Los ciberdelincuentes están constantemente tratando de hacerse con tu información personal. Una vez que la consiguen, pueden robar tu identidad, gastar tu dinero y menoscabar tu reputación. Si bien aún se emplean técnicas como rebuscar en contenedores de basura para recopilar información confidencial, los ciberdelincuentes adoptan tácticas más avanzadas. El phishing, la práctica consistente en enviar correos electrónicos fraudulentos haciéndose pasar por una empresa fiable para engañar a personas de modo que revelen información personal, es cada vez más frecuente.
Un tipo de ataque de phishing que se usa actualmente es el smishing o phishing por SMS. Un ataque de smishing toma las tácticas de un ataque de phishing por correo y las aplica en un mensaje de texto. Al utilizar ingeniería social, los ciberdelincuentes pueden convencer a las personas para que revelen información confidencial mediante ataques de smishing.
Existen varios indicadores de que un mensaje de texto recibido podría ser un ataque de smishing, así como hay formas adecuadas de prevenir y responder a estos ataques. Con los conocimientos adecuados, puedes protegerte del smishing y otros ataques de ingeniería social.
¿Qué es el smishing?
Los tipos de ataques de phishing se nombran y definen según el vehículo que emplea el ataque para obtener la información. Las estrategias para elaborar un correo electrónico o grabar un vídeo de phishing (una táctica conocida como "vishing"), y redactar un texto de smishing son similares, pero cada uno está diseñado para ser eficaz según su objetivo. Aunque todos utilizan tácticas de ingeniería social, como inducir miedo, los ciberdelincuentes emplean ataques de phishing específicos, como el smishing, para atacar a aquellos que pueden no ser tan susceptibles ante otras tácticas.
Definición de smishing
Smishing es el acto de enviar mensajes de texto fraudulentos, diseñados para engañar a personas para que compartan datos confidenciales, como contraseñas, nombres de usuario y números de tarjetas de crédito. Un ataque de smishing puede implicar que los ciberdelincuentes suplanten a una entidad bancaria o a un servicio de mensajería frente a sus clientes. El objetivo de estos ataques es engañarte para que reveles tu información sin que sepas que ahora esos datos son vulnerables. Los ciberdelincuentes lo logran mediante ingeniería social.
Smishing e ingeniería social
Como ataque de ingeniería social, el smishing a menudo recurre al miedo, al amor y al dinero, ya que pueden provocar respuestas emocionales extremas. Al ofrecer cumplir un deseo o aprovechar tus miedos, un ataque de smishing puede hacer que reveles información confidencial sin pensar en los peligros.
Los ciberdelincuentes pueden utilizar el smishing para realizar muchos ataques a la vez. La lógica de esta táctica es que si se envían cien mensajes de texto ofreciendo un millón de dólares a un afortunado ganador que siga un enlace, una o dos personas podrían hacer clic. Al utilizar ingeniería social, los ataques de smishing funcionan para robar tu información sin que te des cuenta hasta que es demasiado tarde.
Más información
¿Quieres saber si eres capaz de detectar un correo de phishing? Pon a prueba tus conocimientos echando un vistazo a esta publicación:
Cómo funcionan los ataques de smishing
La mayoría de las personas conocen los peligros de un típico ataque de phishing por correo electrónico. Un correo que te pide que hagas clic en un enlace tiende a generar desconfianza. Ahora bien, un ataque de phishing sofisticado intentará parecer legítimo para evitar tales sospechas. El smishing sigue este mismo camino, salvo que las personas tienden a ser menos críticas con los mensajes de texto y otras aplicaciones de mensajería.
Cómo comienzan y se propagan los ataques de smishing
Los ataques de smishing comienzan cuando los ciberdelincuentes obtienen acceso a tu número de teléfono, lo que es sorprendentemente fácil, habida cuenta de que la mayoría de los teléfonos modernos tienen mensajes de texto incorporados. Esto puede hacerse a través de un ataque de smishing de base amplia, enviando un mensaje genérico a la mayor cantidad de personas posible. Si un ciberdelincuente tiene un objetivo concreto, utilizará un ataque de smishing equivalente a uno de phishing selectivo o whaling. Estos requieren conocer al destinatario del mensaje de texto o su demografía para que sean efectivos.
Los ataques de smishing funcionan ganándose primero tu confianza. Suplantar la identidad de una organización o empresa legítima reduce el escepticismo de la víctima. Dado que los mensajes de smishing tienden a ser de naturaleza más personal, el umbral de sospecha ya es menor en comparación con el correo electrónico, donde puedes recibir mensajes de spam a diario.
