Definición de smishing

El smishing o fraude por mensaje de texto, es un variante del phishing en la que un atacante usa un atractivo mensaje de SMS para convencer al destinatario de que haga clic en un enlace, que le envía al atacante información privada o descarga programas malintencionados a un teléfono móvil o smartphone.

La mayoría de los 3,5 millardos de smartphones que hay en el mundo son capaces de recibir mensajes de texto de cualquier número del mundo. Muchos usuarios ya son conscientes de los peligros de hacer clic en un enlace en un correo electrónico. Pero pocas personas son conscientes de los peligros de hacer clic en enlaces en mensajes de texto.

Los usuarios son mucho más confiados con los mensajes de texto, así que el smishing suele resultar lucrativo para atacantes que buscan obtener credenciales, información bancaria y datos privados.

Cómo funciona el smishing

La mayoría de los ataques de smishing funcionan igual que el phishing telefónico. El atacante envía un mensaje con la intención de convencer al usuario de que haga clic en un enlace o le pide que responda enviándole parte de sus datos privados.

La información que un atacante desea obtener podría ser cualquier cosa, incluyendo:

  • Credenciales de cuentas en línea
  • Información privada que podría ser usada en un robo de identidad
  • Datos financieros que podrían venderse en los mercados de la “red oscura” (o “darknet”), o para fraudes en línea

Los “smishers” (como se conoce a los perpetradores de estas técnicas) emplean múltiples estrategias y trucos para lograr que los usuarios les envíen información privada. Pueden usar información básica de su objetivo (como su nombre y dirección), que previamente han obtenido de herramientas públicas en línea, para hacer creer al objetivo que el mensaje proviene de una fuente fiable.

El atacante podría usar su nombre y ubicación para dirigirse a usted directamente para el smishing scam. Esta información podría hacer más convincente al mensaje. Después, el mensaje muestra un enlace que lleva a un servidor que el atacante controla. El enlace podría llevar a una página de phishing de credenciales o con malware diseñado para poner en riesgo el teléfono. Posteriormente, el malware se puede usar para espiar en el smartphone del usuario en busca de datos, o para enviar datos delicados discretamente a un servidor controlado por el atacante.

La ingeniería social se usa en combinación con el smishing. El atacante podría llamar al usuario pidiéndole información privada antes de enviar un mensaje de texto. Posteriormente, el smisher utiliza la información privada para lanzar un ataque por mensajes de texto. Múltiples empresas de telecomunicaciones han intentado combatir las llamadas de ingeniería social mostrando un mensaje de “Riesgo de Spam” en un smartphone cuando un número conocido por participar en estafas llama al usuario.

Para detener al malware, las funciones de seguridad básicas de los sistemas operativos Android e iOS suelen bastar. Pero incluso con los robustos controles de seguridad presentes en los sistemas operativos de los dispositivos móviles, ningún método es capaz de detener a un usuario dispuesto a enviar sus datos a un número desconocido.

Un ejemplo de un ataque de smishing

Muchos atacantes usan la automatización para enviarles sus mensajes de texto a diversos usuarios mediante una dirección de correo electrónico para evitar la detección. El número telefónico que muestra el identificador de llamadas suele ser un número que lleva a un servicio de VoIP en línea, como Google Voice, en el que no es posible consultar la ubicación del número.

La siguiente imagen muestra un ejemplo de un smishing scam. Aquí, el atacante se hace pasar por el IRS (el departamento de Hacienda de los EE. UU.) y amenaza al destinatario con la ruina financiera y hasta la posibilidad de arrestarlo a menos que llame al número indicado en el texto. Si el destinatario llama, entonces resulta víctima de una estafa en la que se le solicita que envíe dinero.

 

Ejemplo de fraude por mensaje de texto

 

Un tipo de ataque de smishing más común utiliza nombres de marcas conocidas con enlaces que, supuestamente, llevan a la página de la marca. Generalmente, el atacante le dice al usuario que ha ganado un premio o le envía un enlace malintencionado cuyo falso propósito es hacer seguimiento a un envío, como en el ejemplo siguiente.

 

Ejemplo de smishing

 

Las palabras empleadas en el mensaje anterior deberían levantar sospechas para los usuarios familiarizados con cómo funciona el smishing. Pero muchos usuarios se fían de los SMS y el lenguaje informal no les extraña.

