El smishing es un ataque que se emplea para robar credenciales de cuentas bancarias o descargar programas maliciosos en los móviles de ciudadanos y empresas
5 claves sobre el smishing
¿Te ha llegado alguna vez un sms procedente, teóricamente, de tu banco en el que te alertan de algún problema con tu cuenta y te piden que cliques en un enlace? Seguramente se trataba de un caso de smishing.
Esta técnica de ingeniería social es una derivación del phishing en la que cambia el medio empleado. Si en el phishing se usan correos electrónicos falsos y maliciosos, en el smishing los delincuentes emplean mensajes sms.
Mediante el smishing, los malos suplantan la identidad de empresas de confianza para las víctimas, como entidades bancarias, compañías de telecomunicaciones o empresas de energía, y les envían un mensaje falso, incitándolas a que hagan clic en un enlace que:
- Ejecute la descarga de un malware que permita espiar el móvil de la víctima, acceder a apps móviles críticas como las bancarias, u obtener contraseñas e información privada.
- Las redireccione a una página web que también simula ser real en la que introduzcan datos personales y contraseñas para acceder, por ejemplo, a sus cuentas bancarias online y así:
- Apoderarse de sus cuentas en toda clase de servicios: bancos, gestores de correos, redes sociales…
- Emplear la información para emitir cargos a las cuentas bancarias de las víctimas.
- Usar los datos personales extraídos para cometer fraudes financieros suplantando la identidad de las víctimas.
A continuación, vamos a responder a las preguntas claves sobre el smishing para ayudarte a prevenir y detectar estos ataques y evitar que te causen graves problemas a ti o a tu empresa.
¿Qué hacen los malos para intentar engañarnos?
Telefónica, Santander o Iberdrola han protagonizado los ciberataques más importantes en España en 2024, no tanto por su gravedad, sino por el número de posibles afectados y por tratarse de algunas de las compañías de mayor envergadura de nuestro país. Estos incidentes se saldaron con el robo de datos de contacto de trabajadores y/o clientes.
Estos ataques nos permiten abordar la primera acción que llevan a cabo los delincuentes que desean lanzar una campaña de smishing: conseguir los números de teléfono de sus víctimas.
De hecho, desde las asociaciones de consumidores se avisó a ciudadanos y empresas de que las campañas de smishing se recrudecerían como consecuencia de estos incidentes de seguridad.
¿Qué otras actividades han de llevar a cabo los criminales para que sus campañas de smishing sean capaces de engañar a las personas?
- Elaborar un mensaje creíble, tanto en su contenido, como en su forma. Cuando el sms aterriza en el móvil de las víctimas debe parecer 100% real. Además, los delincuentes dotan a los mensajes de una sensación de urgencia para que las víctimas pinchen en el enlace malicioso.
- Desarrollar o adquirir malware para infectar los teléfonos móviles.
- Diseñar páginas web falsas cuya apariencia sea idéntica a la de las páginas que se desean suplantar. Generalmente, se tratan páginas de login a cuentas bancarias online, gestores de correo electrónico o redes sociales.
- Una vez que logren infectar el móvil o lograr las credenciales de las víctimas, podrán cumplir sus objetivos delictivos.
¿Por qué resulta cada vez más difícil detectar los ataques de smishing?
El smishing no es una práctica criminal nueva. En los últimos años han ido proliferando esta clase de campañas. De hecho, es posible que en tan solo un año hayas recibido decenas de sms maliciosos.
Sin embargo, en los últimos meses sí se ha podido constatar su perfeccionamiento, hasta el punto de que ya resulta difícil discernir la veracidad de un sms incluso para las personas que están concienciadas sobre la peligrosidad del smishing. ¿Por qué?
- La irrupción de la Inteligencia Artificial generativa. El uso de sistemas de IA, como el archiconocido ChatGPT, ha posibilitado que los delincuentes puedan escribir textos, diseñar código y desarrollar páginas falsas con mayor facilidad, en menos tiempo y con más exactitud.
- La aparición de plataformas delictivas que ofrecen kits para lanzar ataques de smishing a cambio del pago de una suscripción. Gracias a este modelo criminal, personas sin conocimientos ni recursos pueden poner en marcha campañas de smishing. De hecho, algunas plataformas ofrecen paquetes específicos para suplantar a compañías concretas, como los principales bancos del mundo o multinacionales del retail.
¿Qué puede suceder si eres víctima del smishing?
¿Por qué es tan peligroso el smishing? A través de esta práctica maliciosa, los delincuentes pueden obtener acceso a un dispositivo crítico de nuestro día a día y que contiene en su interior información de enorme valor sobre nuestra vida privada y nuestros negocios: el teléfono móvil.
Por otro lado, las campañas de smishing que no provocan la ejecución de código malicioso en un dispositivo móvil, también sirven para obtener datos de vital importancia que propicien algunas de las siguientes consecuencias:
- Sufrir una pérdida de datos privados, profesionales y empresariales. Por ejemplo, si mediante el smishing un delincuente accede al email de un directivo de una empresa puede conseguir información confidencial de primer nivel.
- Ser víctima de un fraude bancario que causa miles de euros en pérdidas.
- Que se suplante la identidad de la víctima para cometer fraudes económicos como abrir cuentas bancarias a su nombre y solicitar crédito.
- Que se exija un rescate a cambio de recuperar el control sobre cuentas corporativas o la devolución de los datos sustraídos.
- Que se llegue a exfiltrar públicamente información privada o datos de clientes.
- Que se emplee los datos obtenidos para lanzar futuros ataques más dañinos.
¿Cuáles son los objetivos preponderantes de los ataques de smishing?
Muchas campañas de smishing emplean una estrategia de difusión propia de la pesca de arrastre. Es decir, se envían sms falsos a cientos de miles de personas, esperando que alguna de ellas pique.
Sin embargo, también existen ataques de smishing específicos que definen muy bien a sus targets: directivos y profesionales de empresas.
¿Por qué son tan interesantes este tipo de víctimas? Tienen acceso a cuentas bancarias corporativas, software empresariales, listas de clientes, etc.
De tal forma que la información que se puede obtener mediante el smishing puede resultar más valiosa para cometer otros ataques o para obtener beneficios económicos directos, por ejemplo, mediante la extorsión o la venta de información a la competencia.
¿Cómo se pueden proteger empresas y ciudadanos frente a las campañas de smishing?
En el caso de las empresas, es fundamental que se sometan periódicamente a test de ingeniería social. Estas pruebas de ciberseguridad sirven para:
- Analizar la capacidad de una empresa y su plantilla de resistir a ataques de ingeniería social como las campañas de smishing.
- Entrenar a los profesionales para que no sean víctimas de estos ataques.
- Concienciar a toda la plantilla, comenzando por los directivos, de los riesgos asociados a la ingeniería social.
Mientras que los ciudadanos de a pie deben encomendarse a un remedio que es útil para múltiples cuestiones de nuestro día a día: el sentido común. Antes de hacer clic en un sms es imprescindible:
- Comprobar que el contacto desde el que se envía y el contenido del mensaje es coherente con las comunicaciones habituales de la empresa que, teóricamente, lo envía.
- Leer el mensaje un par de veces para dilucidar si resulta lógico o si, en cambio, alerta sobre una situación que no tiene sentido.
- Observar la URL del sms para constatar si es coherente con los enlaces web de la empresa.
En caso de que, tras realizar estas comprobaciones, se sigan teniendo dudas, es recomendable llamar a atención del cliente de la empresa que envía el sms para comprobar de primera mano si la comunicación es real o en cambio, se trata de un ataque de smishing.