria.
A medida que más y más personas utilizan sus smartphones personales para trabajar (una tendencia llamada BYOD, o "trae tu propio dispositivo"), el smishing se está convirtiendo en una amenaza empresarial, así como una amenaza para consumidores.
Por ello, no es de extrañar que el smishing se haya convertido en la principal forma de mensajes de texto maliciosos.
La ciberdelincuencia dirigida a dispositivos móviles está en aumento, en consonancia con el incremento en el uso de estos dispositivos.
Además de que el envío de mensajes de texto es el principal uso que se les da a los smartphones, hay otros factores que hacen que esta sea una amenaza de seguridad importante. Para explicarlo, veamos cómo funcionan los ataques de smishing.
¿Cómo funciona el smishing?
El engaño y el fraude son los componentes principales de cualquier ataque de phishing de SMS. Como el atacante asume la identidad de alguien en quien podrías confiar, hay más posibilidades de que accedas a sus solicitudes.
Los principios de la ingeniería social permiten a los atacantes de smishing manipular la toma de decisiones de la víctima. Los factores determinantes de este engaño son tres:
1. Confianza: al hacerse pasar por organizaciones e individuos legítimos, los ciberdelincuentes logran reducir el escepticismo de las víctimas. Los mensajes SMS, al enviarse a través de un canal de comunicación más personal, también reducen naturalmente las defensas de una persona frente a las amenazas.
2. Contexto: el uso de una situación que podría ser relevante para los objetivos les otorga a los atacantes un encubrimiento efectivo. El mensaje parece personalizado, lo que ayuda a limitar las sospechas de que podría tratarse de spam.
3. Emoción: al exaltar las emociones de la víctima, los atacantes pueden limitar su pensamiento crítico e incitar una respuesta rápida.
Mediante estos métodos, los atacantes escriben mensajes que impulsen a los destinatarios a realizar la acción esperada.
Por lo general, los ciberdelincuentes buscan que el destinatario haga clic en un vínculo de URL dentro del mensaje de texto, que luego los lleva a una herramienta de phishing que les pide que compartan información personal privada.
La herramienta de phishing suele ser un sitio web o una aplicación que también se esconde tras una falsa identidad.
Los objetivos se eligen de muchas maneras, pero suelen escogerse en función de su afiliación a una organización o a una ubicación regional.
Los empleados o clientes de una institución específica, suscriptores a una red móvil, estudiantes universitarios o incluso residentes de un área determinada pueden ser objetivos.
El disfraz de un atacante suele estar relacionado a la institución a la que desea acceder. Sin embargo, también podría ser cualquier máscara que les permita obtener información financiera o de identidad.
A través de un método llamado spoofing, un atacante puede ocultar el número de teléfono real con un señuelo. Los atacantes de smishing también pueden usar teléfonos descartables y prepagos de bajo costo para ocultar aún más el origen del ataque.
Los atacantes suelen utilizar servicios de correo electrónico a mensaje de texto, como forma alternativa de ocultar sus números de teléfono.
Paso por paso, un ciberdelincuente llevará a cabo el ataque en una serie de fases clave:
- Distribución del mensaje de texto "señuelo" a las víctimas.
- Acceso a la información de la víctima a través del engaño.
- Ejecución del robo deseado a través de la información robada de la víctima.
La estafa de smishing de un atacante finaliza una vez que se utiliza la información privada obtenida para cometer el robo deseado.
Este objetivo podría incluir, entre otros, el robo directo a una cuenta bancaria, el fraude de identidad para utilizar tarjetas bancarias de manera ilegal o la filtración de datos corporativos privados.
¿Cómo se propaga el smishing?
Como se mencionó antes, los ataques de smishing se envían a través de mensajes de texto tradicionales y aplicaciones de mensajería que no son SMS.
Sin embargo, los ataques de phishing de SMS suelen propagarse de forma ininterrumpida y desapercibida, debido a su naturaleza engañosa.
El engaño del smishing se potencia gracias a la falsa confianza de los usuarios en la seguridad de los mensajes de texto.
En primer lugar, la mayoría de las personas conoce los riesgos asociados al fraude por correo electrónico. Es probable que sospeches de los correos electrónicos genéricos que dicen "Hola, haz clic en este vínculo".
