El smishing es un tipo de ataque de ingeniería social que emplea las técnicas del phishing, pero que usa un mensaje de texto en vez de un correo electrónico. El nombre es una combinación de las palabras «SMS» y «phishing».
En este artículo descubrirá cómo reconocer los ataques de smishing y también algunos consejos para protegerse contra estos.
¿Qué es el smishing?
El smishing (una palabra híbrida de las voces «SMS» y «phishing«) es otra estrategia de ingeniería social. Es una técnica de phishing que implica el uso de un mensaje de texto malintencionado. En otras palabras, es una ciberamenaza que pretende enviarle un virus o provocar que se haga daño a sí mismo mediante un mensaje de texto.
Tendemos a ser más reactivos con nuestros móviles. Responderemos espontáneamente a cualquier mensaje. Los hackers están conscientes de esto. Al usar los mensajes de texto de teléfono móvil (SMS), lo que intentan hacer es engañarle para que actúe de inmediato.
Muchos ataques de smishing combinan un SMS y un «falsa sensación de urgencia» para aprovechar esta tendencia de manera más eficaz. El mensaje de SMS malintencionado busca provocar una sensación de urgencia para convencer a las víctimas de que actúen aún más rápidamente.
A veces, la gente es más proclive a confiar en un mensaje de texto que en un E-mail. De hecho, estamos más conscientes de los riesgos para la seguridad que entraña el hacer clic sobre los enlaces presentes en un correo electrónico, pero este no siempre es el caso con los mensajes de texto.
A los atacantes les gusta mucho el smishing, porque es un ataque de bajo coste. Un servidor de teléfono via internet (VoIP), un móvil desechable y un método de spoofing: es todo lo que hace falta para enviar un virus mediante mensajes de texto dirigidos. Con aplicaciones como BurnerApp y SpoofCard, es fácil y barato comprar un número de teléfono falsificado, desde el cual enviar mensajes de texto.
¿Cuáles son los riesgos del smishing?
Al igual que ocurre con muchas ciberamenazas, los ataques de smishing pretenden robarle sus datos personales, información de cuentas bancarias, contraseñas o accesos a páginas web. A veces, también pretenden engañarle para que tome una cierta acción: transferir dinero, dar autorización o acceder a alguien, por ejemplo. Este puede ser un ataque masivo (varias personas como usted reciben el SMS) o un ataque muy específicamente dirigido preparado con antelación, similar al spear phishing (usted es el único que recibe el mensaje de texto).
El smishing puede llevarle a visitar una página web malintencionada con el propósito de robarle sus credenciales o datos personales. Alternativamente, podrían llevarle a llamar a un número telefónico falso. Entonces, los cibercriminales en la línea podrían lanzarle un ataque de quid pro quo o de pretexting para sacarle información delicada. Para ello, suplantarían a un gerente de su empresa, un oficial de policía o un guardia de seguridad que le pediría sus credenciales.
Pero el riesgo más común es el descargar un virus mediante el mensaje de texto enviado o cualquier otro tipo de malware, como un caballo de troya. Esto podría convertir su teléfono en un zombi, permitiéndoles a los hackers controlarlo. Siendo un dispositivo zombie, podría volverse parte de una botnet y usarse para lanzar un ataque de DDoS (Denegación de Servicio Distribuido), enviar spam, etc.
Ejemplos de smishing
Escenario#1
En este ejemplo, un mensaje de texto malintencionado que dice «Actualice la información para evitar la suspensión de la cuenta».
Escenario#2
En este segundo ejemplo, el SMS enviado le dice que cancele su suscripción a algo, o tendrá que hacer algún tipo de pago.
“Estimado usuario,
en consonancia con el nuevo reglamento de Consumo Eléctrico, se le cobrarán 25 euros a la semana. Si desea darse de baja, por favor visite www.smished.com (enlace de ejemplo)
Atentamente,
Su compañía eléctrica»
Escenario#3
Este tercer ejemplo es parecido a un ataque de baiting: el mensaje de texto malintencionado le dice a la víctima que puede obtener vales gratis.
“Estimado usuario,
Aldi está ofreciendo un vale de 65€ en su próxima visita a Aldi.
Por favor, regístrese en www.smished.com (enlace de ejemplo) para reservar su vale»
Aquí encontrará una muestra de una solicitud automática asociada a un ataque de smishing.
