Smishing

Seguridad digital: comprendiendo el ‘smishing’ con Iberdrola

Internet Digital Ciberseguridad

Los intentos de estafa a través de los teléfonos móviles son cada vez más frecuentes y los métodos para llevarlas a cabo, cada vez más complejos. El smishing es un tipo de engaño a través del envío de mensajes de texto. Descubre qué conlleva, qué tipos existen y cómo evitar ser víctima de este fraude.

Smishing

Los ciberdelincuentes por smishing recurren a historias falsas para hacerse con la confianza de las víctimas y conseguir sus datos privados.

El smishing se puede colar de diferentes formas en nuestro teléfono móvil. Un mensaje de texto del banco advirtiéndonos de que van a bloquear nuestra cuenta. Otro de una compañía de mensajería solicitándonos un pago para poder recibir un paquete. Un WhatsApp de un supuesto familiar que ha perdido su equipaje en un aeropuerto y necesita nuestro apoyo económico para poder viajar. 

Estas ciberestafas son cada vez más habituales. Aunque las motivaciones son las mismas, su forma y su complejidad varían para intentar atrapar la atención y la confianza de los usuarios objetivo. Pero, ¿qué implica el smishing y cómo lo ejecutan los ciberdelincuentes? ¿Podemos evitar ser víctimas?


¿Qué es el smishing?

El término smishing proviene de la combinación de las palabras “SMS” y “phishing” (suplantación) y consiste en una ingeniería social para cometer el fraude a través de mensajes de texto. Se trata de un tipo de phishing y se asemeja a otras variedades como el vishing, en la que el engaño se basa en una llamada telefónica. Se trata de una de las estrategias favoritas de los delincuentes en la red para intentar acceder a nuestra información confidencial o robar nuestro dinero.

Los criminales de estos ciberataques suplantan la identidad de organismos oficiales, empresas y compañías. A veces, incluso se hacen pasar por familiares y amigos para cometer el smishing a partir de una cierta confianza del usuario. Estas estafas se pueden realizar por SMS aunque cada vez es más frecuente el empleo de WhatsApp.

Los atacantes solicitan a la víctima que acceda a algún enlace de una web falsa o que proporcione datos confidenciales como usuarios, contraseñas en línea, número de teléfono, correo electrónico, número de la seguridad social o datos de la tarjeta de crédito, por ejemplo. A veces instan al usuario a realizar una transferencia bancaria con un falso argumento o le incitan a descargar un archivo adjunto que infecta su dispositivo con un malware

Ejemplos de smishing

Como ocurre con otros casos de ingeniería social, los ataques de smishing se basan en excusas o pretextos. Los ciberdelincuentes recurren a historias falsas para jugar con la confianza y las emociones de las víctimas y engañarlas para hacerse con sus datos privados. Estos son algunos tipos de smishing más habituales: 

 Entidad financiera.

Los estafadores se hacen pasar por un portavoz, representante o trabajador del banco de la víctima y le alertan de que hay algún problema con su cuenta. Con el fin de solventar el problema, los atacantes solicitan a la víctima que siga un enlace o que acceda a una aplicación o sitio web falso donde debe proporcionar información financiera confidencial: claves de acceso, números de la cuenta bancaria o de la tarjeta de crédito. Con estos datos pueden hacer compras o transferir dinero a otras cuentas.

 Representante de la Administración.

Los delincuentes se hacen pasar por policías, empleados de instituciones de recaudación de impuestos u otros funcionarios gubernamentales. Los mensajes de este tipo de smishing informan a la víctima de que debe pagar una multa o debe actuar para reclamar una prestación estatal. Cuando los usuarios siguen los enlaces a los que les redirigen, los estafadores les roban el número de la seguridad social y otra información que pueden utilizar para suplantar su identidad.

 Soporte al cliente.

Los atacantes se hacen pasar por agentes de soporte o atención al cliente de marcas reconocidas o incluso proveedores de Internet. Informan a la víctima de que hay un problema con su cuenta o que no ha reclamado alguna compensación o reembolso. De nuevo, estos mensajes remiten a la víctima a un sitio web falso que les roba la información de su tarjeta de crédito o cuenta bancaria.

  Paquetería.