La falta de un mensaje personal auténtico suele ser una señal de alerta sustancial para las estafas de spam por correo electrónico.
Cuando la gente utiliza el teléfono, muestra menos recelo. Muchos asumen que sus smartphones son más seguros que los ordenadores. Sin embargo, la seguridad de los smartphones tiene limitaciones y no ofrece protección directa contra el smishing.
Sin importar el método utilizado, estas estafas suelen requerir muy pocos recursos, además de confianza y una mala decisión de tu parte. En consecuencia, el smishing puede atacar cualquier dispositivo móvil capaz de enviar o recibir mensajes de texto.
Si bien los dispositivos Android conforman la mayor plataforma del mercado y son un objetivo ideal para mensajes de texto con malware, los dispositivos iOS ofrecen una oportunidad similar para los atacantes.
A pesar de que la tecnología móvil iOS de Apple posee una buena reputación por su seguridad, ningún sistema operativo móvil puede, por sí mismo, protegerte de ataques de phishing.
Una falsa sensación de seguridad puede poner en peligro a los usuarios, más allá de la plataforma que utilicen.
Otro factor de riesgo es que utilices tu smartphone en cualquier parte, a menudo cuando estás distraído o tienes prisa.
Esto significa que tienes más probabilidad de que te pillen desprevenido, con la guardia baja, y respondas sin pensar cuando recibas un mensaje que te solicita información bancaria o para canjear un cupón.
Tipos de ataques de smishing
Si bien la presentación puede variar en gran medida, todos los ataques de smishing utilizan métodos similares. Los atacantes pueden utilizar una gran variedad de identidades y premisas para renovar la cara de los ataques por SMS.
Por desgracia, crear una lista integral de todos los tipos de smishing es una tarea casi imposible, debido a la reinvención constante de estos ataques.
A través de una serie limitada de premisas de estafas establecidas, podemos descubrir características que te ayuden a detectar un ataque de smishing antes de que te conviertas en una víctima.
Estas son algunas de las principales premisas utilizadas en los ataques de smishing:
Smishing de COVID-19
Las estafas de smishing de COVID-19 están basadas en programas de apoyo legítimos diseñados por organizaciones gubernamentales, financieras y de salud, para asistir en la recuperación de la pandemia de COVID-19.
Los atacantes utilizaron estas estafas para manipular a las víctimas y aprovechar sus preocupaciones financieras y de salud para cometer fraude. Las señales de alerta incluyen las siguientes:
- El rastreo de contactos que solicita información confidencial (número de seguridad social, número de tarjeta de crédito, etc.).
- Ayuda financiera basada en impuestos, como pagos de estímulo.
- Actualizaciones de seguridad de la salud pública.
- Solicitudes para completar el censo de EE. UU.
Smishing de servicios financieros
Los ataques de smishing de servicios financieros se ocultan como notificaciones de instituciones financieras.
Casi todas las personas utilizan servicios bancarios y de tarjetas de crédito, lo que las hace susceptibles a mensajes tanto genéricos como específicos de una institución. Los préstamos y las inversiones también sirven como premisas habituales en esta categoría.
Un atacante se hace pasar por un banco u otra institución financiera, que es un disfraz ideal para cometer fraude financiero.
Las características de una estafa de smishing de servicios financieros pueden incluir una solicitud urgente para desbloquear tu cuenta, preguntas sobre actividades sospechosas en la cuenta y más.
Smishing de regalos
El smishing de regalos sugiere la promesa de obtener servicios o productos gratuitos, por lo general, de una empresa minorista conocida. Puede tratarse de la participación en un sorteo, recompensas de compra o cualquier tipo de oferta gratuita.
Cuando un atacante logra entusiasmarte con la propuesta de algo "gratis", puede hacer que dejes de lado la lógica y realices una acción más rápido.
Los indicios de este ataque pueden incluir ofertas de tiempo limitado o una selección exclusiva para recibir una tarjeta de regalo.
Smishing de factura o confirmación de pedido
En este tipo de smishing, se utiliza una confirmación falsa de una compra reciente o una factura falsa por un servicio.
