¿Qué es el smishing?
El término "smishing" puede parecer una tontería, pero su significado es menos divertido de lo que parece. Un ataque de smishing es un tipo deataque de phishing que aprovecha los mensajes de texto como vector de ataque. Puede basarse en ingeniería social, archivos adjuntos maliciosos y sitios web fraudulentos para estafar a la gente.
Una estafa de smishing puede ser fácil de ejecutar, difícil de rastrear y peligrosa en sus efectos. Un ataque de smishing exitoso puede exponer potencialmente sus contraseñas, fotos, vídeos y otros datos sensibles a un estafador y también funcionar como un vector de infección para una caída de malware en su teléfono inteligente.
Cada uno de los miles de millones de usuarios de smartphones de todo el mundo es un objetivo potencial de smishing. Solo en Estados Unidos, la Comisión Federal de Comercio registró casi 400.000 denuncias de fraude por mensajes de texto no deseados, incluidos ataques de smishing, en 2021. Ese mismo año, los consumidores declararon a los organismos reguladores unas pérdidas de más de 80 millones de dólares.
Esta guía le ayudará a evitar los ataques de smishing y a aprender a prevenirlo. Sigue leyendo para conocer más detalles en profundidad sobre lo siguiente:
- Definición de smishing: ¿qué es un ataque de smishing en ciberseguridad?
- Ejemplos de smishing
- Smishing frente a phishing
- Qué puede hacer en caso de ataque de smishing
- Cómo protegerse del smishing
Definición y explicación del smishing
He aquí una definición rápida de smishing: smishing es un tipo de ataque de ciberseguridad que se produce a través de servicios de mensajes cortos (SMS), también conocidos como mensajes de texto. Algunos expertos también pueden definir el smishing como un ataque a través de cualquier tipo de mensaje de texto, y no sólo los sistemas de mensajería de texto móvil nativos, como los mensajes en las plataformas de medios sociales.
Una forma más sencilla de definir el smishing es llamarlo mensaje de texto de phishing. Esto nos lleva a la siguiente pregunta: ¿qué es el phishing? Bueno, el phishing es cuando un actor de amenaza se hace pasar por una entidad de confianza para engañar a un objetivo para que cometa un error de ciberseguridad, como compartir información confidencial, normalmente a través del correo electrónico. Un mensaje de texto de phishing, también conocido como smishing, es phishing a través de texto.
¿Qué es un ataque smishing?
Un ataque de smishing se produce cuando un actor de amenazas utiliza mensajes de texto maliciosos para vulnerar la ciberseguridad de un objetivo. El objetivo de un ataque de smishing suele ser obtener la siguiente información confidencial para cometer robos de identidad o delitos financieros:
- Nombres
- Direcciones
- Nombres de usuario
- Contraseñas
- Números de tarjeta de crédito
- Códigos de tarjetas de crédito
- Datos bancarios
Un ataque de phishing de texto también puede ser muy selectivo. Cuando un actor de amenazas conoce el número de teléfono de una víctima, puede diseñar un ataque convincente. Por ejemplo, si un estafador tiene como objetivo el número de móvil de un ejecutivo financiero, puede lanzar un ataque de suplantación de identidad que parezca provenir de un posible contacto comercial.
Puede consultar phishing vs spear phishing vs whaling para conocer los distintos tipos de ataques de ingeniería social que utilizan los mensajes de texto como vector de amenaza.
¿Cómo funciona el smishing?
Al igual que el phishing, el smishing nos engaña haciéndonos creer que los mensajes falsos son legítimos para que interactuemos con ellos sin preocuparnos. Los ataques de smishing utilizan algunas o todas las características siguientes:
- Contexto: Los textos de smishing utilizan el contexto para parecer auténticos. Un mensaje de smishing puede parecer del banco, de su tienda favorita o de su gobierno. Por ejemplo, Las estafas de smishing con temática del IRS que roban información personal y financiera están aumentando porque utilizan el contexto de forma eficaz para ganarse la confianza de la víctima.
- Selección de objetivos: Las víctimas del smishing pueden seleccionarse en función de sus características demográficas y afiliaciones locales. Por ejemplo, una banda de extorsionadores puede enviar textos falsos desde una institución financiera popular en un determinado código de área a números locales. Otra posibilidad es que, tras acceder a los números de teléfono, envíen mensajes de phishing desde una universidad a sus estudiantes.
- Ingeniería social: Un ataque de ingeniería social manipula las emociones de un objetivo, como el miedo, el amor, la lujuria, la codicia, la ira o la simpatía, para nublar su juicio. Por ejemplo, un mensaje fraudulento que parece provenir de un ser querido puede fingir una emergencia para engañar a la víctima y hacer que envíe una transferencia de dinero.
- Archivos adjuntos maliciosos: Un mensaje de texto de phishing puede estar armado con un archivo adjunto malicioso que parece ser una imagen, un vídeo o un documento, pero es un virus, adware, spyware, troyano o ransomware.
- Enlaces maliciosos: Los ataques de smishing suelen utilizar enlaces maliciosos, malware o sitios web fraudulentos.
