Cómo Funciona el Smishing | Master en Ciberseguridad Online

Cómo funciona el Smishing; Entre las herramientas con las que cuentan los ciberdelincuentes para engañarnos, una de las más populares en los últimos años es el envío de SMS fraudulentos a nuestros dispositivos móviles. Basándose en técnicas de ingeniería social, consiguen hacerse pasar por empresas de confianza para engañarnos.

Este tipo de estafa se conoce como Smishing y es para enviar mensajes de texto (SMS) a las víctimas, haciéndose pasar por todo tipo de entidades de confianza, como bancos, empresas públicas de la Administración, comercios, familiares o amigos. El objetivo, como siempre, es obtener toda la información personal (nombre de usuario y contraseñas, correos electrónicos, número de teléfono, dirección, etc.) e información bancaria para cometer más fraude o tomar nuestro dinero.

El ataque de smishing es un tipo de estafa en la que los delincuentes envían un SMS a la víctima haciéndose pasar por alguna institución, como un banco o una empresa, para robar información personal. La palabra «smishing» es una combinación de los términos SMS (abreviatura de «servicios de mensajes cortos«) y «phishing».

Definición de smishing

Aunque todavía existe cierta confusión entre el smishing y el phishing por correo electrónico, el smishing no es más que un tipo de phishing realizado a través de mensajes de texto de móvil. El término «phishing» se refiere a la técnica de ingeniería social en la que los delincuentes se hacen pasar por una persona o entidad corporativa para manipular a la víctima con el fin de obtener información.

Las amenazas informáticas, como los ataques de phishing, pueden producirse a través del correo electrónico, las redes sociales y otros medios digitales. En el caso del smishing, como su nombre indica, la comunicación se realiza a través de SMS. La diferencia en el término sólo sirve para especificar el canal utilizado. Es muy fácil de realizar por los atacantes, sólo estando en posesión del número de teléfono de la víctima. Sin embargo, esto no significa que todos los ataques de smishing sean iguales. Es importante saber cómo se producen para protegerte lo mejor posible.

Los ataques de smishing suelen adoptar dos formas: pedir a la víctima que haga clic en un enlace, o pedirle que responda a un SMS. En este último caso, la técnica utilizada es más sencilla: el estafador envía un mensaje inicial que dice ser de una determinada empresa y pide a la víctima que responda al mensaje con información personal.

Si el SMS incluye algún enlace, el delincuente puede utilizar otras dos vías para robar los datos telefónicos personales de la víctima: La primera opción es que la víctima sea dirigida a un sitio web falso (que suele ser muy similar a la supuesta página oficial de la empresa) para que rellene un formulario con información personal. La segunda es que, en cuanto la víctima haga clic, se descargue automáticamente un malware que permite a los estafadores espiar las actividades del dispositivo, ofreciendo acceso a información sensible de forma silenciosa.

Como este tipo de estafa emplea técnicas de ingeniería social, los delincuentes intentan acercarse a las víctimas de diferentes maneras para convencerlas de que se trata de un mensaje legítimo y de que es necesario actuar inmediatamente. La mayoría de ellos apelan a un sentido de urgencia.

Los tipos más comunes de smishing son:

Mensajes bancarios que notifican que hay un problema con la cuenta o la tarjeta de crédito de la víctima

Ciertamente, los problemas de dinero y de cuentas podrían ser los temas más sensibles para la mayoría de la gente. Por lo tanto, los tipos comunes de smishing son mensajes en nombre de la institución financiera de la víctima en los que se indica que se ha identificado una transacción sospechosa, o que su cuenta o tarjeta de crédito está bloqueada. Para que se solucione el problema, o se desbloquee la cuenta o la tarjeta de crédito, se pide a la víctima que haga clic en un enlace para confirmar su identidad.

Alertar a alguna empresa de una actividad sospechosa

Para mejorar la seguridad de los usuarios, muchas empresas envían ahora una notificación si se accede a la cuenta desde un dispositivo o lugar diferente. Los ataques de smishing también copian la técnica y envían alertas con enlaces sospechosos a la víctima para que verifique de dónde procede el acceso. También es habitual que los SMS se disfracen de autenticación de dos factores, exigiendo a la víctima que haga clic en el enlace para que se le conceda el acceso.

Invitaciones para participar en una encuesta

Incluso en el caso de las encuestas auténticas, a pocas personas les gusta dar su tiempo para participar. Por ello, para convencer a la víctima de que haga clic en el enlace, los mensajes suelen ofrecer algún premio. Estas invitaciones pueden incluir supuestas encuestas para evaluar un servicio o producto de grandes almacenes.