Al recurrir a las emociones o usar un contexto común, como la entrega de un paquete, los ciberdelincuentes utilizan la ingeniería social para lograr que sus objetivos bajen la guardia. Esta falsa confianza en las aplicaciones de mensajería es la forma en que los ataques de smishing se propagan sin que nadie los detecte. Como las personas suelen llevar sus teléfonos consigo durante el día, los ciberdelincuentes pueden atacar a sus presas en momentos en que pueden tener prisa, lo que los deja aún más expuestos.
¿Por qué son efectivos los ataques de smishing?
Una vez que un individuo comete un descuido y escribe una contraseña o hace clic en un enlace malicioso, el ataque de smishing comienza. Un enlace podría compartir información personal del teléfono inteligente empleado o incluso instalar malware en el dispositivo. Cualquier contraseña divulgada se verá comprometida hasta que el usuario la cambie; mientras tanto, los ciberdelincuentes comenzarán a apoderarse de cuentas o tratarán de robar más datos con este acceso.
Para que un ataque de smishing funcione, solo es necesario que el objetivo cometa un descuido y haga clic en un enlace o proporcione información voluntariamente. Este, junto con el hecho de que los usuarios tienden a confiar más en los mensajes de texto que en el correo electrónico, es el motivo por la que los ciberdelincuentes adoptan esta estrategia. Hay algunos ejemplos de ataques de smishing exitosos que pueden ayudarte a saber qué debes tener en cuenta.
Tipos de ataques de smishing
Dado que los ataques de smishing utilizan tácticas de ingeniería social, se dividen en cuatro categorías principales de ataque. Una de estas son los mensajes falsos de marcas fiables. Se anima a las organizaciones a enviar mensajes cuando hay nuevos productos disponibles o cuando se producen ventas, por lo que ver un mensaje de una marca puede ser algo común o esperado. Simular ser una marca y ofrecer un enlace de ventas es un tipo de ataque de smishing.
Otro tipo de ataque de smishing muy extendido es el mensaje urgente. Estos podrían parecer provenientes de un banco o de una oficina del Gobierno local. Independientemente de a quién suplante el ciberdelincuente, el mensaje instará a la persona a actuar rápidamente o, de lo contrario, sucederá algo malo o algo bueno no sucederá. De modo similar, también se envían notificaciones falsas relativas a un premio que se ha ganado. Algunas personas harán clic en el enlace pensando que son los afortunados ganadores, solo para revelar su información personal a continuación.
El cuarto tipo de ataque de smishing es el enlace a una encuesta falsa. Se usa menos frecuentemente porque es menos probable que las personas completen encuestas en las que no se han inscrito. Con el incentivo adecuado, como una tarjeta de regalo o un reembolso en efectivo, estos ataques de smishing aún pueden ser efectivos.
Características de los mensajes de smishing
Los cuatro tipos de ataque de smishing comparten características que pueden ayudarte a detectar un ataque en curso. Si actúas con cautela y tranquilidad al leer un mensaje de texto, seguramente puedas detectar los ataques de smishing. Los errores ortográficos y gramaticales son tan comunes en los ataques de smishing como lo son en los de phishing.
Un ataque de smishing, por lo general, consistirá en un texto breve e incluirá un enlace malicioso. Un examen exhaustivo de los enlaces que a primera vista parecen legítimos puede ayudarte a detectarlos. Los ataques de smishing también tratarán de influir en tus emociones. Si entras en pánico o quieres actuar de inmediato en respuesta a un mensaje de texto, puede ser una señal de que se trata de un ataque de smishing.
Ejemplos de estafas de smishing populares
Los ataques de smishing pueden utilizarse contra empleados de una empresa para realizar labores de ciberespionaje o contra personas para robar su identidad. Estos ataques se dividen en cuatro categorías básicas y comparten características que pueden ayudarte a detectarlos. A medida que el smishing se vuelve más frecuente, han surgido patrones relativos a cómo lo usan los ciberdelincuentes y a quién suplantan para ganarse la confianza de las víctimas.