El smishing también funciona basándose en la simplicidad de los mensajes de texto. Puede detectar un correo electrónico de phishing prestando atención a los errores gramaticales, las faltas de ortografía, los problemas de formato de imagen, las direcciones de correo electrónico extrañas y otras irregularidades. Pero los mensajes de texto suelen ser más cortos y no llevan gráficos como logotipos de empresas.
Por ejemplo, un texto típico de su banco puede tener un par de frases e incluir un enlace a una tienda o a un sitio web financiero. A diferencia de un correo electrónico oficial, un texto de este tipo es fácil de falsificar.
Es menos probable que los piratas informáticos cometan errores gramaticales al escribir una o dos frases en un ataque de suplantación de identidad. Y no tienen que preocuparse de replicar logotipos para que los textos de phishing parezcan auténticos. También pueden utilizar técnicas de suplantación del identificador de llamadas y teléfonos desechables para cubrir sus huellas.
Ejemplos de smishing: Diferentes tipos de ataques de smishing
- Ha ganado un concurso o un premio y debe reclamarlo.
- Alguien te ha enviado un regalo o un cupón que tienes que activar.
- Su entidad financiera debe confirmar sus datos.
- Una transferencia de dinero pendiente a su cuenta requiere su autorización.
- La costosa compra que ha realizado necesita verificación.
- Se ha detectado un virus en tu teléfono.
- Su cuenta ha sido bloqueada debido a una actividad sospechosa o a intentos inusuales de inicio de sesión.
Smishing vs phishing: ¿Cuál es la diferencia entre smishing y phishing?
El smishing y el phishing pueden sonar parecidos, pero no son exactamente lo mismo. ¿Cuál es la diferencia entre phishing y smishing? La mayor diferencia en la comparación entre smishing y phishing es que smishing utiliza SMS como medio de ataque, mientras que phishing es un término general para cualquier correo electrónico, sitio web, mensaje de texto o mensaje de voz que utilice el engaño para atacar a un objetivo. En otras palabras, el smishing es un tipo de ataque de phishing que se produce a través de un mensaje de texto. El objetivo de ambos ataques es recopilar su información personal para realizar actividades fraudulentas. Esto es lo que ambos métodos tienen en común.
Qué hacer en caso de ataque de smishing
Denunciar el ataque
Lo primero que debe hacer es informar del ataque a la autoridad competente con el mayor detalle posible. Por ejemplo, si usted es el objetivo de un ataque de smishing de Hacienda, envíe un correo electrónico del ataque a phishing@irs.gov con los siguientes detalles:
- Número de identificación de llamada phishing.
- Una captura de pantalla del ataque.
- Una copia del mensaje si no puedes hacer una captura de pantalla.
- La fecha, la hora, la zona horaria y el número del destinatario.
Otras organizaciones también se han visto obligadas a reaccionar ante estas estafas. Por ejemplo, bancos y empresas de pago como PayPal han abierto canales de denuncia de phishing. Si utiliza PayPal, aprenda a reconocer loscorreos electrónicos de phishing de PayPal de para proteger su cuenta.
Cambiar todas las contraseñas
Si sospechas que eres objeto de un ataque de smishing, cambia inmediatamente todas tus contraseñas y PIN. Tu nueva contraseña debe ser compleja y única. Puedes leer nuestra guía para aprender cómo crear una contraseña segura.
Congelar la tarjeta
Un actor de amenazas puede intentar utilizar su tarjeta de débito o crédito tras obtener acceso a sus datos confidenciales. Le sugerimos que, tras cambiar sus contraseñas, congele temporalmente todas sus tarjetas para evitar fraudes financieros. Puede congelar su tarjeta accediendo a su cuenta de tarjeta de crédito o llamando a su entidad financiera.
Además, informe al emisor de su tarjeta de crédito del ataque de smishing. Pueden desactivar su tarjeta y emitir una nueva con un conjunto diferente de dígitos.
Seguimiento de la actividad
Controle sus cuentas para detectar los siguientes tipos de actividad sospechosa:
- Transacciones desconocidas en su cuenta bancaria o de tarjeta de crédito.
- Ubicaciones inusuales de inicio de sesión para sus cuentas.
- Tus imágenes, vídeos o mensajes de texto confidenciales se están filtrando.
- Amigos que reciben mensajes sospechosos tuyos.
- Préstamos a su nombre.
- Inscripción en programas gubernamentales de ayuda financiera
Incluso si no nota ninguna actividad sospechosa inmediata, vigile sus cuentas a largo plazo después de un ataque de smishing. Una forma excelente de vigilar sus cuentas financieras en busca de irregularidades es comprobar sus informes de crédito.
La ley federal le permite acceder cada año a uninforme de crédito gratuito de una de las principales agencias de crédito. Eso equivale a tres informes gratuitos al año. Y hasta diciembre de 2023, todo el mundo en los Estados Unidos puede acceder a un informe de crédito gratuito cada semana de las tres agencias.
Cómo detener los mensajes de texto smishing
Después de determinar que un texto es fraudulento, puedes bloquearlo en un teléfono iOS o Android . En un iPhone, ve a la página de contactos y pulsa Bloquear esta llamada. En un teléfono Android , ve a la página de contactos y pulsa Bloquear contacto.
