Los ataques de phishing se están volviendo cada vez más dirigidos y sofisticados. Cada vez más delincuentes están atacando a los usuarios móviles enviando contenido malicioso por SMS. De qué va todo esto y cómo puedes protegerte mejor contra ello, simplemente sigue leyendo.

¿Alguna vez has recibido uno de estos SMS diciendo que un paquete que supuestamente pediste no podía ser entregado y que deberías descargar la app del proveedor a través del enlace contenido en el mensaje para poder recibirlo? No habías pedido nada… Si no seguiste las instrucciones de este mensaje, ¡has hecho todo bien! Esto se debe a que esto es lo que se llama smishing, es decir, phishing por SMS. Y este escenario es solo uno entre muchos.

El phishing replanteado y hecho móvil

A pesar de los numerosos servicios de mensajería que han surgido como hongos en los últimos años, el SMS sigue siendo un tipo de conversación frecuentemente utilizado en el smartphone. Especialmente en tiempos de oficina en casa y trabajo remoto, en los que se utilizan dispositivos privados en el trabajo cotidiano, gran parte de la comunicación se realiza a través de teléfonos móviles y se percibe como en gran medida segura. Es precisamente esta suposición la que los delincuentes aprovechan. El objetivo de los estafadores es utilizar SMS engañosos para acceder a datos sensibles e información valiosa.

Actualmente, los ataques de smishing se pueden dividir en tres categorías diferentes:

Distribución de malware

El escenario descrito anteriormente es uno de muchos y se basa en el clásico phishing por correo electrónico. El enlace en el SMS conduce a una página web donde hay una app disponible para descargar. Esto se parece confusamente a los de los proveedores de servicios de paquetería u otros proveedores de servicios – véase Factbox – pero es una falsificación y contiene un troyano bancario. Se activa cuando se descarga la app y puede acceder o utilizar todos los datos personales, como números de teléfono, direcciones de correo electrónico y datos bancarios tras la instalación. Además, el acceso puede enviar posteriormente más SMS maliciosos a los contactos del teléfono móvil, una reacción en cadena con consecuencias fatales.

Los troyanos bancarios más extendidos de este tipo son actualmente FluBot y TeaBot. Los dispositivos Android en particular se ven afectados por este escenario de ataque, ya que el sistema operativo permite instalar aplicaciones desde fuentes desconocidas.

Smishing bancario

De particular interés para los ciberdelincuentes son los datos de acceso para la banca online. La propagación del miedo es un método especialmente popular para que los hackers accedan a los depósitos de dinero de sus víctimas: envían SMS desde el supuesto banco de la víctima con la información de que la cuenta bancaria ha sido hackeada y proporcionan un número de teléfono o enlace para evitar más daños presuntos. El número de teléfono suele llevar directamente a los delincuentes, el enlace del mensaje a una web falsa. En ambos casos, se debe persuadir a las víctimas para que revelen sus datos de acceso, solo para encontrar una cuenta bancaria saqueada después. A menudo, el número del remitente puede ocultarse, de modo que muchas víctimas no pueden saber de qué fuente proviene el mensaje de texto.

El truco del nieto como SMS

Este tipo de smishing afecta principalmente a personas menos expertas en tecnología. En este caso, los estafadores fingen ser conocidos de la víctima —los nombres suelen aprenderse a través de las redes sociales— y prometen una ventaja económica si haces un depósito por adelantado en una cuenta bancaria concreta.

Cómo puedes protegerte mejor a ti mismo y a los demás de los smishings

1. No hagas clic en ninguno de los enlaces y bloquea el número de teléfono del remitente. Si realmente esperas un envío y no estás seguro de si el SMS de tu repartidor de paquetes funcionará, contacta directamente con ellos. Lo mismo ocurre con tu cuenta bancaria: inicia sesión directamente desde el navegador para obtener más información.
2. Solo utiliza aplicaciones de fuentes fiables, es decir, las tiendas oficiales o la web del proveedor, para descargar aplicaciones.
3. En Android, hay la opción de desactivar el elemento de menú «Instalar aplicaciones desde fuentes desconocidas» en la configuración. Así es como te proteges a ti mismo – y a los demás.
4. Informa del incidente de smishing al centro de asesoramiento al consumidor. Esto te protegerá no solo a ti mismo, sino también a los demás.
   Si ocurre un incidente similar en tu teléfono de trabajo, informa a los miembros de tu organización.
5. Conciénciate de este tipo de ataque: pregúntate si tu banco o tu servicio de paquetería te enviarían mensajes de este tipo. ¿Tendrían siquiera tu número de teléfono móvil para hacerlo? Ningún banco llama a sus clientes y les pide datos personales por teléfono. Si recibes una llamada de este tipo, cancélala inmediatamente.
6. Presta atención a los enlaces crípticos y a la ortografía en el texto principal. Al final, siempre se aplica lo siguiente: Más vale prevenir que curar….

Ya he hecho clic – cómo hacer control de daños

1. Si sospechas que has sido víctima de un ataque por smishing, pon tu móvil en modo avión. Esto evita que el software malicioso se envíe a tus contactos.
2. Informa a tu operadora de telefonía móvil sobre el incidente, y a tu banco si ya has revelado tus datos bancarios.
3. Restablece tu smartphone a la configuración de fábrica para borrar los datos instalados y guardados.

¿Tienes más preguntas sobre phishing o te gustaría saber cómo tú también puedes hacer que tu empresa sea cibersegura? Nuestros expertos de Perseus Technologies se encargarán de tus preocupaciones y estarán encantados de asesorarte de forma más intensiva.