Smishing

El smishing es un tipo de ataque de ciberseguridad que ocurre a través de servicios de mensajes cortos (SMS) - mensajes de texto. Puede apoyarse en ingenieros sociales, archivos adjuntos maliciosos y sitios web fraudulentos para estafar a las personas.

.st0{fill:#0D3ECC;} DESCARGA MALWAREBYTES GRATIS


También para Windows, iOS, Android, Chromebook y Para Empresas

¿Qué es smishing? 

El término “smishing” puede sonar gracioso, pero su significado es menos divertido de lo que parece. Un ataque de smishing es un tipo de ataque de phishing que utiliza los mensajes de texto como vector de ataque. Puede apoyarse en ingeniería social, archivos adjuntos maliciosos y sitios web fraudulentos para estafar a las personas.

Una estafa de smishing puede ser fácil de ejecutar, difícil de rastrear y peligrosa en su impacto. Un ataque de smishing exitoso puede potencialmente exponer tus contraseñas, fotos, videos y otros datos sensibles a un estafador y también servir como vector de infección para introducir malware en tu smartphone.

Cada uno de los miles de millones de usuarios de smartphones en todo el mundo es un objetivo potencial de smishing. Solo en Estados Unidos, la Comisión Federal de Comercio reportó cerca de 400,000 quejas de fraude sobre textos no deseados, incluyendo ataques de smishing en 2021. Los consumidores reportaron una pérdida de más de $80 millones a los reguladores el mismo año.

Esta guía te ayudará a evitar ataques de smishing y aprender cómo prevenir el smishing. Sigue leyendo para más detalles en profundidad sobre lo siguiente:

  • Definición de smishing: ¿qué es un ataque de smishing en ciberseguridad?
  • Ejemplos de smishing
  • Smishing vs phishing
  • Qué puedes hacer en caso de un ataque de smishing
  • Cómo protegerte contra el smishing

Definición y explicación del Smishing

Aquí hay una definición rápida del smishing: el smishing es un tipo de ataque de ciberseguridad que ocurre a través de servicios de mensajes cortos (SMS), también conocidos como mensajes de texto. Algunos expertos también podrían definir el smishing como un ataque a través de cualquier tipo de mensaje de texto, y no solo a sistemas de mensajería de texto nativos móviles, como los mensajes en plataformas de redes sociales.

Una manera más simple de definir el smishing es llamarlo un mensaje de texto de phishing. Esto lleva a la pregunta: ¿qué es el phishing? Bueno, el phishing es cuando un actor malicioso se hace pasar por una entidad de confianza para engañar a un objetivo y cometer un error de ciberseguridad, como compartir información confidencial, típicamente por correo electrónico. Un mensaje de texto de phishing, también conocido como smishing, es phishing a través de textos.

¿Qué es un ataque de smishing?

Un ataque de smishing es cuando un actor malicioso usa mensajes de texto maliciosos para violar la ciberseguridad de un objetivo. El objetivo de un ataque de smishing es típicamente obtener la siguiente información confidencial para el robo de identidad o delitos financieros:

  • Nombres
  • Direcciones
  • Nombres de usuario
  • Contraseñas
  • Números de tarjeta de crédito
  • Códigos de tarjetas de crédito
  • Datos bancarios

Un ataque de texto de phishing también puede ser altamente dirigido. Cuando un actor malicioso conoce el número de teléfono de una víctima, puede diseñar un ataque convincente. Por ejemplo, si un estafador está apuntando al número de móvil de un ejecutivo de finanzas, puede lanzar un ataque de smishing que parece ser de un posible contacto de negocios.

Puedes leer sobre phishing vs spear phishing vs whaling para aprender sobre los diferentes tipos de ataques de ingeniería social que utilizan mensajes de texto como vector de amenaza.

¿Cómo funciona el smishing? 