Ambos sistemas operativos también ofrecen filtros que permiten bloquear el spam y otros textos no deseados.
Cómo filtrar textos en el iPhone:
- Ve a Ajustes.
- Pulse Mensajes.
- Deslice el botón situado junto a Filtrar remitentes desconocidos.
Cómo filtrar textos en Android:
- Ir a Mensajes.
- Toca los tres puntos para abrir Ajustes.
- Pulse Bloquear números y mensajes.
- Activar la identificación de llamadas y la protección contra el spam.
Es posible que tu operador de telefonía móvil también ofrezca herramientas anti-smishing:
- Verizon
- AT&T
Cómo protegerse del smishing
Los ataques de smishing pueden ser complejos, ya que utilizan un lenguaje alarmista, archivos adjuntos maliciosos, enlaces no seguros y sitios web fraudulentos para vulnerar nuestra ciberseguridad. Protegerse del smishing requiere preparación en varios frentes.
Cuidado con los mensajes urgentes
Los mensajes de phishing pueden parecer urgentes para impedirle pensar con claridad antes de reaccionar. Lo primero que debe hacer tras recibir un mensaje urgente es respirar hondo. Evalúe la situación antes de responder. Es improbable que una entidad legítima te pida información confidencial o un pago a través de un mensaje de texto. Si tiene dudas, busque el número público de la entidad en su sitio web oficial y llámeles directamente.
Confirmar números de teléfono
Comprueba la identificación de la persona que llama. Busca el número que aparece debajo de la identificación y búscalo en Internet para ver si coincide con el contexto de la llamada.
Autenticación multifactor
Active la autenticación multifactor (MFA) en sus cuentas para protegerlas de piratas informáticos que puedan tener acceso a sus credenciales de inicio de sesión. MFA obliga a los usuarios a autenticar su identidad de otra forma cuando hay actividad sospechosa durante un intento de inicio de sesión.
Evita hacer clic en los enlaces del mensaje
Los ataques de smishing pueden pedirle que abra urgentemente un enlace para aprovechar una gran oferta o para pagar los impuestos a Hacienda y evitar ser detenido. Estos enlaces pueden llevarle a sitios web maliciosos que roban los datos de su tarjeta de crédito u otra información confidencial. Lo mejor es evitar hacer clic en los enlaces de los mensajes de texto. En su lugar, verifique la fuente del mensaje.
No responda a números desconocidos
Filtrar las llamadas puede ayudarle a protegerse de los ataques de smishing. Un mensaje de un número desconocido podría ser parte de una estafa.
Evite guardar información sobre tarjetas de crédito en su teléfono
Evita almacenar los datos de tu tarjeta de crédito en tu teléfono en forma de formularios web, archivos de texto o incluso capturas de pantalla. Un ataque de smishing que instale un troyano o spyware en tu dispositivo podría robar fácilmente esta información. Detecteen las señales de malware de un ataque de este tipo. Además, utiliza unantivirus gratuito descargable en para escanear regularmente tu sistema en busca de virus, ransomware, spyware, adware y troyanos.
Llame a los bancos antes de actuar sobre cualquier solicitud bancaria
No es raro que los bancos le envíen mensajes de texto sobre compras recientes y límites de crédito. Pero es poco probable que su banco le solicite información confidencial para una transferencia a través de un mensaje de texto. Llama siempre a tu banco para verificar cualquier solicitud por mensaje de texto o correo electrónico.
Evite compartir información sobre contraseñas
Nunca compartas nombres de usuario y contraseñas en mensajes de texto, aunque confíes en la fuente. Los hackers podrían encontrar esta información en la carpeta de enviados de tu dispositivo.
Invierta en soluciones antimalware
Descarga una herramienta de ciberseguridad para tu teléfono para protegerte de distintos tipos de ataques. Por ejemplo, Malwarebytes para Android protege a los usuarios de Android de todo tipo de malware. También proporciona enlaces/sitios web maliciosos y protección contra phishing a los usuarios. Del mismo modo, Malwarebytes para iOS protege a los usuarios de iPhone y iPad de malware, llamadas de spam, anuncios, sitios web fraudulentos y sitios web de phishing.
El auge del smishing
Como ya se ha dicho, hay un notableaumento del phishing a través de SMS en . El smishing es un vector de ataque fácil de utilizar por los estafadores contra millones de personas que confían en los mensajes de texto para comunicarse.
Los delitos de suplantación de identidad pueden dar lugar a diferentes problemas de seguridad y privacidad, incluido el robo de identidad. Los expertos afirman quelos efectos del robo de identidad en pueden durar varios años, desde pérdidas de tiempo, dinero, deudas fiscales y crédito dañado hasta antecedentes penales.
Un enfoque proactivo de la ciberseguridad puede evitar los ataques de suplantación de identidad. Trata los mensajes de texto sospechosos con precaución y arma tu dispositivo con un software de seguridad que mitigue el riesgo de un ataque de phishing.
Relacionado: ¿Qué es la mensajería RCS?