Una consulta como perito experto y que ya es recurrente en mi oficina trata acerca del smishing.Pues se trata de una nueva forma de phishing que utiliza los mensajes de texto en lugar del correo electrónico; ocurre más de 30 millones de veces al día y se ha convertido en un problema mundial.
Por la recurrencia de esta consulta en nuestra web o los correos que me llegan a lluis@peritinformatic.com, me ha parecido pertinente elaborar un artículo lo más detallado posible sobre esta forma de estafa y ante cualquier duda pueden escribirme a los contactos mencionados previamente.
¿Qué es el smishing?
El phishing de mensajes de texto o SMS, llamado «smishing», se produce cuando los ciberdelincuentes utilizan mensajes de texto engañosos para inducir a la gente a divulgar información personal sensible que puede utilizarse para cometer un fraude.
Los estafadores que practican esta forma de estafa, intentan engañarte haciéndote creer que son una persona o empresa de confianza. De esta manera sustraen información sensible que luego emplean con propósitos delictivos.
Conoce todo sobre: Validar emails como prueba en un juicio
Objetivo del ciberataque con smishing
Los ciberdelincuentes suelen hacerse pasar por organismos gubernamentales, bancos y compañías de tarjetas de crédito para dar legitimidad a su estafa. Estos mensajes crean una sensación de urgencia al dar a entender que se requiere una acción inmediata, o que hay un tiempo limitado para responder. El mensaje puede contener un enlace que pedirá al usuario que proporcione información confidencial, como nombres de usuario, dirección de correo electrónico, contraseñas, números de tarjetas de crédito o débito, y en algunos casos, dinero.
También se pueden enviar programas maliciosos o pueden colocar un malware en su dispositivo que puede utilizarse para interceptar mensajes o recopilar discretamente datos personales en segundo plano.
Aunque muchas personas están familiarizadas con las estafas por correo electrónico y saben a qué atenerse, están menos familiarizadas con la forma de prevenir un ataque. Los mensajes de texto tienen un mayor índice de respuesta que los correos electrónicos, lo que facilita la eficacia de estas estafas.
Mi opinión como perito
Como perito experto en seguridad, considero que una de las razones por las que el smishing es tan eficaz, es que los usuarios confían más en los mensajes de texto que en las llamadas telefónicas o el correo electrónico.
Con la adopción de los mensajes de texto para la autenticación en dos pasos, en la que se envía un código de verificación, la gente está acostumbrada a recibir mensajes de texto que requieren una acción por parte de las empresas con las que hacen negocios.
Descubre: 10 Consejos prácticos para mejorar la seguridad informática
Cómo funciona el smishing
La mayoría de los ataques de este tipo funcionan como el phishing por correo electrónico. El atacante envía un mensaje en el que se incita al usuario a hacer clic en un enlace o se le pide una respuesta que contiene los datos privados del usuario objetivo. La información que el atacante quiere puede ser cualquier cosa, incluyendo:
- Credenciales de cuentas online.
- Información privada que podría utilizarse para el robo de identidad.
- Datos financieros que pueden utilizarse para vender en los mercados de la red oscura o para el fraude en línea.
Formas de engaño
Los smishers utilizan diversas formas de engañar a los usuarios para que envíen información privada. Pueden utilizar información básica sobre el objetivo (como el nombre y la dirección) de herramientas públicas en línea para engañar al objetivo y hacerle creer que el mensaje proviene de una fuente de confianza.
El smisher puede utilizar tu nombre y ubicación para dirigirse a ti directamente. Estos detalles hacen que el mensaje sea más convincente. A continuación, el mensaje muestra un enlace que apunta a un servidor controlado por el atacante.
El enlace puede llevar a un sitio de phishing de credenciales o a un malware diseñado para comprometer el propio teléfono. El malware puede utilizarse entonces para espiar los datos del smartphone del usuario o enviar datos sensibles de forma silenciosa a un servidor controlado por el atacante.
Te puede interesas: Suplantación de identidad
El entramado de la estafa
La ingeniería social se utiliza en combinación con la estafa. El atacante puede llamarte pidiendo información privada antes de enviar un mensaje de texto. La información privada puede utilizarse entonces en el ataque del smisher por mensaje de texto.
Varias compañías de telecomunicaciones han intentado combatir las llamadas de ingeniería social mostrando «Riesgo de Spam» en el smartphone cuando un número conocido de estafa llama al usuario.
Los programas maliciosos suelen ser detenidos por las funciones básicas de seguridad de Android e iOS. Pero incluso con sólidos controles de seguridad en los sistemas operativos móviles, ningún control de seguridad puede combatir a los usuarios que envían voluntariamente sus datos a un número desconocido.
¿Cómo puedo evitar una estafa por smishing?
Una de las preguntas más frecuentes que me hacen como perito experto, es cómo puede la gente protegerse de los estafadores que se valen de los SMS. Por supuesto, siempre les doy algunas sugerencias para que se protejan de este tipo de fraudes.
Consejos para evitar estafas por SMS
Siguiendo los siguientes consejos, puedes protegerte de ser víctima de una estafa por SMS. Si crees que has sido víctima de una estafa por mensajería de texto, ponte en contacto con la empresa o el organismo gubernamental que el ciberdelincuente está suplantando y denúncielo inmediatamente.
No hagas clic en los enlaces de los mensajes de texto no solicitados
Si haces clic en el enlace puedes infectar tu dispositivo móvil con malware, o puede llevarte a un sitio diseñado para robar tu información personal. Si recibes un mensaje de texto con un enlace de una empresa con la que haces negocios, ponte en contacto con ella a través de un número de teléfono o correo electrónico que sepas que es auténtico para verificar que el mensaje que has recibido es legítimo.
No descargues aplicaciones a través de un mensaje de texto
La aplicación puede ser maliciosa y puede utilizarse para robar tu información personal. Las aplicaciones sólo deben descargarse de tiendas de aplicaciones de confianza.
Nunca proporciones tu información personal o financiera en respuesta a un mensaje de texto
Las agencias gubernamentales, los bancos y otras empresas legítimas no te pedirán información personal o financiera, como nombres de usuario, contraseñas, PIN o números de tarjetas de crédito o débito, a través de un mensaje de texto.
Si recibes un mensaje de texto en el que te piden este tipo de información, ponte en contacto con la empresa a través de un número de teléfono o correo electrónico que sepas que es auténtico para constatar que el mensaje que has recibido es auténtico.
No respondas a los mensajes, aunque sólo sea para decir «basta»
Si respondes a este tipo de mensajes, estás verificando que tu número de teléfono está activo y que estás dispuesto a abrir este tipo de mensajes, lo que puede aumentar el número de mensajes de texto no solicitados que recibes. Simplemente bloquea al remitente y elimina el mensaje.
Utiliza siempre un método diferente para comprobar tus cuentas
Hay más formas de comprobar tu(s) cuenta(s) que responder a un mensaje de texto. Si el remitente dice que es una empresa u organización con la que tienes una cuenta, contacta directamente con esa empresa por teléfono para confirmar si hay algún problema.
En un mundo en el que las soluciones rápidas a los problemas son la norma, evita el impulso de responder a los mensajes de texto que te piden información personal. Lo que parece una simple solución a un problema puede acabar siendo un error muy caro.
Para cualquier información adicional, contactar en la página web y podré aclarar tus dudas o acordar una cita en el caso que necesites un perito informatico en este tema.
Para descargar este artículo en un archivo PDF da clic AQUÍ