¿Qué es Smishing y cómo protegerse?

El phishing y otros ataques de ingeniería social llevados a cabo mediante dispositivos móviles son cada vez más frecuentes. Se trata de engaños relativamente fáciles de llevar a cabo y que, si la víctima es persuadida, puede tener grandes recompensas. 

Considerando que los mensajes de texto son leídos con mucha más frecuencia que otros mensajes (como los correos electrónicos), este se convierte en un canal práctico para llevar a cabo estas estafas. Por ello, a continuación te explicamos qué es el smishing y cómo puedes proteger a tu empresa de sus efectos.

¿Qué es el smishing?

El smishing es un tipo de ataque de phishing utilizado por ciberdelincuentes para obtener información personal de los usuarios a través de mensajes de texto (SMS) y utilizarla con fines delictivos. Estos ataques se han popularizado, pues las personas tienden a pensar que este tipo de mensajes son más seguros que los correos electrónicos, que se han relacionado clásicamente con el phishing.

En los últimos años, esta práctica se ha vuelto más común en las aplicaciones de mensajería instantánea para teléfonos móviles, tales como Whatsapp Messenger, Telegram y iMessage; así como a través de los servicios de mensajería de redes sociales como LinkedIn e Instagram.

¿Cómo funciona el smishing?

Tal como ocurre en otros tipos de phishing, los ataques de smishing utilizan técnicas de ingeniería social para convencer a la víctima de proporcionar, vía mensajes de texto, datos personales o información confidencial, tales como contraseñas, nombres de usuario, números de tarjetas de crédito, números de cuenta bancaria y otros datos bancarios, entre otros.

Otra metodología popular consiste en incluir dentro del mensaje enlaces de páginas web fraudulentas que simulan sitios oficiales de organizaciones gubernamentales, empresas o instituciones bancarias, y es en estas páginas fraudulentas donde se le solicita al usuario que introduzca su información.

Una vez que el usuario ingresa a estos enlaces, queda expuesto a diversos tipos de malware que pueden ser instalados en su dispositivo móvil o PC, dejando una puerta abierta para que los hackers o smishers (como se denominan en este caso) tengan acceso a información bancaria y otros datos confidenciales.

Ejemplos de ataques de smishing

Tal como ocurre con otros ciberataques que utilizan ingeniería social, el smishing se vale de pretextos e historias falsas para convencer a las víctimas de cumplir con las demandas de los cibercriminales. Algunos ejemplos de pretextos utilizados en ataques de smishing son:

Instituciones financieras

Los smishers pueden pretender ser parte de una entidad bancaria e informar a la víctima sobre una actualización de datos o un problema con su cuenta, y enviarles un enlace para que ingresen información privada, como números de cuentas bancarias y tarjetas de crédito. 

Mensajes del gobierno

Un smisher puede pretender ser un representante de un ente gubernamental, un policía u otro funcionario público que solicita el pago de una multa o que informa sobre un beneficio que el usuario puede cobrar. Usualmente, estos ataques buscan obtener datos personales como el número de seguro social para llevar a cabo un robo de identidad.

Atención al cliente

Otra estrategia común es pretender que se trata de un agente de atención al cliente de una empresa ampliamente conocida, como Microsoft o Apple, o de una empresa contratada por la víctima para proveer servicios como acceso a Internet o línea telefónica. En la mayoría de los casos, se trata de un mensaje en el que informan sobre un reembolso que debe reclamar o sobre un problema en su cuenta, de manera que lo convencen de ingresar sus datos.

Empresas de envíos de paquetes

En este caso, el smisher pretende ser parte de una empresa de envíos, como FedEx, o de una empresa de compras en línea, como Amazon, y le informa a la víctima que hubo un problema con el envío de su paquete, por lo que debe pagar una tarifa adicional o ingresar a su cuenta para verificar el problema. Suelen ser más utilizadas en épocas festivas, pues más personas realizan pedidos.

Números de teléfonos equivocados

Un ciberdelincuente puede enviar un mensaje SMS a números de teléfonos equivocados a propósito. Una vez que la víctima corrige el error, el smisher trata de mantener la conversación y ganarse la confianza de la víctima con el paso del tiempo. En algunas oportunidades, incluso fingen que tienen sentimientos románticos por la víctima para obtener su información personal, solicitarles dinero como un préstamo, pedirles que inviertan en una iniciativa, etc.

