Smishing: el fraude de los SMS
Smishing es una palabra compuesta que hace referencia a SMS y phishing, debido a su similitud con este ataque tan popular. Mientras que este último lleva a cabo ataques de ingeniería social utilizando el correo electrónico como medio, en el smishing se utilizan mensajes de texto en forma de SMS o a través de las distintas aplicaciones de mensajería instantánea.
El modus operandi sigue siendo muy similar a otros ataques donde el ciberdelincuente suplanta la identidad de alguna persona o entidad de confianza para su víctima, con el objetivo de engañarla y conseguir que comparta información personal, realice un pago, haga clic en un enlace malicioso o se descargue un archivo adjunto.
El mayor riesgo de este tipo de ciberataque es el desconocimiento de los usuarios, ya que no esperan ser engañados a través de un mensaje de texto. Mientras que la mayoría de nosotros estamos concienciados sobre los riesgos de navegar por Internet, el spam y los correos electrónicos maliciosos, no percibimos el mismo nivel de amenaza cuando se trata de un mensaje de texto que nos notifica una actividad sospechosa. Nos propone una promoción única en la vida o nos informa sobre algún tema importante, todo ello simplemente accediendo a un enlace.
¿Cómo funciona un Smishing?
Generalmente, su funcionamiento es idéntico al phishing, donde el atacante se hace pasar por otra persona o entidad para conseguir algo de este último. Veamos varios ejemplos:
En este ejemplo, los ciberdelincuentes han mandado un SMS a sus víctimas informándoles de una supuesta ayuda económica del Estado para hacer frente al COVID-19, la cual es mentira. Sin embargo, si nos lo creemos y accedemos al enlace, llegaremos a un sitio web malicioso que nos solicitará todo tipo de datos personales, como la tarjeta de crédito, nombre y apellidos, correo electrónico, DNI, etc., para usarlos de una manera fraudulenta.
Un detalle importante es que en ningún momento nos encontramos en una web segura (https), por lo que nuestros intercambios de información tampoco serán seguros. Esto podemos comprobarlo antes de hacer clic en el enlace, pasando el cursor por encima o, en el caso de los dispositivos móviles, dejando pulsado el enlace unos segundos.
Otro ejemplo que mezcla este tipo de ataque con el vishing es el que os mostramos a continuación:
En la imagen se puede ver cómo los ciberdelincuentes anuncian al usuario que ha sido el ganador de un premio. Para dar mayor veracidad al mensaje incluyen el número de teléfono de la víctima y un teléfono de contacto para solicitar dicho premio. Sin embargo, cuando la víctima se pone en contacto se encontrará con una locución automatizada y un precio de llamada de 1,21 € el minuto si se produce desde un teléfono fijo y 1,57 € desde un móvil.
¿Cómo podemos protegernos?
Por suerte para nosotros, las medidas de protección son muy fáciles de implementar y solo requieren que estemos concienciados y utilicemos un poco de sentido común. Además, las prisas nunca nos ayudarán cuando se trata de luchar contra los ciberataques basados en la ingeniería social, por lo que pararnos unos minutos a analizar el mensaje que acabamos de recibir siempre es buena idea. Hay algunas cosas que nos ayudarán a identificar y protegernos del smishing:
Desconfiar de remitentes desconocidos. Si recibimos un mensaje de una persona o entidad desconocida informándonos de un premio o solicitando información, lo más prudente será ignorar y eliminar el mensaje. De igual modo, desconfiaremos si se trata de números de teléfono sospechosos.
Desconfiar de promociones, cupones o concursos. Suelen utilizarse como anzuelos para obtener la atención de los usuarios y conseguir que accedan a enlaces fraudulentos o contactar con un número de teléfono de tarificación especial, por ejemplo.
No facilitar nunca información personal. Una entidad de confianza jamás nos solicitará datos personales sin previo aviso, y mucho menos a través de un mensaje.
No hacer clic en los enlaces bajo ningún concepto, ya que pueden llevarnos a webs fraudulentas. Es mejor contrastar la información primero y acceder a las páginas oficiales tecleando la URL en el navegador.
No bajar archivos adjuntos, pueden contener malware con el que infectar nuestro dispositivo.
Proteger nuestras cuentas. Utilizar contraseñas robustas y sistemas de doble verificación permitirá añadir una capa extra de protección.
¿Qué podemos hacer si somos víctimas de un smishing?
Si sospechamos que hemos sido víctimas de un fraude de estas características, deberemos mantener la calma y recabar todas las evidencias posibles, como capturas de pantalla, datos de contacto e información personal que hayamos podido compartir con los ciberdelincuentes. Estas evidencias deberemos presentarlas ante las Fuerzas y Cuerpos de Seguridad del Estado.
También puedes reportarlo directamente a través de la dirección que encontrarás en https://www.incibe.es/ciudadania/ayuda/reporte-de-fraude al equipo de gestión de incidencias de INCIBE-CERT.
Además, si creemos que se ha vulnerado la seguridad de nuestras cuentas, será fundamental que procedamos a cambiar las credenciales de acceso, por ejemplo, de nuestro banco, correo electrónico, redes sociales, etc.
Finalmente, desde la OSI, canal especializado en ciudadanos de INCIBE, queremos recordar que para cualquier duda o consulta sobre ciberseguridad, puedes llamar al 017, la Línea de Ayuda en Ciberseguridad de INCIBE, totalmente gratuita y confidencial. En nuestra web podrás encontrar una gran variedad de recursos con los que prepararte para hacer frente a numerosas amenazas relacionadas con nuestra seguridad y privacidad, así como herramientas con las que prevenir este y muchos otros ciberataques.
¿Has recibido algún SMS sospechoso? ¿Sabrías identificarlo mejor con este artículo? Comparte con el resto de los usuarios tu opinión y experiencias y mantente al día con las publicaciones de la OSI en materia de ciberseguridad para poder disfrutar de las ventajas de la tecnología.