Al igual que el phishing, el smishing nos engaña haciéndonos creer que los mensajes falsos son legítimos para que interactuemos con ellos sin preocupación. Los ataques de smishing funcionan utilizando algunas o todas las siguientes características:

  • Contexto: Los mensajes de smishing utilizan el contexto para parecer genuinos. Un texto de smishing puede parecer que proviene del banco, tu tienda favorita o el gobierno. Por ejemplo, las estafas de smishing temáticas del IRS que roban información personal y financiera están en aumento porque están utilizando el contexto de manera efectiva para ganar la confianza de la víctima.
  • Selección de objetivos: Las víctimas de smishing pueden ser seleccionadas basándose en demografía y afiliaciones locales. Por ejemplo, una banda de extorsionistas podría enviar mensajes falsos desde una institución financiera popular dentro de un cierto código de área a números locales. Alternativamente, podrían enviar textos de phishing desde una universidad a sus estudiantes después de acceder a los números de teléfono.
  • Ingeniería social: Un ataque de ingeniería social manipula las emociones de un objetivo, como el miedo, el amor, la lujuria, la codicia, la ira o la simpatía, para nublar su juicio. Por ejemplo, un mensaje fraudulento que parece ser de un ser querido puede fingir una emergencia para engañar a la víctima y hacerla enviar una transferencia de dinero.
  • Adjuntos maliciosos: Un mensaje de texto de phishing puede estar equipado con un archivo adjunto malicioso que parece ser una foto, un video o un documento, pero en realidad es un virus, adware, spyware, troyano o ransomware.
  • Enlaces maliciosos: Los ataques de smishing a menudo utilizan enlaces maliciosos, malware o sitios web fraudulentos.

El smishing también funciona apoyándose en la simplicidad de los mensajes de texto. Puedes detectar un correo electrónico de phishing al estar atento a errores gramaticales, errores de ortografía, problemas de formateo de imágenes, direcciones de correo electrónico extrañas y otras irregularidades. Pero los mensajes de texto suelen ser más cortos y no llevan gráficos como logotipos de la empresa.

Por ejemplo, un típico mensaje de texto de tu banco puede tener un par de oraciones y un enlace a un sitio web de ventas o una página financiera. A diferencia de un correo electrónico oficial, estos mensajes son fáciles de falsificar.

Es menos probable que los hackers cometan errores gramaticales al escribir una o dos frases en un ataque de smishing. Y no tienen que preocuparse por replicar logotipos para hacer que los textos de phishing parezcan auténticos. También pueden usar técnicas de suplantación de identidad de llamadas y teléfonos desechables para encubrir sus huellas.

Ejemplos de smishing: Diferentes tipos de ataques de smishing 

  1. Ha ganado un concurso o un premio y debe reclamarlo.
  2. Alguien te ha enviado un regalo o un cupón que tienes que activar.
  3. Su entidad financiera debe confirmar sus datos.
  4. Una transferencia de dinero pendiente a su cuenta requiere su autorización.
  5. La costosa compra que ha realizado necesita verificación.
  6. Se ha detectado un virus en tu teléfono.
  7. Su cuenta ha sido bloqueada debido a una actividad sospechosa o a intentos inusuales de inicio de sesión.

Smishing vs phishing: ¿Cuál es la diferencia entre smishing y phishing? 

smishing-vs-phishing

El smishing y el phishing pueden sonar similares, pero no son exactamente lo mismo. Entonces, ¿cuál es la diferencia entre phishing y smishing? La mayor diferencia en la comparación entre smishing y phishing es que el smishing utiliza SMS como medio de ataque, mientras que el phishing es un término general para cualquier correo electrónico, sitio web, mensaje de texto o mensaje de voz que usa engaño para atacar a un objetivo. En otras palabras, el smishing es un tipo de ataque de phishing que ocurre por mensaje de texto. Los objetivos de ambos ataques son recolectar tu información personal para actividad fraudulenta. Así que, esto es lo que ambos métodos tienen en común.

