¿Qué es el smishing? Guía sobre los ataques de phishing por SMS
Aprenda a comprender, detectar y evitar este tipo de ataques.
El smishing o ataque de phishing por SMS se está volviendo cada vez más común. Cuanto mejor conozca este tipo de ataques, de qué es capaz y cuáles son los riesgos potenciales, más fácil le resultará identificar y prevenir sus daños.
En esta sencilla guía, le mostraremos qué es el smishing, cómo detectarlo y cómo evitar convertirse en una víctima de este tipo de ataque.
¿Qué significa smishing?
Conocido también como ataque de phishing por SMS, se produce cuando un atacante envía un mensaje falso a un número de teléfono en el que se ofrece un producto de manera gratuita o se envía una alerta urgente relacionada con información bancaria u otro tipo de información confidencial.
El smishing es particularmente peligroso para aquellas personas que no tienen un conocimiento básico en seguridad cibernética, ya que los SMS están redactados de forma que resultan creíbles. Algunos mensajes de smishing pueden incluir cierta información personal para vender la narrativa.
¿Cómo funciona este ataque?
Los ataques de smishing se consideran ataques de ingeniería social porque se aprovechan de las personas a través de la manipulación psicológica. En la mayoría de los casos, el mensaje de smishing está diseñado para crear una sensación de urgencia. Los mensajes pueden incluir frases o palabras desencadenantes como actúa ahora, tu cuenta está en peligro si no haces clic aquí o se emprenderán acciones legales contra ti si no haces un seguimiento. Estos mensajes pueden inspirar miedo y, en última instancia, acción.
Los cibercriminales consiguen números de teléfono de violaciones de datos en la web. Cuando, por ejemplo, se registra para obtener una cuenta en el sitio web de un comercio, a menudo facilita su correo electrónico, su número de teléfono y otros datos personales. Cuando los cibercriminales se cuelan en los registros web de los comercios, estos suelen distribuirse o venderse en la dark web con fines lucrativos. Así, su información personal se distribuye en el extranjero.
Puede que también haya introducido su número de teléfono a través de un correo de phishing o en algún otro sitio ilegítimo y que la empresa que hay detrás del sitio sea realmente un cibercriminal.
Los cibercriminales suelen extorsionar a las víctimas de ataques de smishing para obtener más información personal o incluso dinero, en algunos casos. Las estafas relacionadas con Hacienda son habituales y las víctimas suelen transferir mucho dinero a los cibercriminales porque creen que Hacienda les perseguirá si no lo hacen.
Smishing frente a vishing
Se trata de ataques similares porque ambos requieren el uso de un teléfono para funcionar, pero el vishing utiliza mensajes de voz en lugar de mensajes SMS. En algunas ocasiones, el vishing puede ser más efectivo porque en realidad se habla con una persona situada al otro lado del teléfono y el tono de la conversación puede potencialmente afectar de manera drástica en el resultado. Si cree que le van a perseguir si no responde, es más probable que dé la información que busca el atacante.
Cómo detectar estos ataques
Son ataques comunes y existen algunas señales a las que puede prestar atención.
- ¡Enhorabuena! ¡Ha ganado! Es un mensaje típico en este tipo de ataques con el que se pretende que la víctima crea que ha ganado un premio. Normalmente, el enlace o número de teléfono adjunto le pedirá primero información personal. Si no ha participado en ningún concurso, lo más probable es que no haya ganado nada.
- Mensaje enviado a una hora poco habitual. La mayoría de empresas funcionan entre las 8 de la mañana y las 6 de la tarde, por lo que si recibe mensajes de una organización legítima tarde durante la noche o incluso muy temprano por la mañana, téngalo en cuenta.
- Mensaje urgente del banco. Lo más probable es que el banco llame personalmente si se ha producido algún error o si se trata de algo urgente. En este caso, el banco también suele verificar su información por teléfono. Si recibe un SMS urgente de su banco, llame primero para verificarlo.
- Errores ortográficos y gramaticales. Las organizaciones legítimas contratan a editores y redactores profesionales. Observe si el SMS contiene errores ortográficos y gramaticales para comprobar si se trata de una estafa.
- Use una VPN. Las VPN son servicios legítimos que permiten enmascarar la dirección IP para evitar que alguien pueda ver su ubicación real y su actividad en la web, incluso desde su teléfono. Esto le puede ayudar a identificar este tipo de mensajes, sobre todo si recibe uno que haga referencia a una ubicación incorrecta que esté siendo falsificada por su VPN. No obstante, algunos cibercriminales han aprovechado la demanda de VPN y están enviando ofertas gratuitas o con descuento de servicios de VPN por SMS.
Cómo evitar convertirse en una víctima de estos ataques
- Use un gestor de contraseñas como Keeper para almacenar y gestionar contraseñas para todas sus cuentas de forma segura. Active siempre la protección 2FA o MFA para evitar los accesos no autorizados.
- Nunca llame a ningún teléfono que pueda estar vinculado con un mensaje falsificado. Si es un mensaje de su banco, llame al número de su banco que tenga guardado para verificarlo.
- Llame a la empresa directamente desde su sitio web oficial si tiene alguna pregunta. Observe cualquier señal de fraude en el sitio web.
- No haga clic en los enlaces de texto no solicitados. Si no espera ningún mensaje, nunca acceda a enlaces extraños.
- Denuncie este tipo de ataques a efraudprevention.net, a Hacienda o a su banco.