Algunos tipos de estafas de smishing son eficaces porque la organización a la que suplantan los ciberdelincuentes es ampliamente conocida o sus servicios se usan mucho. Estos ataques de smishing son más efectivos porque son creíbles. Algunas entidades comunes empleadas en ataques de smishing son las siguientes:
- Servicios de entrega de correos y paquetes, como UPS, FedEx y el servicio postal estadounidense. Un texto que informa del retraso, la modificación o la necesidad de confirmación de un paquete, junto con un enlace, resulta relevante para la mayoría de las personas. Si la víctima espera un paquete de la empresa suplantada que desea o necesita recibir pronto, es más probable que haga clic en un enlace para garantizar la entrega.
- Amazon. Aunque también ofrece servicios de entrega de paquetes y es susceptible de la misma manera, un ataque de smishing también puede tener como objetivo una compra o contraseña de Amazon. Si un ciberdelincuente obtiene acceso a tu contraseña, puede encontrar información de tarjetas de crédito, tu dirección postal y demás datos privados.
- Servicios financieros, como PayPal, Apple Pay y bancos. Como la pérdida de dinero o la vulneración de las credenciales bancarias inducen temor con facilidad, estos ataques de smishing son efectivos porque se anima a las personas a actuar de inmediato. Si PayPal o tu banco local te dicen que hay un problema con tu cuenta, desconfía.
Cómo prevenir el smishing
Prevenir estafas de phishing como el smishing es la mejor manera de evitar daños, tanto a tu persona como a tu negocio. Dado que muchos individuos utilizan dispositivos personales, como teléfonos inteligentes, para trabajar, el smishing supone un peligro para tus credenciales laborales, así como para tu información personal. Si mantienes la calma y te tomas el tiempo de investigar posibles estafas de smishing, puedes prevenirlas.
El primer paso para prevenir una estafa de smishing es no responder nunca un mensaje de texto ni llamar al número del remitente. Si respondes, puede que recibas aún más mensajes de spam. El ciberdelincuente podría vender tu número como uno conocido por responder o simplemente cambiar su táctica de smishing para intentar engañarte de nuevo. Además, nunca hagas clic en ningún enlace incluido en un mensaje de texto sospechoso.
No tengas prisa en verificar el remitente cuando recibas un mensaje sospechoso. Hazlo mediante una búsqueda web o llamando directamente a la empresa de donde se supone que proviene el texto. Si tu banco te envía un mensaje de texto diciendo que tu dinero está en peligro, no respondas; busca el número de tu institución bancaria y llámalos.
Cómo responder al smishing
Si recibes un mensaje SMS que sospechas que es una estafa de smishing, debes denunciarlo a la Comisión Federal de Comercio (FTC). La organización te pedirá el número y el nombre que aparecen en el mensaje, junto con la hora de recepción y cualquier información que haya solicitado el ciberdelincuente. Es importante que no respondas al mensaje ni hagas clic en ningún enlace que se incluya.
Si ya has caído en las redes del smishing, primero debes denunciar la estafa ante la FTC y luego, informar a cualquier organización donde pueda usarse la información robada. Esto incluye cambiar contraseñas y llamar a cualquier institución financiera para advertirles sobre posible actividad fraudulenta con tus credenciales. Si actúas con rapidez, podrás evitar parte del daño que el ciberdelincuente quiera causar empleando tu información robada.
Protégete de los ataques de ingeniería social
Los ataques de ingeniería social, como el smishing, están diseñados para aprovecharse de tus emociones y lograr que reveles información privada. Al aprovechar tus miedos o deseos, junto con la confianza intrínseca de la que gozan muchos servicios de mensajería, los ciberdelincuentes pueden robar tu identidad.
Para protegerte de los ataques de ingeniería social, es necesario estar alerta y tener cuidado siempre que te pidan información personal o cuando hagas clic en un enlace. Si tomas medidas preventivas, puedes protegerte y defender tu negocio contra los ataques de smishing.
CrowdStrike proporciona información y servicios para mantenerte informado y seguro contra ataques de ingeniería social y demás actividades ciberdelictivas. Consulta más información aquí.
Bart es Senior Product Marketing Manager de inteligencia sobre amenazas en CrowdStrike y cuenta con más de 20 años de experiencia en inteligencia, detección y supervisión de amenazas. Tras iniciar su carrera como analista de operaciones de seguridad de red en una organización financiera belga, se trasladó a la costa este de los Estados Unidos para incorporarse a varias empresas de ciberseguridad, como 3Com/Tippingpoint, RSA Security, Symantec, McAfee, Venafi y FireEye-Mandiant, donde se encargó de la gestión y del marketing de productos.