Mensajes que notifican que la víctima ha sido premiada

Otra técnica muy común es un mensaje que informa a la víctima de que ha sido premiada por la lotería u otro tipo de premios y que debe hacer clic en un enlace para obtener más información o reclamar su premio. Aunque en algunos casos es más fácil identificar que se trata de una estafa, muchos delincuentes utilizan promociones reales que tienen lugar en grandes comercios, como sorteos, lo que hace que haya más posibilidades de que la víctima haga clic o responda.

Para entender cómo funciona este tipo de ataque y que podamos identificarlo en nuestro día a día, veámoslo a través de un ejemplo:

El abuelo, por ejemplo, lleva varios años usando el móvil. Con él puede enviar y recibir mensajes de sus familiares y amigos, recibir correos electrónicos o ver películas y series. Su familia se ha encargado de ayudarle a disfrutar de todos los beneficios que esta tecnología puede ofrecerle.

Nuestro protagonista estaba viendo la televisión cuando recibió una notificación en su teléfono. Resultó ser un mensaje de texto que le llamó la atención, ya que no suele recibir este tipo de mensajes. Al parecer, se trataba de una nueva campaña para ayudar a las familias afectadas por la pandemia del Coronavirus, organizada por una conocida ONG.

El abuelo no sabía muy bien cómo hacer pagos a través de esta aplicación, por lo que pidió ayuda a sus nietos. Cuando los llamó y les explicó la situación, sus nietos se sorprendieron y decidieron comparar toda la información sobre esta campaña de ayuda. Para su sorpresa, la web oficial de la ONG no hacía referencia a ninguna campaña de ayuda vinculada al mensaje recibido.

Después de buscar un poco en Internet, nuestros protagonistas descubrieron que todo era un fraude. Los ciberdelincuentes habían enviado estos mensajes de texto masivos a muchos números de teléfono que se habían filtrado en línea. El abuelo admitió que se inscribió en varios concursos y promociones, proporcionando su número de teléfono, y los atacantes pudieron haberlo obtenido de esa manera. Así es cómo funciona el smishing.

Afortunadamente, para nuestro protagonista y sus nietos, supieron reaccionar a tiempo y no hicieron ninguna donación ni respondieron al mensaje, directamente lo borraron.

Este tipo de fraude es muy común y se basa en la suplantación de identidad a todo tipo de entidades. En la mayoría de los casos utilizan un enlace fraudulento para redirigirnos a una web falsa, con la que obtienen nuestros datos, descargan un archivo malicioso o nos engañan para realizar una transferencia o contactar con un número de teléfono malicioso con tarifas especiales, así como suscripciones a este tipo de servicio.

Una vez visto cómo funciona el smishing, veremos algunas pautas que debemos seguir para verificar la autenticidad de estos mensajes y detectar si se trata de un fraude:

• Generalmente, incluso si el mensaje indica que pertenece a una entidad de confianza, aún podemos verificar el remitente del mensaje. Si el nombre de la empresa no aparece en la lista y solo vemos un número de teléfono, lo más probable es que se trate de un fraude.

• Los enlaces también deben ser revisados. Una empresa de confianza nunca utilizará una URL insegura, es decir, una que comience con «http», aunque las URL que comienzan con «https» también pueden haber sido manipuladas por un ciberdelincuente.

• También es importante leer el mensaje detenidamente en busca de errores ortográficos y gramaticales o errores de traducción.

• Por último, debemos recordar que este tipo de entidades ya disponen de toda la información que necesitan, por lo que si intentan obtener datos personales, podemos sospechar de su autenticidad.

Si pensamos que estamos ante un SMS fraudulento, lo mejor es ignorarlo y eliminarlo. Además, debemos tener mucho cuidado de no hacer clic en ningún enlace o archivo adjunto sospechoso para descargar. Si sospechamos que hemos sido víctimas de uno de estos mensajes de texto, lo primero que debemos hacer es:

1. Escanear nuestro dispositivo con antivirus actualizado.

2. Eliminar cualquier archivo que hayamos descargado del SMS o de un enlace adjunto al mensaje.

3. Cambiar nuestras contraseñas para las cuentas afectadas, que pueden haber sido comprometidas.

4. Habilite la verificación en dos pasos en las cuentas que lo permitan para ayudar a prevenir el phishing.

5. Póngase en contacto con el banco para cancelar cualquier pago no autorizado o nuestra tarjeta, si es necesario.

6. Bloquea los mensajes de texto que consideramos spam.

7. Reunir todos los indicios posibles y comunicarlos a las fuerzas y órganos de seguridad del Estado.