Smishing

El smishing es una variante del phishing que se realiza mediante el envío de mensajes de texto (SMS) a teléfonos móviles. Los mensajes están diseñados para engañar a las víctimas potenciales para que pulsen un enlace y, por tanto, envíen información sensible a los atacantes, descarguen software malicioso o caigan en una estafa clásica.

¿Qué significa exactamente smishing?

Los SMS siguen siendo una forma frecuente de comunicación y se perciben como muy seguros. Precisamente por esta idea, los ciberdelincuentes se aprovechan de ello para obtener información sensible o para instalar programas maliciosos y enriquecerse a costa de las víctimas. Los métodos de ataque más frecuentes son:

Proliferación de malware: esta variante es similar al clásico correo electrónico de phishing. Las víctimas reciben un mensaje de texto con un enlace y se les anima a pulsarlo. Una de las estafas más populares de los delincuentes es hacerse pasar por un proveedor de servicios conocido (por ejemplo, DPD, Amazon) e informar sobre el paradero de un envío. El enlace del SMS lleva a un sitio web en el que se puede descargar una aplicación. Tiene un aspecto bastante similar al de los proveedores de servicios oficiales, pero es falso y contiene un troyano bancario. Se activa al descargar la supuesta aplicación y, tras la instalación, puede acceder o utilizar todos los datos personales, como números de teléfono, direcciones de correo electrónico y datos bancarios. Además, el acceso puede provocar el envío de otros SMS perjudiciales a los contactos del mismo teléfono, una reacción en cadena con consecuencias fatales. Los dispositivos finales Android, en particular, sufren este tipo de ataque debido a que su sistema operativo permite la instalación de aplicaciones de fuentes desconocidas.

Smishing bancario: los ciberdelincuentes tienen especial interés en acceder a los datos de la banca online de la víctima para robar su dinero. Para hacerse con dichos datos, les gusta jugar a sembrar el miedo entre las posibles víctimas. Los atacantes envían un SMS supuestamente del banco de la víctima que le avisa de que han hackeado su cuenta y le proporciona un número de teléfono o un enlace para evitar más daños. El número de teléfono suele llamar directamente a los delincuentes, mientras que el enlace del mensaje te redirige a un sitio web falso. En ambos casos, se engaña a las víctimas para que revelen sus datos de acceso, solo para ver que han saqueado su cuenta. A menudo, el número del remitente puede estar oculto, de modo que muchas víctimas no pueden identificar el origen del mensaje de texto.

¿En el trabajo diario, dónde puedo encontrarme con smishing?

Puedes encontrarte con el smishing si utilizas un teléfono para fines profesionales, ya sea tu teléfono privado o el de la empresa.

¿Qué puedo hacer para mejorar mi seguridad?

• Ten cuidado con los enlaces crípticos, la ortografía o los caracteres especiales en los mensajes de texto. Si se acumulan con demasiada frecuencia dentro de un mensaje, no hagas clic en ninguno de los enlaces y bloquea el número del remitente. Si recibes un SMS en nombre de una empresa de transporte o de tu banco, entra en la web oficial del proveedor para comprobar si los mensajes que has recibido son reales.
• Para descargar aplicaciones, utiliza solo fuentes fiables, es decir, las tiendas de aplicaciones oficiales o el sitio web del proveedor. En Android, puedes desactivar la opción «Instalar aplicaciones de fuentes externas» en los ajustes.
• Avisa a los miembros de tu organización para que estén atentos de los mensajes sospechosos.
• Denuncia cualquier ataque de smishing a la oficina del consumidor. De este modo, no solo te proteges a ti, sino también a los demás.
• Sé consciente de este tipo de ataques. Pregúntate si tu banco o servicio de entrega te enviaría este tipo de mensajes. ¿Acaso tienen tu número de teléfono para hacerlo? Ningún banco llama a sus clientes ni les pide datos personales por teléfono. Si recibes una llamada de este tipo, cuelga de inmediato.