¿Qué es el smishing (phishing por SMS)?

¿Cómo funcionan los ataques de smishing?

Como todas las formas de phishing, los ataques de smishing exitosos logran dos cosas: ganarse la confianza de la víctima y luego explotarla para defraudarla con información privada o dinero. Entonces, ¿cómo lo hacen los estafadores?

Primero, veamos los vectores de ataque. El smishing, también llamado phishing por SMS, no tiene que realizarse a través de un mensaje de texto tipo SMS ni necesariamente en un dispositivo móvil. También puede aparecer en aplicaciones de mensajería, foros o plataformas de redes sociales, como Facebook, X (Twitter) o Reddit.

Los remitentes a menudo se hacen pasar por entidades que sus víctimas “conocen” de alguna manera; las instituciones financieras, los comercios minoristas, los jefes del trabajo y las agencias públicas son ejemplos comunes. Esto hace que las víctimas bajen la guardia y no piensen críticamente sobre lo que los atacantes les piden que hagan.

Los mensajes de smishing eficaces convencen a las víctimas de tomar medidas inmediatas. Generalmente, presentan a la víctima un resultado negativo que debe evitar (cierre de cuenta, una tarifa, acción disciplinaria, etc.) o uno positivo que reclamar (una recompensa, un envío, etc.). En cualquier caso, el mensaje solicita algo, como información privilegiada o un pago. Si la artimaña tiene éxito, el atacante se lleva su premio.

Recientemente, los “kits de phishing” preparados y las herramientas de inteligencia artificial generativa han facilitado que los malintencionados lancen ataques rápidamente.

¿Por qué los atacantes realizan estafas de

smishing? La

mayoría de las estafas de smishing, al igual que otras estafas de phishing, tienen una motivación económica. Los ciberdelincuentes pueden ir directamente a por información financiera para robar el dinero de las víctimas, o pueden buscar información para venderla en el mercado negro, como datos personales valiosos o propiedad intelectual corporativa. Con menor frecuencia, algunas campañas de

smishing intentan engañar a las víctimas para que descarguen programas maliciosos.

Los ataques de smishing también se benefician de una falta general de formación, educación y concienciación entre los objetivos, especialmente en relación con el phishing basado en el correo electrónico. Además, muchas menos soluciones de seguridad están diseñadas para detectar o bloquear el spam de smishing. Por si fuera poco, muchos servicios de voz sobre IP (VoIP) hacen que sea extremadamente fácil abusar del identificador de llamadas

para mostrar números o nombres específicos.

También es fácil lanzar una red extensa con el smishing, lo que lo convierte en una apuesta fuerte para los posibles ciberdelincuentes. Con más de 4600 millones de usuarios de teléfonos inteligentes en 2023 y previsiones de más de 5000 millones para 2027 (Statista), las víctimas potenciales son efectivamente ilimitadas.

Tipos de ataques de smishing

Una de las razones por las que el smishing y otros tipos de ataques de phishing son tan astutos es que existen muchas maneras de armar un ataque de smishing. Veamos algunos de los enfoques y marcos habituales de los smishers.

• Las estafas de premios y paquetes
se aprovechan de la emoción de las víctimas por algo que se les hace creer que han ganado (una tarjeta regalo, dinero de la lotería, etc.) o un pedido por el que están esperando. Los atacantes suelen hacerse pasar por una gran empresa minorista o de entrega de paquetes, como Amazon, Costco, FedEx o UPS, y solicitan una corrección de la dirección, información sobre la tarjeta de crédito, una tarifa de envío o algo similar. Normalmente, dirigen a las víctimas a un enlace malicioso diseñado para ayudar a robar esa información.

Ejemplos de estafas de smishing

Veamos ahora algunos ejemplos de intentos reales de smishing, así como algunas de las señales de alerta que pueden ayudar a identificar los ciberataques.

Ejemplo 1: Smishing de paquetes de USPS

Este mensaje está lleno de señales de alerta que facilitan su identificación como smishing. Observe la falta de detalles específicos, como un nombre o la ubicación de un "almacén", el extraño espaciado y la extraña secuencia "7cng.vip" en la URL proporcionada. 