Otra señal de advertencia es la URL: no lleva a la URL oficial de FedEx. Pero no todos los usuarios están familiarizados con los URL oficiales de las marcas y podrían ignorarlo.

Los atacantes usan este tipo de mensajes porque muchísima gente usa los servicios de FedEx, así que siempre existe la posibilidad de que la persona en verdad esté esperando un paquete de FedEx. Al enviar el mensaje literalmente a miles de destinatarios, es posible que muchos de ellos simplemente caigan en la trampa.

El enlace típicamente lleva a una página que contiene malware o le solicita al usuario que inicie sesión en su cuenta. La página de autenticación no es la web oficial de FedEx, pero como ver las URL completas suele ser difícil desde el navegador de un smartphone, muchos usuarios ni siquiera se molestan en verificarlo.

Los atacantes de smishing usan un mensaje que el usuario podría estar esperando. Otros atraen a sus víctimas prometiéndoles premios en metálico a cambio de su información privada. La siguiente imagen es otro ataque de smishing que usa el nombre de Amazon:

 

Ejemplo de smishing usando marca conocida

 

Una vez más, las palabras empleadas en el anterior ataque deberían levantar sospechas en los destinatarios, pero los usuarios suelen fiarse de las conversaciones redactadas en lenguaje informal en mensajes de texto. El enlace en este mensaje lleva a una página .info que nada tiene que ver con las direcciones web de Amazon.

El dominio ya se ha eliminado y no está accesible. Pero hay una buena posibilidad de que el enlace lleve a una página que intente recopilar datos privados, incluyendo credenciales. El URL en estos ataques suele redirigir a los usuarios a un servidor que el atacante controla, en el que se muestra contenido de phishing.

Cómo protegerse de los ataques de smishing

Al igual que ocurre con el phishing de correo electrónico, la protección contra el smishing depende de la capacidad que tenga el usuario objetivo de identificar un ataque de smishing e ignorar o informar acerca del mensaje. Si un número telefónico se suele utilizar en estafas, la compañía de telecomunicaciones podría advertir a los usuarios que hayan recibido mensajes de un número conocido por haber participado en estafas, o simplemente dejar de enviar mensajes desde dicho número.

Los mensajes de smishing son peligrosos solamente si el usuario objetivo emprende una acción, como hacer clic en el enlace o enviar datos privados al atacante.

Aquí le indicamos cómo detectar y evitar smishing, para no convertirse en víctima del fraude:

  • El mensaje promete dinero rápido, ya sea mediante un supuesto premio que se ha ganado o recibiendo dinero después de introducir información. Las ofertas de códigos de descuentos también se usan con frecuencia.
  • Las instituciones financieras jamás le enviarán un mensaje de texto pidiéndole sus credenciales o que les transfiera dinero. Jamás envíe sus números de tarjetas de crédito, números PIN de cajeros automáticos o información bancaria a nadie por mensaje de texto.
  • Evite responder a un número telefónico que no reconozca.
  • Los mensajes recibidos de un número telefónico que tenga pocos dígitos seguramente provienen de una dirección de correo electrónico, lo que suele ser una señal de que es “spam”.
  • La información bancaria almacenada en el smartphone es un objetivo valioso para atacantes. Evite almacenar esta información en dispositivos móviles. Si un atacante instalase malware en el smartphone, esta información bancaria podría resultar comprometida.
  • Las empresas de telecomunicaciones suelen tener números específicos para reportar ataques a disposición de los usuarios. Para proteger a otros usuarios, envíe el mensaje al número de su empresa de telecomunicaciones, para que este pueda ser investigado. El Instituto Nacional de Ciberseguridad (INCIBE) también recibe reclamaciones e investiga los fraudes por mensajes de texto.

Informe state of the phish 2020

Descargue nuestro informe para descubrir cómo pueden las organizaciones tener una visión de sus vulnerabilidades más introspectiva y centrada en las personas, y permitir que los usuarios se conviertan en la línea de defensa más fuerte.

Programa de formación y concienciación en materia de seguridad antiphishing

Nuestro programa de formación para evitar el phishing está diseñado para ayudarle a identificar y reducir la vulnerabilidad de los empleados al phishing y al phishing dirigido (spear phishing).