¿Qué es el smishing y cómo puede afectarle? El smishing es una combinación de SMS y phishing. Una forma de phishing por mensaje de texto, el smishing puede ser utilizado por los ciberdelincuentes para obtener sus datos financieros o acceder a su ordenador de forma remota. El smishing funciona enviando un SMS o un mensaje de texto que parece legítimo, en el que se le pide que proporcione información personal, como el número de su tarjeta de crédito.
"Hoy en día, los ciberdelincuentes realizan con frecuencia ataques de smishing porque se confía más en los mensajes de texto que en los correos electrónicos. Esta fe equivocada puede haber contribuido al aumento de más del 300% de los fraudes de smishing en los dos últimos años".
¿Le resulta familiar el escenario en el que alguien afirma que le ha tocado la lotería? ¿O un regalo? ¿Se ha planteado alguna vez si esa llamada es correcta o cumple la normativa? Si es así, probablemente haya recibido un smishing (phishing por SMS). Por eso hay que saber qué es el smishing y cómo evitar caer en esta trampa.
Ataques recientes de smishing
Las estafas de smishing han tenido como objetivo varios bancos minoristas irlandeses y sus clientes, especialmente desde el verano de 2020 y el inicio de COVID-19.
Las comunicaciones de smishing suelen asustarle diciendo que debe responder inmediatamente para evitar sufrir consecuencias catastróficas.
Su banco puede informarle a través de un mensaje de texto, por ejemplo, de que su tarjeta bancaria, su cuenta o su acceso en línea han sido suspendidos o bloqueados debido a una "actividad extraña" o a actividades fraudulentas.
Un mensaje SMS le notificará que debe hacer clic en un enlace para desbloquear o descongelar su cuenta.
Métodos comunes para el smishing
Más de siete de cada diez encuestados en un estudio de profesionales de TI realizado en 2020 y 2021 declararon que se habían encontrado con ataques de smishing durante el año anterior examinado. Esta cifra es superior al 61% de los encuestados que afirmaron haber sufrido smishing en 2020.
Los piratas informáticos utilizan la ingeniería social para tramar un smishing:
- Malware - Puede ser engañado para descargar un malware o abrir un enlace a un sitio web malicioso que contenga un virus o un programa espía.
- Compartir sus cre denciales bancarias - Los atacantes pueden instarle a enviar sus credenciales bancarias en un sitio web falso y vaciar completamente sus ahorros accediendo a su cuenta.
- Compartir su información de inicio de sesión corporativa: Los atacantes pueden pedirte que inicies sesión con tus datos de acceso corporativos para acceder a los sistemas internos de tu empresa y a las bases de datos sensibles.
¿Cómo funciona el Smishing?
Las operaciones de smishing se llevan a cabo de manera bastante sencilla. Echemos un vistazo a ello:
- Para hacerle creer que su comunicación es auténtica, un hacker le envía un mensaje de texto utilizando técnicas de ingeniería social.
- O bien hace clic en el enlace malicioso adjunto a este SMS o les proporciona acceso a datos personales como nombres de usuario, contraseñas, correos electrónicos, etc.
- Una vez que su información es pirateada, el hacker la utiliza para cometer fraudes o vender la información robada en la web oscura.
¿Por qué es cada vez más frecuente el Smishing?
El smishing está aumentando por diversas causas. El hecho de que sea un engaño sencillo de llevar a cabo es una de las principales. El estafador sólo necesita unos cuantos números de teléfono y un método astuto para conseguir que los individuos devuelvan los mensajes de texto para reunir la información necesaria.
La gente también adora los mensajes de texto. En tres minutos, el 95% de los mensajes de texto se abren y responden. Se puede ver cómo las estafas por mensajes de texto pueden ser más atractivas para un ladrón, dado que sólo el 20% de los correos electrónicos se abren, y mucho menos se responden.