Además, según el Servicio de Inspección Postal de Estados Unidos: "USPS no enviará a los clientes mensajes de texto o correos electrónicos sin que el cliente solicite primero el servicio con un número de seguimiento, y NO contendrá un enlace."

Ejemplo 2: Smishing de encuesta de Costco

Este texto de smishing es un poco más difícil de identificar, pero aún así tiene muchos signos reveladores. En primer lugar, Costco Wholesale Corporation no se refiere a sí misma como "CostcoUSA". Al igual que el mensaje falso de USPS, la redacción es un poco forzada y artificial. El signo más revelador de smishing es la URL, ya que las comunicaciones legítimas de Costco siempre proceden de un dominio de Costco.

Los smishers pueden ser extremadamente astutos, pero si sabe en qué fijarse, a menudo hay señales sutiles y no tan sutiles que permiten detectar sus intentos.

Cómo defenderse de los ataques de Smishing

El smishing es difícil de evitar por completo, pero, afortunadamente, existen muchas formas eficaces de defenderse de él antes de que pueda hacerle daño:

• Ignórelo: Si recibe un mensaje de smishing, lo único que tiene que hacer es no hacer nada. Una vez que haya determinado que el mensaje que ha recibido no es legítimo, puede simplemente borrarlo sin más. El smishing no funciona si la víctima no muerde el anzuelo.
• Piense de manera crítica: Una de las mejores maneras de identificar un intento de smishing es detenerse y pensar , justo lo que los atacantes esperan que las víctimas no hagan. Si recibe un mensaje de texto sospechoso, tómese
un respiro y considere las circunstancias. ¿Esperaba recibir un mensaje del supuesto remitente? ¿Se identificó claramente el remitente? ¿Es razonable la petición? Busque señales de alerta
• : Examine los detalles.
¿El mensaje provenía de un número de teléfono sospechosamente similar al suyo? Si es así, podría indicar una "suplantación de vecino". ¿Contiene direcciones de correo electrónico o enlaces? Asegúrese de que coinciden con la información de contacto real o los canales oficiales que espera del remitente. ¿Hay detalles vagos o errores? La mayoría de los mensajes comerciales legítimos se revisan cuidadosamente para detectar errores.

Qué debe hacer si es víctima de Smishing

Si se da cuenta, o incluso tiene serias sospechas, de que ha sido víctima de smishing, aún puede actuar para limitar los daños de un ataque exitoso.

1. Denuncie el ataque a las autoridades competentes.
La mayoría de los bancos disponen de sólidos marcos de gestión del fraude e incluso pueden ayudarle a recuperar los fondos perdidos. En el caso de un fraude más grave o de un robo de identidad, puede considerar presentar una denuncia policial o ponerse en contacto con una agencia gubernamental como la Oficina Federal de Investigación (FBI) o la Comisión Federal de Comercio (FTC)
2. . Actualice las credenciales comprometidas. Si un atacante tiene los datos de su cuenta, no se sabe cuándo los utilizará. Cambie inmediatamente las contraseñas, PIN y similares afectados. Si recibe un correo electrónico legítimo confirmando un cambio de contraseña que usted no solicitó, póngase en contacto con el remitente de inmediato. Esté atento a
cualquier
3. actividad maliciosa. Una vez que haya hecho lo anterior, esté atento a indicios de nuevos compromisos en las áreas afectadas. Puede solicitar que se coloquen alertas de fraude en muchas cuentas para ayudar a identificar actividades sospechosas.

Protección contra ataques de Smishing de Zscaler

Debido a que se basa en explotar la naturaleza humana para tener éxito, el compromiso del usuario es uno de los desafíos de seguridad más difíciles de superar. Para detectar las violaciones activas y minimizar el daño que pueden causar las violaciones exitosas, necesita implementar controles eficaces de prevención de phishing como parte de una estrategia Zero Trust más amplia.