¿Qué es el smishing?

4min

El smishing es una forma de phishing en la que el atacante emplea un mensaje de texto o SMS diseñado específicamente para engañar a los destinatarios. Así puede enviarles software malicioso o incitarlos a que hagan clic en un enlace que le permite acceder a información privada.

Con la generalización de los smartphones (en la actualidad se estima en más de 6.500 millones de aparatos en todo el mundo), la amenaza real a través de mensajes de texto, o SMS, es cada vez mayor y más sofisticada. La mayoría de los smartphones tienen capacidad para recibir mensajes de texto desde cualquier número del mundo y, en comparación con la conciencia actual en cuanto a los peligros de seguir enlaces en los mensajes de correo electrónico desconocidos, el conocimiento de este peligro a través de los SMS no está tan presente. 

Podemos decir que los SMS son más confiables para la mayoría de los usuarios por diversos motivos. Hoy, los atacantes se aprovechan de esa debilidad (nuestra confianza en el SMS) para diseñar ataques de smishing muy lucrativos suplantando credenciales, información bancaria y datos privados.

Índice

¿Cómo son los ataques de smishing?

Siendo una forma de phishing, la información que un atacante puede querer conseguir puede ser cualquier cosa, como, por ejemplo:

  • Credenciales de cuentas online, por ejemplo, del correo electrónico, servicios contratados, etcétera.
  • Información privada que podría utilizarse para el robo de identidad. Es decir, información como nombre y domicilio, tarjeta de crédito o los números de una cuenta bancaria, el número de la seguridad social y otros datos privados. Esto sirve a los atacantes para muchas cosas, como comprar cosas; obtener nuevas tarjetas de crédito; abrir cuentas de servicios como telefonía o suministros; incluso hacerse pasar por uno mismo si son arrestados.
  • Datos financieros que pueden utilizarse para vender en mercados de la Dark Web, o para cometer fraudes online.

Los atacantes utilizan diversas estrategias de engaño sobre los usuarios para lograr que estos envíen información privada. Para ello pueden optar, por ejemplo, información básica sobre el objetivo (como el nombre y la dirección de una empresa en la que confía esta persona) de herramientas públicas online para engañarlo y hacerle creer que ese mensaje procede de una fuente de confianza.

También pueden utilizar tu nombre y ubicación para dirigirse directamente a ti. Este tipo de detalles aumentan el nivel de confianza en el mensaje recibido. El quid de la cuestión del ataque está en el enlace que incluyen, que va a apuntar a un servidor controlado por el atacante. 

Dicho enlace puede llevar a un sitio de phishing de credenciales o a la descarga de un malware diseñado para comprometer el propio smartphone. Los usos que puede tener ese software malicioso pueden ser muy variados, desde espiar los datos del smartphone hasta enviar datos confidenciales de forma inadvertida a un servidor controlado por el atacante.

La ingeniería social es clave para que este tipo de ataques sean efectivos. El delincuente puede llamar al usuario, por ejemplo, para solicitar una cierta información privada antes de enviar el SMS. La información privada puede utilizarse entonces en el ataque por mensaje de texto del smisher. En la actualidad, la mayoría de las compañías telefónicas tienen detección de spam y son capaces de avisarnos cuando nos llega un mensaje (o llamada) sospechoso, siempre y cuando esté en su lista negra.

Cómo detectar y evitar el smishing

Si recibes un mensaje sospechoso, por ejemplo, que ofrece dinero rápido, o que comunica que has ganado un premio, cupones de descuento o similar, sospecha. Además, si recibes un SMS de una institución financiera o similar en el que se te solicitan credenciales, o datos para recuperar una contraseña, no hagas caso. Ninguna institución o empresa lícita va a enviar este tipo de mensajes, ni a solicitar ni una sola información de carácter privado.

Otra manera de detectar el smishing es que los mensajes lleguen desde números desconocidos o extranjeros. Hay que evitar responder mensajes de números de teléfono desconocidos

La información bancaria almacenada en el smartphone es, también, un objetivo para los atacantes. Y uno muy jugoso, la verdad. Es importante intentar evitar almacenar esta información en los dispositivos móviles, utilizando las aplicaciones de banca online verificadas que ofrece cada institución bancaria. La realidad es que, si un atacante instala malware en el smartphone, la información bancaria podría verse fácilmente comprometida.

Fernán García de Zúñiga

Productos relacionados: