Smishing

El smishing es un tipo de phishing que adopta la forma de mensajes de texto – SMS – enviados a teléfonos móviles. Los mensajes pretenden atraer a las víctimas potenciales para que hagan clic en un enlace y envíen así información sensible a los atacantes, descarguen software malicioso o caigan en una estafa clásica.

¿Qué significa smishing en detalle?

La mensajería de texto sigue siendo una forma de conversación muy utilizada en los smartphones y se percibe en gran medida como segura. Es precisamente esta suposición la que aprovechan los delincuentes para acceder a información sensible o instalar malware y enriquecerse a costa de la víctima. Se observan con frecuencia las siguientes variantes:

• Propagación de malware: Esta variante es similar al clásico correo electrónico de phishing. Las víctimas reciben un mensaje de texto con un enlace y se les anima a hacer clic en él. Una estafa popular utilizada por los autores es hacerse pasar por un conocido proveedor de servicios -por ejemplo DPD, Amazon, etc.- en el mensaje de texto e informar a la víctima del paradero de un envío. El enlace del mensaje de texto lleva a un sitio web donde se puede descargar una aplicación. Esta tiene un aspecto confusamente similar a la del proveedor de servicios, pero es falsa y contiene un troyano bancario. Se activa cuando se descarga la supuesta app y, una vez instalada, puede acceder o utilizar todos los datos personales, como números de teléfono, direcciones de correo electrónico y datos bancarios. Además, este acceso puede dar lugar al envío de más mensajes de texto maliciosos a los contactos del teléfono móvil: una reacción en cadena con consecuencias fatales.
  Los dispositivos Android, en particular, se ven afectados por este escenario de ataque, ya que el sistema operativo permite instalar apps de fuentes desconocidas.

• Smishing bancario: Los ciberdelincuentes están especialmente interesados en acceder a los datos de la banca online para robar dinero. Por ejemplo, los atacantes envían un mensaje de texto del supuesto banco de la víctima. Este mensaje contiene la información de que la cuenta bancaria ha sido pirateada y proporciona un número de teléfono o un enlace para evitar más supuestas pérdidas. El número de teléfono suele llevar directamente a los delincuentes, el enlace del mensaje a un sitio web falso. En ambos casos, las víctimas son engañadas para que revelen sus datos de acceso, sólo para descubrir que su cuenta bancaria ha sido saqueada. El número del remitente puede ocultarse a menudo, de modo que muchas víctimas no pueden reconocer el origen del mensaje de texto.

¿Dónde encuentro smishing en mi trabajo diario?

Puedes encontrarte con el smishing si utilizas un teléfono móvil para fines profesionales, ya sea tu teléfono privado o el de la empresa.

¿Qué puedo hacer para mejorar mi seguridad?

• Ten cuidado con los enlaces crípticos, la ortografía o los caracteres especiales en los mensajes de texto. Si éstos aparecen sospechosamente a menudo en un mensaje, no hagas clic en ninguno de los enlaces y bloquea el número de teléfono del remitente. Si recibes un mensaje de texto en nombre de una empresa de paquetería o de tu banco, entra en el sitio web oficial del proveedor para comprobar los mensajes que te envían.
• Para descargar aplicaciones, utiliza sólo las de fuentes fiables, es decir, las tiendas de aplicaciones oficiales o el sitio web del proveedor. En Android, puedes desactivar la opción de menú «Instalar aplicaciones de orígenes desconocidos» en los ajustes.
• Informa a los miembros de tu organización para que estén prevenidos y estén atentos a los mensajes de texto sospechosos.
• Denuncia el incidente de smishing al centro de asesoramiento al consumidor. Esto no sólo te protegerá a ti, sino también a los demás.
• Conciénciate de este tipo de ataque: pregúntate si tu banco o tu servicio de paquetería te enviarían mensajes de este tipo. ¿Tendrían siquiera tu número de teléfono móvil para hacerlo? Ningún banco llama a sus clientes y les pide datos personales por teléfono. Si recibes una llamada de este tipo, cancélala inmediatamente.