Factores de autenticación falsos

En un esfuerzo por evadir el doble factor de autenticación, los ciberdelincuentes envían un mensaje a la víctima pretendiendo ser uno de sus amigos, y le dicen que han sido bloqueados de sus redes sociales, por ejemplo, y que necesitan que la víctima reciba un código para desbloquearlos. Sin embargo, este código es un nuevo factor de autenticación, de manera que cuando la víctima lo envía al hacker, este es capaz de acceder a sus cuentas.

Aplicaciones fraudulentas

Algunos ataques de smishing convencen a sus víctimas de descargar aplicaciones fraudulentas que contienen algún tipo de malware, como ransomware o troyanos. Aunque estas aplicaciones parecen genuinas, están diseñadas para obtener datos confidenciales de la víctima o bloquearlos para solicitar el pago de un rescate para recuperarlos.

6 consejos para mantener a tu empresa protegida del smishing

Los ataques de smishing son cada vez más comunes, así como otros tipos de phishing (como el vishing y el pharming). Por ello, es primordial que las empresas tomen acciones para disminuir el riesgo de ser víctimas de este tipo de ataques, y para saber cómo responder a ellos, disminuyendo su impacto.

A continuación, te dejamos 6 consejos para que mantengas a tu empresa protegida de los ataques de smishing:

Capacitar al personal correctamente

Preparar al personal de tu empresa para que identifique las características de los mensajes de smishing es el primer paso para que puedan evitar poner en riesgo información confidencial, bien sea personal o de la empresa. Un empleado que desconfía de un SMS y decide ignorarlo o confirmar la información recibida antes de tomar acciones puede marcar la diferencia en términos de ciberseguridad.

Estas capacitaciones deberían incluir, además de una revisión de las características principales de estos mensajes de texto, técnicas de manejo de datos confidenciales y protocolos para la verificación de solicitudes y autorización de pagos.

Evitar hacer clic en links desconocidos

Hacer clic en un enlace que proviene de un número telefónico sospechoso es una acción irresponsable, pues usualmente se trata de páginas web maliciosas. Una vez que se logra identificar que se trata de un mensaje sospechoso, lo mejor es no hacer clic en enlaces ni descargar archivos adjuntos, pues pueden contener malware.

Abstenerse de compartir información personal por SMS

Las entidades bancarias, organizaciones gubernamentales y comercios electrónicos no suelen solicitar a sus clientes o usuarios que proporcionen datos para actualizar su información personal ni con otros propósitos. Los mensajes que hacen este tipo de solicitudes son casi siempre fraudulentos y deben ser ignorados.

Si hubiese duda de que sea un mensaje legítimo, lo mejor es contactar directamente a la institución financiera o tienda en cuestión mediante un canal oficial (por ejemplo, mediante una llamada a un teléfono de soporte técnico, o mediante un mensaje en su página web oficial) para saber de primera mano si se trata de una solicitud real.

Utilizar múltiples factores de autenticación

A pesar de que, como explicamos antes, los smishers tienen métodos para romper la protección de la autenticación de dos factores, este método sigue siendo eficiente como una capa adicional de seguridad. Particularmente los métodos de biometría (como las huellas dactilares y el reconocimiento facial) son difíciles de falsificar.

Verificar que el remitente sea oficial

Al recibir un mensaje sospechoso que parece ser de una organización de buena reputación, lo mejor es ponerse en contacto con la misma y verificar si fueron realmente ellos quienes enviaron el mensaje. Algunos bancos incluso tienen un servicio para denunciar smishing y otros tipos de phishing en su página web.

Apoyarse en expertos de ciberseguridad

Reforzar la ciberseguridad de una empresa es cada vez más importante para que esta logre crecer y alcanzar los objetivos productivos que se plantee. Sin embargo, mantener personal fijo en la empresa que se encargue de la ciberseguridad puede ser muy costoso, y quizás no sea la mejor solución para todas las empresas. 

En Delta Protect nos encargamos de simplificar y automatizar la ciberseguridad de tu empresa a través de Apolo. Si quieres conocer cómo podemos ayudarte a evitar que tus empleados sean víctimas de ataques de smishing, no dudes en agendar una demo de Apolo con nosotros.