Subir

¿Qué es el smishing? Descubre cómo detectarlo

Qué es el smishing

En el mundo digital en el que vivimos hoy en día, somos mucho más dependientes de la tecnología y estamos mucho más expuestos a una gran variedad de vulnerabilidades.

Una de ellas, a menudo subestimada, es el smishing, un método de ataque que apunta directamente a los teléfonos móviles tanto personales como empresariales. Este método se está volviendo cada vez más común, ya que los ciberdelincuentes se aprovechan de la confianza que la gente tiende a tener sobre los mensajes de texto, en comparación con los correos electrónicos. Esto puede ser debido a que consideramos los números de teléfonos móviles más privados que las direcciones de correo, a que muchas personas piensan que estas técnicas solo se utilizan vía email, o a que los mensajes de texto no suelen tener unos filtros de spam tan robustos.

En este artículo vamos a explorar qué es el smishing, cómo podemos detectarlo o qué medidas podemos tomar para protegernos.

¿Qué es el smishing?

El smishing es una técnica de estafa que combina las palabras «SMS» (Short Message Service) y phishing. Funciona de manera similar al phishing tradicional, pero en lugar de utilizar correo electrónico o llamadas telefónicas, los estafadores envían mensajes de texto fraudulentos a los usuarios. Estos mensajes suelen contener un enlace que redirige al usuario a una página web falsa diseñada para parecer legítima, haciéndose pasar por instituciones legítimas o empresas conocidas. Es en estas páginas donde se le pide al usuario que introduzca información confidencial, como contraseñas o datos de tarjetas de crédito, por ejemplo.

Objetivos principales del smishing

El objetivo principal del smishing es obtener información confidencial, como claves bancarias o datos personales, con fines fraudulentos. Algunas de las formas más comunes en las que se realiza el smishing incluyen:

  • Solicitud de credenciales de cuenta en línea: los estafadores envían mensajes de texto que parecen provenir de bancos o servicios en línea, solicitando que el destinatario proporcione sus credenciales de inicio de sesión bajo falsos pretextos.
  • Petición de información privada para robo de identidad: los mensajes pueden solicitar datos personales sensibles, como números de seguridad social o fechas de nacimiento, que podrían utilizarse para cometer robos de identidad.
  • Ofertas fraudulentas o productos inexistentes: en algunos casos, los estafadores utilizan el smishing para promocionar ofertas falsas o productos inexistentes, con el objetivo de engañar a las personas para que compartan su información financiera o realicen pagos.

Formas más habituales del smishing

El objetivo principal del smishing es obtener información confidencial, como claves bancarias o datos personales, con fines fraudulentos. Algunas de las formas más comunes en las que se utiliza esta técnica son:

  • Paquetería o servicios de entrega: este tipo de smishing es uno de los más habituales. La víctima recibe un mensaje informando de que ha habido un problema al entregar un paquete y, para solucionarlo, debe abonar una cantidad de dinero o registrarse en su cuenta para solucionar dicho problema, accediendo a través del enlace proporcionado. Este método suele ser especialmente efectivo en entornos corporativos, donde se recibe material y paquetería de forma habitual. Leer caso real vía INCIBE.
Mensaje ejemplo smishing paqueterÃía
  • Instituciones financieras: también son mensajes muy comunes, en los que los ciberdelincuentes pretenden ser una entidad bancaria para informar a la víctima de que se ha producido una actividad sospechosa en su cuenta y es necesario que verifique su identidad a través de un enlace. Sin embargo, este enlace lleva a un sitio web que parece ser de la entidad bancaria para que ingrese los datos bancarios, tratándose, en realidad, de una web falsa.
Mensaje ejemplo smishing entidades financieras
  • Premios o regalos: se trata de mensajes de texto en los que afirman que has ganado un premio o un regalo y, para poder reclamarlo, debes seguir el enlace proporcionado. Este enlace suele dirigir a un sitio web falso que pide a la víctima ingresar información personal y/o pagar una pequeña tasa para poder reclamarlo.
Mensaje ejemplo smishing regalos y premios
  • Servicio de atención al cliente: tal y como hemos visto en los ejemplos anteriores, en este caso los atacantes se hacen pasar por agentes de soporte de marcas reconocidas para comunicar que se ha detectado un problema con tu dispositivo o cuenta, remitiéndote de nuevo a una web falsa para insertar información personal, o incluso te pueden pedir que descargues un software que en realidad es un malware.
Mensaje ejemplo smishing soporte y atención al cliente

