/ ¿Qué es el smishing (phishing por SMS)?
¿Qué es el smishing (phishing por SMS)?
El smishing es un tipo de ataque de ingeniería social que se lleva a cabo mediante mensajes de texto fraudulentos. Al igual que otros ataques de phishing, las estafas de smishing se aprovechan de la confianza o el miedo humanos para crear una sensación de urgencia y engañar a las víctimas para que divulguen información confidencial (por ejemplo, credenciales de inicio de sesión, números de tarjetas de crédito). El smishing es una táctica común utilizada en el robo de identidad.
¿Cómo funcionan los ataques de smishing?
Como todas las formas de phishing, los ataques de smishing exitosos logran dos cosas: ganarse la confianza de la víctima y luego explotarla para defraudarla con información privada o dinero. Entonces, ¿cómo lo hacen los estafadores?
Primero, veamos los vectores de ataque. El smishing, también llamado phishing por SMS, no tiene que realizarse a través de un mensaje de texto tipo SMS ni necesariamente en un dispositivo móvil. También puede aparecer en aplicaciones de mensajería, foros o plataformas de redes sociales, como Facebook, X (Twitter) o Reddit.
Los remitentes a menudo se hacen pasar por entidades que sus víctimas “conocen” de alguna manera; las instituciones financieras, los comercios minoristas, los jefes del trabajo y las agencias públicas son ejemplos comunes. Esto hace que las víctimas bajen la guardia y no piensen críticamente sobre lo que los atacantes les piden que hagan.
Los mensajes de smishing eficaces convencen a las víctimas de tomar medidas inmediatas. Generalmente, presentan a la víctima un resultado negativo que debe evitar (cierre de cuenta, una tarifa, acción disciplinaria, etc.) o uno positivo que reclamar (una recompensa, un envío, etc.). En cualquier caso, el mensaje solicita algo, como información privilegiada o un pago. Si la artimaña tiene éxito, el atacante se lleva su premio.
Recientemente, los “kits de phishing” preparados y las herramientas de inteligencia artificial generativa han facilitado que los malintencionados lancen ataques rápidamente.
¿Por qué los atacantes realizan estafas desmishing? La
mayoría de las estafas de smishing, al igual que otras estafas de phishing, tienen una motivación económica. Los ciberdelincuentes pueden ir directamente a por información financiera para robar el dinero de las víctimas, o pueden buscar información para venderla en el mercado negro, como datos personales valiosos o propiedad intelectual corporativa. Con menor frecuencia, algunas campañas de smishing intentan engañar a las víctimas para que descarguen programas maliciosos.
Los ataques de smishing también se benefician de una falta general de formación, educación y concienciación entre los objetivos, especialmente en relación con el phishing basado en el correo electrónico. Además, muchas menos soluciones de seguridad están diseñadas para detectar o bloquear el spam de smishing. Por si fuera poco, muchos servicios de voz sobre IP (VoIP) hacen que sea extremadamente fácil abusar del identificador de llamadas para mostrar números o nombres específicos.
También es fácil lanzar una red extensa con el smishing, lo que lo convierte en una apuesta fuerte para los posibles ciberdelincuentes. Con más de 4600 millones de usuarios de teléfonos inteligentes en 2023 y previsiones de más de 5000 millones para 2027 (Statista), las víctimas potenciales son efectivamente ilimitadas.
Tipos de ataques de smishing
Una de las razones por las que el smishing y otros tipos de ataques de phishing son tan astutos es que existen muchas maneras de armar un ataque de smishing. Veamos algunos de los enfoques y marcos habituales de los smishers.
Ejemplos de estafas de smishing
Veamos ahora algunos ejemplos de intentos reales de smishing, así como algunas de las señales de alerta que pueden ayudar a identificar los ciberataques.
Ejemplo 1: Smishing de paquetes de USPS
Este mensaje está lleno de señales de alerta que facilitan su identificación como smishing. Observe la falta de detalles específicos, como un nombre o la ubicación de un "almacén", el extraño espaciado y la extraña secuencia "7cng.vip" en la URL proporcionada.
Además, según el Servicio de Inspección Postal de Estados Unidos: "USPS no enviará a los clientes mensajes de texto o correos electrónicos sin que el cliente solicite primero el servicio con un número de seguimiento, y NO contendrá un enlace."
Ejemplo 2: Smishing de encuesta de Costco
Este texto de smishing es un poco más difícil de identificar, pero aún así tiene muchos signos reveladores. En primer lugar, Costco Wholesale Corporation no se refiere a sí misma como "CostcoUSA". Al igual que el mensaje falso de USPS, la redacción es un poco forzada y artificial. El signo más revelador de smishing es la URL, ya que las comunicaciones legítimas de Costco siempre proceden de un dominio de Costco.
Los smishers pueden ser extremadamente astutos, pero si sabe en qué fijarse, a menudo hay señales sutiles y no tan sutiles que permiten detectar sus intentos.
Cómo defenderse de los ataques de Smishing
El smishing es difícil de evitar por completo, pero, afortunadamente, existen muchas formas eficaces de defenderse de él antes de que pueda hacerle daño:
Qué debe hacer si es víctima de Smishing
Si se da cuenta, o incluso tiene serias sospechas, de que ha sido víctima de smishing, aún puede actuar para limitar los daños de un ataque exitoso.
- Denuncie el ataque a las autoridades competentes. La mayoría de los bancos disponen de sólidos marcos de gestión del fraude e incluso pueden ayudarle a recuperar los fondos perdidos. En el caso de un fraude más grave o de un robo de identidad, puede considerar presentar una denuncia policial o ponerse en contacto con una agencia gubernamental como la Oficina Federal de Investigación (FBI) o la Comisión Federal de Comercio (FTC)
- . Actualice las credenciales comprometidas. Si un atacante tiene los datos de su cuenta, no se sabe cuándo los utilizará. Cambie inmediatamente las contraseñas, PIN y similares afectados. Si recibe un correo electrónico legítimo confirmando un cambio de contraseña que usted no solicitó, póngase en contacto con el remitente de inmediato. Esté atento a cualquier
- actividad maliciosa. Una vez que haya hecho lo anterior, esté atento a indicios de nuevos compromisos en las áreas afectadas. Puede solicitar que se coloquen alertas de fraude en muchas cuentas para ayudar a identificar actividades sospechosas.
Protección contra ataques de Smishing de Zscaler
Debido a que se basa en explotar la naturaleza humana para tener éxito, el compromiso del usuario es uno de los desafíos de seguridad más difíciles de superar. Para detectar las violaciones activas y minimizar el daño que pueden causar las violaciones exitosas, necesita implementar controles eficaces de prevención de phishing como parte de una estrategia Zero Trust más amplia.
La plataforma Zscaler Zero Trust Exchange™, construida sobre una arquitectura Zero Trust integral para minimizar la superficie de ataque, prevenir el compromiso, eliminar el movimiento lateral y detener la pérdida de datos, protege contra los ataques de smishing y otras ciberamenazas al: Prevenir el
- compromiso: Funciones como la inspección TLS/SSL completa, el aislamiento del navegador, el filtrado de URL y la detección de sitios de phishing (incluidos los enlaces en SMS y en dispositivos móviles), el control de acceso basado en políticas y la inteligencia de amenazas en tiempo real