¿Cómo reconocer al smishing?
Cualquier SMS que provenga de un número telefónico que no luzca como un número telefónico, como «0420» podría implicar que este mensaje de texto es realmente un correo electrónico enviado a un teléfono. Esto también podría significar que es un ataque de smishing, y que el texto enviado podría contener un virus. De hecho, algunos hackers usan servicios de correo electrónico a texto para enviar sus virus o cualquier otro tipo de SMS por texto, y así ocultar sus números de teléfono reales.
Otro método de smishing usa la suplantación de números de teléfono. Los hackers compran una copia falsificada de un número telefónico real para que su mensaje de texto aparezca en un hilo existente de mensajes de verdad por parte del banco, una tienda, etc. Adicionalmente, los atacantes también usan SMS Flash para captar inmediatamente la atención del destinatarios (por ejemplo, para alertas de emergencia, alertas de tráfico, o para recibir contraseña de un solo uso, etc.).
¿Cómo protegerse del Smishing?
- No haga clic en enlaces que reciba mediante un SMS en su teléfono a menos que conozca a la persona que lo envía. Podría ser una página web falsa creada específicamente para recopilar sus datos personales, contraseñas de cuentas bancarias o credenciales sin levantar sospechas.
- Sea muy cuidadoso con los mensajes en los que se le pide que actúe de inmediato. No se deje presionar para dar una respuesta; en la mayoría de los casos, las organizaciones legítimas le darán tiempo para que reaccione. Asegúrese primero de que estos mensajes provengan de una fuente confiable. Si es necesario, confirme su origen llamando directamente al remitente después de comprobar su número telefónico en la web. Además, en general es posible hallar el número de teléfono del banco en la parte trasera de su tarjeta.
- Incluso si recibe un mensaje de texto que contenga un enlace de un amigo, vea si le es posible verificarlo con el remitente antes de hacer clic en el enlace.
- Se cuidadoso con números de teléfono que luzcan demasiado cortos. Pueden emitirse desde servicios de correo electrónico a texto, que los hackers usan para ocultar su número telefónico actual.
- Nunca instale una aplicación haciendo clic en un mensaje de texto. Use siempre la página oficial (app store, google play u otras) de descarga de aplicaciones antes de instalar la suya.
- Nunca revele información personal o financiera por SMS o llamada telefónica.
- No responda a mensajes de texto que provengan de personas a las que no conozca.
- Evite tener guardada cualquier tipo de información bancaria o número de tarjeta en su teléfono. Incluso si su móvil resulta víctima de una implantación de virus mediante un ataque de smishing, los hackers no podrán robarse la información.
- Si usted es una organización, capacite a su personal para que siga nuestros consejos y puedan reconocer todas las ciberamenazas y aplicar reglas de ciberseguridad. Deben abstenerse de enviar datos confidenciales mediante sus móviles o por correo electrónico.
- Si ha sido víctima de un ataque de smishing o sabe de alguien que haya usado su nombre para un ataque de smishing, también puede reportar el robo de identidad a https://www.identitytheft.gov/.
Conclusión
Nunca se debe confiar de buenas a primeras en un mensaje de texto que aparentemente provenga de su banco, empleador o incluso de un amigo, que contenga un enlace para descargar una aplicación o que lleve a su página web. Por lo general, las organizaciones oficiales no le contactarán por mensaje de texto. Podría ser un ataque de smishing, una ciberamenaza iniciada por un SMS que contenga un virus o malware, o que le invite a emprender acciones dañinas. El lugar de eso, tómese el tiempo necesario para comprobar cuidadosamente este mensaje y absténgase de instalar cualquier aplicación o hacer clic en cualquier enlace.
Prácticamente todos los mensajes de texto que recibirá serán seguros. ¡Pero basta con uno solo para poner en riesgo su seguridad!
Mailfence ofrece un curso de concienciación para la seguridad y privacidad del correo electrónico, en el que podrá aprender cómo evitar brindar acceso a los individuos equivocados o que le roben o filtren sus datos personales. ¡Descubra hoy mismo cómo protegerse contra todo tipo de ciberamenazas! La capacitación es la clave para luchar contra la ingeniería social.
¡Y recupere su privacidad hoy mismo!