Tipos de ataques de smishing
Hay varios tipos de ataques de smishing. Entre ellos se encuentran:
Smishing de Covid-19: El smishing de Covid-19 es una estafa de phishing que utiliza la aplicación de redes sociales de WhatsApp para enviar mensajes a las víctimas. Los mensajes afirman que el usuario ha ganado un regalo y le animan a hacer clic en un enlace. Al hacer clic en el enlace se descarga el virus en el ordenador.
Gift Smishing: El Gift smishing es otro tipo de estafa de phishing que utiliza aplicaciones de redes sociales como Facebook, Instagram o WhatsApp para enviar mensajes a las víctimas. El mensaje afirma que el destinatario ha ganado un regalo y le anima a hacer clic en un enlace. Al hacer clic en el enlace, se descargará un malware en su ordenador.
Smishing de servicios falsos: El ataque de smishing de servicios falsos consiste en que un atacante envía correos electrónicos en los que afirma que puede solucionar problemas con ordenadores o dispositivos, como virus u otros problemas con el software o el hardware. Estos correos electrónicos suelen incluir archivos adjuntos que contienen software malicioso que puede instalar troyanos u otras formas de malware en su dispositivo sin su conocimiento.
Smishing de factura o confirmación de pedido: Una empresa envía una simple factura o confirmación de pedido a través de un mensaje de texto. El usuario introduce sus datos de pago en un sitio web falso al hacer clic en el enlace de la factura que aparece en el mensaje. El objetivo es conseguir que descarguen malware en su dispositivo.
Smishing de servicios financieros: Se envían mensajes a los usuarios desde su banco o compañías de tarjetas de crédito alertando de una actividad sospechosa en sus cuentas. Creen que podrán comprobar sus cuentas, pero en lugar de ello, descargan malware en sus dispositivos.
¿Qué es la prevención del smishing?
¿Cómo detener los ataques de smishing?
Saber lo que hay que evitar le ayudará a no convertirse en una víctima. Estos son algunos consejos que pueden ayudarle a protegerse de las estafas de smishing:
Nunca responda
No responder nunca a los SMS de smishing es la primera regla a seguir. Podrías confirmar un número de trabajo para el hacker, además de provocar potencialmente la instalación del malware en tu dispositivo. Luego, pueden emplearlo en más esquemas de fraude o incorporarlo a una lista para revenderlo con fines de lucro en la web oscura.
Contacte directamente con los bancos o los minoristas
Los ciberdelincuentes intentan a menudo hacerse pasar por empresas y organizaciones bancarias de buena reputación en los SMS de smishing. La mejor acción es ponerse en contacto con el banco o la tienda inmediatamente si recibe un texto y se pregunta sobre su veracidad. Muy a menudo, los sitios web de los bancos disponen de un servicio de denuncia de smishing, por lo que puede enviar al instante un informe sobre un intento de smishing.
Usar 2FA
La autenticación de dos factores puede proporcionar una capa adicional de seguridad si eres víctima de una estafa de smishing y revelas una de tus credenciales. Cuando intentas iniciar sesión, la tecnología biométrica emplea tecnologías de reconocimiento facial y de huellas dactilares para confirmar tu identidad.
Conclusión
Así que si estás confundido sobre lo que es el smishing, es un poco como el phishing, excepto que recibes SMS en lugar de correos electrónicos, pero, al final, es todo lo mismo ya que es tu información y tus activos los que están en juego.
Para prevenir el phishing en el correo electrónico, le recomendamos que instale un analizador DMARC en su organización para proteger su dominio contra el uso no autorizado. Los expertos en DMARC también le proporcionarán información sobre el estado de la postura de seguridad de su dominio de correo electrónico y le ayudarán a formular una estrategia para el futuro.
- Kimsuky explota las políticas DMARC "None" en recientes ataques de phishing - 6 de mayo de 2024
- Aumentan las estafas fiscales y los ataques de suplantación de identidad de IRS por correo electrónico durante la temporada de impuestos - 2 de mayo de 2024
- Seguridad del correo electrónico 101 para combatir las criptoestafas - 30 de abril de 2024