Puede incluirse un vínculo de seguimiento para manipular tu curiosidad o solicitar una acción inmediata para generar temor de que ocurran cambios no deseados.
La evidencia de esta estafa puede incluir cadenas de textos de confirmación de un pedido o la ausencia de un nombre de empresa.
Smishing de atención al cliente
Los atacantes de smishing de atención al cliente se hacen pasar por un representante de atención al cliente de una empresa de confianza que desea ayudarte a resolver un problema.
Las empresas de comercio electrónico y tecnología avanzada como Apple, Google y Amazon son encubrimientos efectivos para atacantes en esta premisa.
Por lo general, el ciberdelincuente afirma que hay un error con tu cuenta y te indica cómo resolverlo.
La solicitud puede ser tan simple como el uso de una página de inicio de sesión fraudulenta, mientras que las estafas más complejas pueden solicitar que proporciones un código de recuperación de cuenta real para intentar restablecer tu contraseña.
Las señales de advertencia de una estafa de smishing basada en la atención al cliente incluyen un problema con la facturación, el acceso a la cuenta, actividad inusual o la resolución de una queja reciente por parte de un cliente.
Ejemplos de smishing
Debido a que casi todas las personas que tienen un teléfono móvil tienen acceso a SMS, los ataques de smishing se llevan a cabo en todo el mundo. Estos son algunos de los ataques de smishing que debes conocer.
Estafa de acceso anticipado al iPhone 12 de Apple: smishing de confirmación de pedido y regalo
En septiembre de 2020, surgió una campaña de smishing para hacer que las personas compartieran la información de su tarjeta de crédito para recibir un iPhone 12 sin cargo.
Esta estafa utiliza una premisa de confirmación de pedido, en la que se informa a través de un mensaje de texto que se envió un paquete a la dirección incorrecta.
El vínculo de URL incluido en el mensaje de texto envía a las víctimas a una herramienta de phishing que se hace pasar por un chatbot de Apple.
La herramienta guía a la víctima a través de un proceso para reclamar el iPhone 12 gratuito como parte de un programa de prueba de acceso anticipado, pero inevitablemente solicita el ingreso de información de una tarjeta de crédito para pagar una pequeña comisión de envío.
Estafas de FedEx y el Servicio Postal de Estados Unidos: smishing de confirmación de pedido y regalo
En septiembre de 2020, comenzaron a circular informes de una estafa de SMS relacionada al falso envío de paquetes de FedEx y del Servicio Postal de Estados Unidos.
Este ataque de smishing puede intentar robar las credenciales de tus cuentas de diferentes servicios o información de tarjetas de crédito.
Los mensajes comenzaban informando el envío incorrecto de un paquete e incluían un vínculo a un sitio web de phishing que simulaba ser una encuesta de entrega de FedEx o del Servicio Postal de EE. UU.
Mientras que la premisa de estos sitios de phishing puede variar, muchos intentaban recopilar información de inicio de sesión en cuentas de servicios como Google.
Estafa de prueba obligatoria en línea de COVID-19: smishing de COVID-19
En abril de 2020, el Better Business Bureau de EE. UU. recibió un aumento en los informes de imitadores del gobierno estadounidense que enviaban mensajes de texto mediante los que les solicitaban a las personas que realizaran una prueba obligatoria de COVID-19 a través de un sitio web vinculado.
Por supuesto, muchas personas no tardaron en detectar la estafa, ya que no existe una prueba en línea de COVID-19.
Sin embargo, la premisa de estos ataques de smishing puede evolucionar fácilmente, ya que el aprovechamiento de los miedos de una pandemia es un método efectivo para engañar al público.
Cómo prevenir el smishing
La buena noticia es que resulta fácil protegerse de las posibles ramificaciones de estos ataques. Puedes mantenerte seguro si no haces nada.
En esencia, el ataque solo puede causar daño si muerdes el anzuelo.
Dicho esto, ten en cuenta que los mensajes de texto son una forma de comunicación legítima para muchas empresas minoristas e instituciones.
Si bien no todos los mensajes deben ignorarse, deberías actuar de manera segura.
