Smishing (phishing por SMS)

El smishing es una forma de fraud por mensajes de texto que los ciberdelincuentes utilizan para atraer a las víctimas a revelar datos confidenciales, enviar dinero o instalar malware en un teléfono inteligente o dispositivo. La palabra "smishing" es una combinación de los términos "servicio de mensajes cortos (SMS)" y "phishing". Los SMS son la tecnología que impulsa el envío y la recepción de mensajes de texto, mientras que el phishing es un ataque de Social Engineering en el que los ciberdelincuentes intentan engañar a las personas para que revelen datos confidenciales, como contraseñas o números de tarjetas de crédito, haciéndose pasar por una organización o persona de confianza.

• El smishing es una forma de phishing que utiliza mensajes de texto para engañar a las víctimas a fin de que revelen información confidencial, envíen dinero o instalen malware en sus dispositivos.
• Los ciberdelincuentes a menudo se hacen pasar por entidades de confianza como bancos, servicios de entrega o agencias gubernamentales para crear una sensación de urgencia y engañar a los destinatarios para que actúen de inmediato.
• La protección contra los ataques de smishing incluye desconfiar de los mensajes no solicitados, habilitar la autenticación de dos factores, usar herramientas de filtrado de SMS e informarse sobre las últimas técnicas de smishing.

Al igual que el phishing estándar, el smishing opera sobre el principio del engaño. Los ciberdelincuentes crean mensajes de texto que parecen provenir de entidades de confianza como bancos, servicios de entrega o agencias gubernamentales. Estos mensajes a menudo contienen un sentido de urgencia, advirtiendo sobre un problema con una cuenta, una entrega perdida o incluso un problema legal.

El objetivo del ciberdelincuente es desencadenar una respuesta inmediata. El mensaje generalmente incluye un enlace que insta al destinatario a hacer clic y resolver el supuesto problema. Sin embargo, este enlace lleva a un sitio web fraudulento diseñado para imitar uno legítimo. Una vez en este sitio falso, se solicita a las víctimas que ingresen información sensible, como credenciales de inicio de sesión, detalles de tarjetas de crédito o números de la Seguridad Social.

Los ciberdelincuentes también emplean mensajes de texto de smishing para distribuir malware o spyware. Podrían incluir un enlace que descargue malware en su dispositivo o adjuntar un archivo que instale malware. Una vez que el malware esté en su teléfono, puede robar datos sensibles, rastrear su actividad o incluso tomar el control de su dispositivo.

Un ejemplo del mundo real de smishing

Piense en esta situación: es la temporada navideña y usted está esperando ansiosamente un paquete de su minorista en línea favorito. De repente, usted recibe un mensaje de texto. Parece ser del minorista, advirtiendo que hay un problema con su información de facturación y que su pedido está en espera. El mensaje le insta a hacer clic en un enlace para actualizar sus datos de inmediato o corre el riesgo de que su regalo no llegue a tiempo.

¿La trampa? Este no es un mensaje auténtico del minorista. Es un intento de smishing meticulosamente elaborado. El enlace lleva a un sitio web convincente pero falso que roba la información de su tarjeta de crédito. Una vez que introduzca sus datos, los estafadores tendrán lo que necesitan para cometer un robo de identidad, realizar compras fraudulentas o vaciar su cuenta bancaria.

Pasos comunes de un ataque de smishing

Aquí hay siete pasos que los ciberdelincuentes podrían usar para atacar a las víctimas con un ataque de smishing:

1. Elegir a los destinatarios: los atacantes identifican a los destinatarios lanzando una red amplia con números de teléfono obtenidos de violaciones de datos o atacando a individuos específicos basándose en conocimiento previo.
2. Crear mensajes: los atacantes suelen aprovechar emociones como la urgencia, el miedo o la curiosidad para provocar una respuesta rápida; crean mensajes de texto convincentes. Estos mensajes suelen incluir una llamada a la acción, como hacer clic en un enlace o llamar a un número.
3. Enviar mensajes: mediante puertas de enlace SMS, herramientas de spoofing o dispositivos comprometidos, los atacantes envían mensajes de smishing a destinatarios seleccionados. Estos mensajes pueden parecer proceder de fuentes de confianza, lo que aumenta su naturaleza engañosa.
4. Interactuar con la víctima: el mensaje anima al destinatario a interactuar al recibirlo. Esto podría implicar hacer clic en un enlace malicioso, responder con información personal o llamar a un número de teléfono proporcionado.
5. Recopilar de datos: si un destinatario cae en la trampa, podría ser redirigido a un sitio web fraudulento donde, sin darse cuenta, introduzca datos sensibles o descargue malware en su dispositivo. A veces, la interacción en sí, como llamar a un número de tarificación prémium, puede resultar en una pérdida económica.
6. Aprovechar la información robada: el atacante utiliza la información robada para el robo de identidad, realizar transacciones no autorizadas o vender en la dark web.
7. Encubrir las huellas: los atacantes cambian sus tácticas con frecuencia, como usar diferentes números de teléfono o emplear diversas técnicas para ocultar su identidad y ubicación.

Para profundizar en su comprensión de los ataques de smishing, veamos más ejemplos del mundo real que podría encontrar.

Suplantación de una institución financiera

Los atacantes pueden enviar mensajes de texto haciéndose pasar por su banco, alertándole de actividades sospechosas o problemas con su cuenta. Estos mensajes suelen incluir un enlace a un sitio web falso diseñado para capturar sus credenciales de inicio de sesión o datos financieros.

Suplantación del servicio de atención al cliente

Los mensajes de smishing también pueden simular el servicio de atención al cliente de empresas tecnológicas o de venta al por menor. Afirmarán que hay un problema con su cuenta y le instarán a hacer clic en un enlace o llamar a una línea de soporte fraudulenta para proporcionar información confidencial.

