¿En Qué Consiste el Smishing?; Los ciberdelincuentes se han especializado en el uso de mensajes SMS para obtener información de tarjetas bancarias y contraseñas de la banca online.

Con el smishing de moda, los medios de comunicación de Estados Unidos o Brasil entre otros han publicado historias alarmantes sobre nuevas estafas. La policía alemana incluso emitió una advertencia oficial sobre una de estas campañas.

El fenómeno ha recaudado sumas ingentes, como demuestra su popularidad en las búsquedas online. ¿Qué es el smishing?, fraudes smishing, smishing es un troyano, que hacer si soy victima de smishing, etc.

El smishing es la suplantación de identidad difundida a través de mensajes de texto (SMS) en lugar de por correo electrónico; de ahí el término: smishing = SMS + phishing. Algunas clasificaciones incluyen el phishing a través de aplicaciones de mensajería como parte del smishing, pero lo consideramos una categoría separada.

El objetivo, como en cualquier otro intento de phishing, es engañar a los destinatarios para que divulguen información sensible, normalmente su contraseña de acceso a su banco o la información de su tarjeta bancaria. Para ello, los estafadores envían mensajes de texto, generalmente sobre un problema inventado -un problema de entrega, una factura impagada o una cuenta bloqueada, por ejemplo- que el destinatario tiene que resolver haciendo clic en un enlace. Después de eso, las cosas pueden ir de dos maneras:

1. Infecta a la víctima con un malware disfrazado de aplicación legítima pero cuyo objetivo real es solicitar información importante;
2. Lleva a la víctima a una página web disfrazada de sitio legítimo pero cuyo propósito real es solicitar información importante.

La elección del escenario depende realmente de la zona de confort del estafador: malware o sitios web falsos. El resultado para la víctima es el mismo en ambos casos. Estafas similares han provocado el robo de miles de dólares, euros y libras. ¿Por qué el phishing por SMS se ha hecho tan popular últimamente y qué lo hace más peligroso que el típico phishing?

La mayoría de los seres humanos se ha acostumbrado más o menos al phishing por correo electrónico, y la gente sabe en general cómo reconocerlo y evitarlo. Los mensajes de texto son un canal más inesperado para las estafas, por lo que es menos probable que la gente piense que un mensaje corto represente una estafa.

Además, aunque la gente confía más en los mensajes de texto, éstos suelen ser menos seguros que el correo electrónico. Hoy en día, todos los servicios de correo electrónico medianamente decentes tienen un filtro de spam inteligente incorporado. Los filtros no son perfectos, pero los estafadores tienen que seguir inventando nuevos movimientos para superarlos. Por desgracia, cuando se trata de flexibilidad y precisión, los filtros de spam de los operadores de telefonía móvil dejan bastante que desear.

Además, la gente suele leer sus mensajes de texto sobre la marcha o entre otras tareas. Esto, combinado con una menor expectativa de peligro en los mensajes de texto, significa que tienden a mirar con menos atención los mensajes de texto, haciendo que el ataque de smishing ataque tenga más probabilidades de éxito. En otras palabras, cuando la gente recibe un mensaje, es probable que no tenga en cuenta su lista mental de señales de advertencia y simplemente haga clic.

Por último, los mensajes de texto muestran menos señales que ayuden a reconocer una estafa. Cuando recibes un correo electrónico, puedes fijarte en la dirección del remitente, evaluar el diseño y la presentación, y considerar la verosimilitud del mensaje en general; en resumen, puedes buscar las banderas rojas habituales.

En el caso de los mensajes de texto, incluso los legítimos se parecen mucho entre sí, ya que los mensajes breves suelen emplear un lenguaje no estándar y no tienen un diseño que pueda considerarse; y los estafadores con conocimientos técnicos pueden falsificar la información del remitente de forma realista, sustituyendo el número real del remitente por uno falso.

Ahora que sabemos en qué consiste el Smishing, vamos a dar unas soluciones para defendernos al estilo phishing tradicional:

1. No haga clic en enlaces ni comparta su información en un hilo de texto. Como regla general, cuanta menos actividad, mejor.
2. Utiliza la autenticación de dos factores siempre que tengas la opción. De este modo, ni siquiera una contraseña robada ayudará a los ciberdelincuentes a crackear su cuenta.
3. Ponte en contacto con tu banco inmediatamente si sospechas que los delincuentes han conseguido acceder a tu cuenta. El banco puede congelar tu tarjeta, cambiar tus contraseñas y aconsejarte sobre otros pasos a seguir.

Concluimos con unas cuantas preguntas frecuentes para aclarar cualquier duda que pueda quedar.

¿Debo responder a los mensajes fraudulentos para que me eliminen de su lista de correo?

No lo haga. Responder simplemente confirma que tu número de teléfono está activo. Darse de baja puede ser difícil incluso con empresas legítimas; no esperes un trato justo de personas que infringen la ley.

¿Y si no es smishing sino un mensaje importante de mi banco?

Si tienes dudas, ponte en contacto directamente con tu banco. Es poco probable que hayan enviado ese mensaje, pero hablando de contactar con el banco, asegúrate de obtener ese número de teléfono de una fuente oficial, como su página web con su candadito de seguridad SSL. Hagas lo que hagas, no utilices ningún dato de contacto del texto sospechoso.

Vídeo: Consejos de un cazador de hackers para que tu smartphone esté protegido.