Hay algunas cosas que debes tener en cuenta que te ayudarán a protegerte contra estos ataques.
No responda
Incluso las solicitudes de responder a mensajes con la palabra "STOP" para anular una suscripción pueden ser una estafa para identificar números de teléfono activos.
Los atacantes dependen de la curiosidad o ansiedad que te genere la situación, pero siempre puedes negarte a participar.
Si un mensaje es urgente, tranquilízate y tómate tu tiempo
Considera las actualizaciones de cuenta urgentes y las ofertas por tiempo limitado como indicios de advertencia de posible smishing. Mantén el escepticismo y actúa con cautela.
Si tienes alguna duda, llama al banco o al comerciante directamente
Las instituciones legítimas no solicitan actualizaciones de cuenta o información de inicio de sesión a través de mensajes de texto.
Asimismo, puedes verificar cualquier notificación urgente de manera directa en tus cuentas en línea o a través de una línea de asistencia telefónica oficial.
Evita usar cualquier enlace o información de contacto incluidos en el mensaje
Evita usar enlace o información de contacto incluidos en mensajes que te generen incomodidad.
Siempre que puedas, utiliza directamente canales de contacto oficiales.
Verifica el número de teléfono
Los números raros, como los de cuatro dígitos, pueden ser evidencia de servicios de correo electrónico a mensaje de texto.
Esta es una de las muchas tácticas que utilizan los estafadores para enmascarar su número de teléfono real.
Elige no guardar nunca números de tarjetas de crédito en el teléfono
La mejor manera de evitar que roben información financiera de un monedero digital es nunca guardarla allí.
Usar la autenticación multifactor (MFA)
Una contraseña expuesta puede ser inútil para un atacante de smishing, siempre que la cuenta a la que quiera acceder requiera una segunda "clave" de verificación.
La variante más habitual de la MFA es la autenticación de dos factores (2FA), que suele usar un código de verificación que se envía por mensaje de texto.
Existen variantes más seguras, que incluyen el uso de una aplicación dedicada para completar la verificación (como Google Authenticator).
Nunca envíes por mensaje de texto una contraseña ni un código de recuperación de cuenta
Tanto las contraseñas como los códigos de recuperación que se envían por mensaje de texto en la autenticación de dos factores (2FA) pueden poner en riesgo la cuenta si caen en las manos equivocadas.
Nunca compartas esta información con nadie y úsala solo en los sitios oficiales.
Descarga una aplicación antimalware
Los productos como Kaspersky Mobile Security pueden brindar protección frente a aplicaciones maliciosas, así como frente a los propios vínculos de mensajes de SMS de phishing.
Informa todos los intentos de phishing de SMS a las autoridades designadas
Recuerda que, al igual que el phishing por correo electrónico, el smishing es un delito de engaño. Depende de engañar a la víctima para que coopere haciendo clic en un enlace o proporcionando información.
La protección más sencilla contra estos ataques es no hacer nada en absoluto. Si no respondes, un texto malicioso no puede hacer nada.
Qué hacer si te conviertes en una víctima de smishing
Los ataques de smishing son ingeniosos y puede que ya te hayan engañado, por lo que es necesario contar con un plan de recuperación.
Toma estas medidas importantes para limitar el daño de un intento de smishing exitoso.
1. Informa el presunto ataque a cualquier institución que pueda ayudar.
2. Bloquea tu tarjeta de crédito para evitar cualquier fraude de identidad actual o futuro.
3. Cambia todas las contraseñas y los códigos PIN de las cuentas, siempre que sea posible.
4. Supervisa todas las cuentas en línea que tengas, incluidas las de finanzas y crédito, en busca de ubicaciones de inicio de sesión extrañas y otras actividades sospechosas.
Cada uno de estos pasos tiene un peso sustancial para la protección después de un ataque de smishing. No obstante, informar un ataque no solo te ayuda a recuperarte, sino que también evita que otras personas sean víctimas del mismo ataque.
Artículos relacionados
- ¡Han pirateado mi correo electrónico! ¿Qué hago ahora?
- Estafas por móvil: cómo identificarlas y protegerte
- ¿Qué tan seguras son las transacciones electrónicas de dinero?