Impacto del smishing en el entorno corporativo

Una de las consecuencias más obvias es la pérdida económica que puede producirse si finalmente algún empleado/a de tu empresa es engañado/a para revelar información financiera, como detalles de la cuenta bancaria o de la tarjeta de crédito.

Además, también debemos tener en cuenta las multas o sanciones que podría enfrentar la empresa por no llevar a cabo una protección adecuada de la información.

Otra consecuencia grave puede ser el proporcionar el acceso a los sistemas y redes empresariales al revelar datos de acceso, lo que puede provocar la pérdida o robo de información o permitir a los ciberdelincuentes instalar malware o ransomware en los sistemas que causen interrupciones operativas.

Además, la empresa también puede sufrir una gran pérdida de reputación, viéndose afectada la confianza de clientes y socios, que podrían llevar su negocio a otra organización.

Medidas para prevenir el smishing

Para protegerte del smishing y otras formas de fraude, te recomendamos seguir algunas medidas de seguridad:

  • Desconfía de los mensajes de remitentes desconocidos: si recibes un mensaje de texto de un remitente que no conoces, mantén la guardia alta y no compartas información personal o financiera.
  • Verifica el remitente: intenta verificar la autenticidad del remitente antes de responder a un mensaje de texto, especialmente si solicita información confidencial. Si se trata de una empresa con la que tienes relación, puedes verificar el número de teléfono comparándolo con el número oficial de contacto.
  • Nunca facilites la información solicitada en el mensaje: las instituciones legítimas nunca te solicitarán información personal o financiera a través de un mensaje de texto.
  • No pinches los enlaces: evita hacer clic en enlaces sospechosos, incluidos mensajes de texto, ya que podrían dirigirte a sitios web fraudulentos diseñados para robar información.
  • Bloque los mensajes de texto no deseados: utiliza la función de bloqueo de mensajes de texto en tu dispositivo para evitar recibir mensajes de spam o fraudulentos.
  • Evita guardar información confidencial sin cifrar en tu teléfono: si guardas información bancaria en tu dispositivo móvil, asegúrate de utilizar métodos de cifrados seguros para proteger tus datos.
  • Personaliza las opciones de seguridad: utiliza contraseñas seguras y activa la autenticación de dos factores en tus cuentas para agregar una capa de seguridad adicional.

¿Qué puedes hacer si eres víctima del smishing?

  1. Informa a tu banco: identifica la información que es posible que hayas revelado y, en caso de haber proporcionado detalles de tu tarjeta de crédito o cuenta bancaria, contacta con tu banco lo antes posible para informar sobre la situación. Ellos te podrán ayudar a monitorear tu cuenta para detectar actividad sospechosa y emitir nuevas tarjetas.
  2. Escanea tu móvil con un antivirus para detectar posibles amenazas como malware. Además, realizar un escaneo de seguridad puede ayudarte a evitar daños futuros.
  3. Cambia tus contraseñas: si has proporcionado datos de acceso, cambia tus contraseñas de forma inmediata. Asegúrate de hacerlo desde un dispositivo seguro y considerar habilitar la autenticación de dos factores.
  4. Denuncia el incidente: es importante informar del incidente a la empresa suplantada y a tu proveedor de telefonía, y denúncialo ante las autoridades competentes.

¿Cómo puede ayudar Lunia a tu empresa?

En Lunia estamos especializados en ofrecer servicios de ciberseguridad a las empresas. Abordamos de manera exhaustiva todas las amenazas digitales con auditorías específicas que nos permiten detectar vulnerabilidades y puntos de mejora. Nuestro compromiso es proteger tu negocio y brindarte la tranquilidad que te mereces.

Descubre más sobre nuestros servicios de ciberseguridad y asegura que tus datos estén protegidos ante posibles amenazas.