Qué hacer en caso de un ataque de smishing 

Denunciar el ataque 

Lo primero que deberías hacer es reportar el ataque a la autoridad correspondiente con el mayor detalle posible. Por ejemplo, si eres el objetivo de un ataque de smishing del IRS, envía un correo electrónico del ataque a phishing@irs.gov con los siguientes detalles:

  • Número de identificación de llamada phishing.
  • Una captura de pantalla del ataque.
  • Una copia del mensaje si no puedes hacer una captura de pantalla.
  • La fecha, la hora, la zona horaria y el número del destinatario.

Otras organizaciones también se han visto obligadas a reaccionar ante estas estafas. Por ejemplo, bancos y compañías de pagos como PayPal han abierto canales para reportar phishing. Si usas PayPal, por favor, aprende a reconocer correos electrónicos de phishing de PayPal para proteger tu cuenta. 

Cambiar todas las contraseñas 

Si sospechas que eres el objetivo de un ataque de smishing, cambia inmediatamente todas tus contraseñas y PINs. Tu nueva contraseña debe ser compleja y única. Puedes leer nuestra guía para aprender cómo crear una contraseña fuerte.

Congelar la tarjeta 

Un actor de amenazas puede intentar utilizar su tarjeta de débito o crédito tras obtener acceso a sus datos confidenciales. Le sugerimos que, tras cambiar sus contraseñas, congele temporalmente todas sus tarjetas para evitar fraudes financieros. Puede congelar su tarjeta accediendo a su cuenta de tarjeta de crédito o llamando a su entidad financiera.

Además, informa a tu emisor de tarjetas de crédito sobre el ataque de smishing. Pueden deshabilitar tu tarjeta y emitir una nueva con un conjunto diferente de dígitos.

Seguimiento de la actividad 

Controle sus cuentas para detectar los siguientes tipos de actividad sospechosa:

  • Transacciones desconocidas en su cuenta bancaria o de tarjeta de crédito.
  • Ubicaciones inusuales de inicio de sesión para sus cuentas.
  • Tus imágenes, vídeos o mensajes de texto confidenciales se están filtrando.
  • Amigos que reciben mensajes sospechosos tuyos.
  • Préstamos a su nombre.
  • Inscripción en programas gubernamentales de ayuda financiera

Incluso si no notas ninguna actividad sospechosa inmediata, mantén un ojo en tus cuentas a largo plazo después de un ataque de smishing. Una excelente manera de monitorear tus cuentas financieras en busca de irregularidades es revisar tus informes de crédito.

La ley federal te permite acceder a un informe de crédito gratuito cada año de una de las principales agencias de crédito. Eso equivale a tres informes gratuitos al año. Y hasta diciembre de 2023, todos en los Estados Unidos pueden acceder a un informe de crédito gratuito cada semana de las tres agencias.

Cómo detener los mensajes de texto de smishing 

Después de determinar que un texto es fraudulento, puedes bloquearlo en un teléfono iOS o Android . En un iPhone, ve a la página de contactos y pulsa Bloquear esta llamada. En un teléfono Android , ve a la página de contactos y pulsa Bloquear contacto.

Ambos sistemas operativos también ofrecen filtros que permiten bloquear el spam y otros textos no deseados.

Cómo filtrar textos en el iPhone:

  1. Ve a Ajustes.
  2. Pulse Mensajes.
  3. Deslice el botón situado junto a Filtrar remitentes desconocidos.

Cómo filtrar textos en Android:

  1. Ir a Mensajes.
  2. Toca los tres puntos para abrir Ajustes.
  3. Pulse Bloquear números y mensajes.
  4. Activar la identificación de llamadas y la protección contra el spam.

Tu operador de telefonía móvil también puede ofrecer herramientas anti-smishing:

- Verizon

- AT&T

- T-Mobile

Cómo protegerte contra el smishing 

Los ataques de smishing pueden ser complejos, utilizando un lenguaje alarmista, adjuntos maliciosos, enlaces inseguros y sitios web fraudulentos para vulnerar nuestra ciberseguridad. Protegerse del smishing requiere estar preparado en varios frentes.