Suplantación de agencias o funcionarios gubernamentales

Los ciberdelincuentes pueden hacerse pasar por agencias gubernamentales como el IRS, amenazando con acciones legales o multas a menos que usted haga clic en un enlace o llame a un número proporcionado. Esto puede llevar al robo de datos personales o a estafas financieras.

Suplantación de empresas de mensajería y paquetería

Los mensajes de smishing pueden afirmar que hay un problema con la entrega del paquete y pedirle que haga clic en un enlace para resolverlo. Estos enlaces a menudo llevan a sitios web falsos de empresas de envío diseñados para robar su dirección, detalles de pago o incluso instalar malware en su dispositivo.

Suplantación de líderes de la empresa

Los atacantes pueden hacerse pasar por ejecutivos de la empresa, solicitando transacciones financieras urgentes o información confidencial. Estos mensajes explotan la confianza y la jerarquía dentro de las organizaciones, lo que podría llevar a pérdidas financieras o brechas de datos.

Simular que envía un mensaje de texto a un número equivocado

Esta táctica consiste en enviar un mensaje que parece haber sido enviado accidentalmente a la persona equivocada. Los estafadores luego utilizan la conversación resultante para generar confianza y, finalmente, intentan extraer dinero o información personal.

Ofrecer la descarga de una aplicación

Los mensajes de smishing pueden incitarle a descargar una aplicación que parece útil, a menudo disfrazada como una marca de confianza. Estas aplicaciones suelen ser maliciosas, diseñadas para robar datos o instalar más malware en su dispositivo.

El phishing, el smishing y el vishing son tácticas de Social Engineering que utilizan los ciberdelincuentes para robar información personal, pero difieren en sus métodos de entrega.

• Phishing utiliza correos electrónicos engañosos para inducir a los destinatarios a hacer clic en enlaces maliciosos o descargar archivos adjuntos perjudiciales. Estos correos electrónicos a menudo parecen provenir de fuentes legítimas, como bancos, plataformas de redes sociales o minoristas en línea.
• Smishing utiliza mensajes de texto o aplicaciones de mensajería para engañar a las víctimas en lugar de correos electrónicos. Estos mensajes suelen contener solicitudes urgentes de información o enlaces a sitios web fraudulentos diseñados para capturar datos personales.
• Vishing utiliza llamadas de voz o mensajes de buzón de voz para engañar a las personas y hacer que revelen información sensible. Los atacantes pueden hacerse pasar por representantes bancarios, funcionarios del gobierno o personal de soporte técnico para ganarse la confianza de la víctima y obtener información directamente por teléfono.

Protegerse contra los ataques de smishing comienza con comprender los fundamentos de la protección contra el phishing. Aquí hay algunas formas comunes de protegerse contra ataques de social engineering como el phishing, el smishing y el vishing:

Personas

• Habilitar la autenticación multifactor (MFA): esta medida de seguridad requiere que los usuarios proporcionen dos formas de identificación antes de acceder a una cuenta, como una contraseña y un código temporal enviado a un teléfono o correo electrónico. Reduce significativamente el riesgo de acceso no autorizado, incluso si se compromete una contraseña.
• Tener cuidado con los mensajes no solicitados: trate los mensajes de texto inesperados con escepticismo, especialmente aquellos que afirman ser urgentes o prometen recompensas. Verifique la autenticidad de cualquier mensaje poniéndose en contacto directamente con la organización a través de los canales oficiales.
• Formarse y formar a los demás: manténgase al día sobre las últimas técnicas de smishing y comparta estos conocimientos con familiares, amigos y compañeros de trabajo. La concienciación es una herramienta poderosa para reconocer y evitar estafas.
• Ignorar los mensajes sospechosos: no haga clic en enlaces ni responda a mensajes de texto de fuentes desconocidas o sospechosas. Las organizaciones legítimas generalmente no solicitan información sensible a través de SMS.

Empresas

• Utilizar herramientas de filtrado de SMS: muchos teléfonos inteligentes tienen funciones o aplicaciones integradas que pueden filtrar o marcar posibles mensajes de spam y phishing. Estas herramientas ayudan a reducir la exposición a textos maliciosos.
• Instalar herramientas antiphishing: el software de seguridad puede detectar y bloquear los intentos de phishing, proporcionando protección adicional contra los ataques de smishing. Actualice estas herramientas con regularidad para asegurarse de que reconocen las amenazas más recientes.
• Verificar la identidad del remitente: si un mensaje solicita información personal, verifique la identidad del remitente contactando directamente a la organización utilizando la información de contacto de su sitio web oficial, no del mensaje en sí.
• Denunciar los intentos de smishing: informar de los mensajes sospechosos a su operador de telefonía móvil o a las autoridades competentes puede ayudarles a rastrear y combatir las campañas de smishing, protegiendo a los demás de ataques similares.
• Formación regular en seguridad: la realización periódica de sesiones y simulacros de formación en seguridad puede ayudar a las personas y organizaciones a reconocer y responder mejor a los intentos de smishing, reduciendo la probabilidad de ser víctimas.
• Mantener el software actualizado: las actualizaciones regulares de su sistema operativo móvil y de las aplicaciones de seguridad aseguran que tenga las protecciones más recientes contra vulnerabilidades y amenazas conocidas, reduciendo el riesgo de explotación.

Recuerde, la clave para protegerse contra el smishing es la vigilancia y una buena dosis de escepticismo. Si algo parece demasiado bueno para ser verdad o se siente mal, confíe en sus instintos y tómese el tiempo para verificar el mensaje antes de tomar cualquier acción.