Este tipo de smishing es uno de los más habituales. Los mensajes informan sobre un supuesto problema al entregar un paquete. Se le pide a la víctima que abone una cantidad de dinero como tarifa por la entrega o que se registre en su cuenta para solucionar el problema. Los estafadores se hacen con el dinero o la información privada y desaparecen. Los ataques con la excusa de la paquetería son comunes durante periodos vacacionales o Navidad, cuando muchas personas esperan paquetes.

  Contexto laboral.

Los hackers se hacen pasar por el jefe de la víctima o un compañero de la empresa y afirman que necesitan ayuda con una tarea urgente. En este caso, utilizan mensajes SMS o WhatsApp aunque también ocurre a través de otras vías como el correo electrónico. La víctima puede acabar enviando dinero o información privada.

 Número equivocado.

El ciberdelincuente simula enviar un mensaje de texto a un número equivocado. Cuando la víctima corrige el error, el estafador entabla una conversación para ganarse su confianza. En ocasiones esta situación se mantiene a largo plazo, durante meses o incluso años. El atacante puede incluso fingir que tiene sentimientos románticos hacia la víctima. El objetivo es, una vez más, robarle dinero a través de préstamos o oportunidades de inversión, entre otros.

 Redes sociales.

El delincuente simula ser un amigo de la víctima y le dice que no pueden acceder a sus cuentas de redes sociales como Instagram o Facebook. Para solucionarlo, finge necesitar que el usuario reciba un código en su nombre. Cuando la víctima lo abre, permite el acceso del hacker a su propia cuenta.

  Descarga de aplicaciones falsas.

En algunas estafas de smishing se engaña a las víctimas para que se descarguen aplicaciones falsas que en realidad son malware o ransomware. Estas aplicaciones pueden parecer originales, pero en realidad permiten robar los datos confidenciales del usuario.

¿Qué hago si he sido víctima de smishing?

Todos los usuarios corremos el riesgo de ser víctimas de smishing. Si crees que has podido caer en este tipo de estafa, es importante que actúes lo antes posible a través de una serie de medidas:

  • Icono

    Identifica qué tipo de información has puesto en peligro en esta estafa.

  • Icono

    Escanea tu móvil con un antivirus para buscar cualquier indicio de hackeo.

  • Icono

    Elimina de tu dispositivo cualquier contenido que hayas descargado de enlaces o archivos adjuntos.

  • Icono

    Cambia las contraseñas de todas las cuentas que puedan haberse visto afectadas.

  • Icono

    Activa la verificación en dos pasos para impedir que accedan a las cuentas y suplanten tu identidad.

  • Icono

    Bloquea tu tarjeta bancaria si crees que ha podido ser amenazada y cancela cualquier pago no autorizado que se haya ejecutado.

  • Icono

    Contacta con la empresa o institución suplantada o con tu entidad bancaria.

  • Icono

    Recopila todas las pruebas posibles y denuncia lo sucedido ante las Fuerzas y Cuerpos de Seguridad del Estado.

Ilustración

Fuente: The Cyber Helpine

 VER INFOGRAFÍA: ¿Qué hago si he sido víctima de smishing? [PDF]

Consejos para evitar ser víctima del smishing

Cualquier persona u organización, pública o privada, es susceptible de recibir este tipo de ciberataques. Lo más importante es no responder o ignorar cualquier mensaje en el que se nos pida información personal o financiera. Recopilamos algunas medidas para evitar ser estafados por mensajes de texto:

  • La mejor recomendación es no facilitar jamás información personal o bancaria por teléfono.
  • Debemos desconfiar de remitentes desconocidos o incluso bloquear los números de teléfono que pensemos que pueden ser una amenaza. 
  • Lo ideal sería verificar la identidad de la persona que envía el mensaje. En caso de pertenecer a una empresa con la que tenemos contratados ciertos servicios, se puede pedir información y contactar posteriormente con la firma para verificarla.
  • No debemos hacer clic en los enlaces adjuntos ni acceder a ninguna aplicación o página desconocida para hacer pagos.
  • Es importante mantener actualizados el sistema operativo y las aplicaciones para asegurarnos de que disponemos de unos mínimos estándares de seguridad.
  • Debemos guardar las claves y la información bancaria a través del cifrado.
  • Por último, conviene recordar que entidades como los bancos o grandes empresas nunca llaman para solicitar datos confidenciales como el número de cuenta o las claves de acceso a la banca online.