Cuidado con los mensajes urgentes 

Los mensajes de phishing pueden parecer urgentes para impedir que pienses claramente antes de reaccionar. Lo primero que debes hacer al recibir un mensaje urgente es respirar profundo. Evalúa la situación antes de responder. Es poco probable que una entidad legítima te pida información sensible o un pago a través de un mensaje de texto. Si tienes alguna duda, busca el número público de la entidad en su sitio web oficial y llama directamente.

Confirmar números de teléfono 

Comprueba el ID del llamante. Busca el número debajo del ID e investícalo en línea para ver si coincide con el contexto de la llamada.

Autenticación multifactor 

Activa la autenticación multifactor (MFA) en tus cuentas para protegerlas de hackers que puedan tener acceso a tus credenciales de inicio de sesión. La MFA obliga a los usuarios a autenticar su identidad de otra manera cuando hay actividad sospechosa durante un intento de inicio de sesión.

Los ataques de smishing pueden pedirte que abras urgentemente un enlace para aprovechar una gran oferta o pagar impuestos al IRS y evitar ser arrestado. Estos enlaces pueden dirigir a sitios web maliciosos que roban tus datos de tarjetas de crédito u otra información confidencial. Lo mejor es evitar hacer clic en enlaces de mensajes de texto. En su lugar, verifica la fuente del mensaje.

No respondas a números desconocidos. 

Filtrar llamadas puede ayudarte a protegerte de los ataques de smishing. Un mensaje de un número desconocido podría ser parte de una estafa.

Evita almacenar información de tarjetas de crédito en tu teléfono. 

Evita almacenar tus datos de tarjetas de crédito en tu teléfono en forma de formularios web, archivos de texto o incluso capturas de pantalla. Un ataque de smishing que instale un troyano o spyware en tu dispositivo podría fácilmente robar esta información. Detecta lossignos de malware de dichos ataques. Además, usa unadescarga de antivirus gratuita para escanear regularmente tu sistema en busca de virus, ransomware, spyware, adware y troyanos.

Llama a los bancos antes de actuar sobre cualquier solicitud bancaria. 

No es raro que los bancos te envíen mensajes de texto sobre compras recientes y límites de crédito. Pero es poco probable que tu banco solicite información sensible para una transferencia vía texto. Siempre llama a tu banco para verificar cualquier solicitud por mensaje de texto o correo electrónico.

Evita compartir información de contraseñas. 

Nunca compartas nombres de usuario y contraseñas en mensajes de texto, aunque confíes en la fuente. Los hackers pueden encontrar esta información en la carpeta de enviados de tu dispositivo. 

Invierte en soluciones anti-malware. 

Descarga una herramienta de ciberseguridad para tu teléfono para protegerte de diferentes tipos de ataques. Por ejemplo, Malwarebytes para Android protege a los usuarios de Android de todo tipo de malware. También ofrece protección contra enlaces/sitios web maliciosos y phishing a los usuarios. De manera similar, Malwarebytes para iOS protege a los usuarios de iPhone y iPad de malware, llamadas de spam, anuncios, sitios web de estafa y sitios de phishing.

El auge del smishing 

Como se mencionó anteriormente, hay unaumento notable en el phishing a través de SMS. El smishing es un vector de ataque fácil para los estafadores que se aprovechan de millones de personas que dependen de los mensajes de texto para comunicarse.

Los delitos de smishing pueden provocar diferentes problemas de seguridad y privacidad, incluyendo el robo de identidad. Los expertos dicen que losefectos del robo de identidad pueden durar varios años, desde pérdida de tiempo, dinero, deudas fiscales y crédito dañado hasta antecedentes penales.

Un enfoque proactivo de la ciberseguridad puede prevenir los ataques de smishing. Trata los mensajes de texto sospechosos con precaución y protege tu dispositivo con software de seguridad que reduzca el riesgo de un ataque de phishing.

Relacionado: ¿Qué es la mensajería RCS?