Tu amigo te envía un mensaje de texto a medianoche diciendo que necesita que rellenes un formulario con urgencia. Lo haces.
En cuanto introduces tus datos, al día siguiente ya no vuelves a saber nada de él. Más tarde, descubres que tu cuenta ha sido pirateada y no puedes iniciar sesión. El remitente de ese mensaje no era tu amigo esa noche, solo se hizo pasar por él y tú nunca lo sospechaste. Así ocurre en muchos ataques de smishing. Estos mensajes están disfrazados de forma inteligente y, a menudo, parecen demasiado inocentes.
El phishing utiliza la misma táctica, excepto que se realiza a través del correo electrónico, foros o la web. El atacante convence al destinatario para que haga clic en enlaces maliciosos e intenta atraerlo. Estos correos electrónicos parecen demasiado legítimos, pero no provienen de fuentes reconocidas.
Afortunadamente, te diremos cómo evitar caer en sus tácticas. En esta guía, desmitificaremos todo lo que necesita saber sobre el smishing frente al phishing y exploraremos detalles adicionales.
¿Qué es el smishing?
Las llamadas y los mensajes de texto no deseados han aumentado a lo largo de los años. Los delincuentes utilizan enlaces maliciosos para comprometer a las víctimas, atraer a los usuarios e intentar que revelen información confidencial. Los mensajes de texto son instantáneos y los usuarios que están realmente ocupados se olvidan de verificar la identidad de los destinatarios o de comprobar el historial de mensajes, por lo que caen en sus trampas en cuestión de segundos. Los hackers pueden suplantar la identidad de funcionarios o entidades legales para que sus mensajes parezcan legítimos y, como resultado, comprometer la identidad de las víctimas. Pueden utilizar números locales para enviar mensajes de texto auténticos y las víctimas no sospecharán de ellos. Algunos hackers incluso envían mensajes de smishing desde números desconocidos, ¡y se envían más de mil millones de mensajes no deseados cada minuto!
¿Cómo funciona el smishing?
El smishing es el phishing por SMS y así es como funciona. Imagina que recibes un mensaje que dice que debes restablecer la contraseña de tu cuenta de PayPal pronto. O que no puedes acceder a tu cuenta y necesitas verificar tu identidad. Recibes un mensaje de texto que te pide que hagas clic en un enlace para resolver el problema y te indica que debes seguir las instrucciones del mensaje.
La mayoría de los usuarios de móviles no saben cómo funciona el phishing porque no pueden determinar la autenticidad de estos mensajes.
¿Qué es el phishing?
El phishing es un tipo de ciberataque en el que el atacante envía un correo electrónico y se hace pasar por una entidad oficial. Puede manipular emocionalmente a la víctima, infundirle un sentido de urgencia o engañarla psicológicamente para que revele información confidencial. Lo que da miedo del phishing es que, a veces, las víctimas no pueden detectar estos correos electrónicos falsos y asumen que son auténticos. Pueden verse tentadas a realizar acciones como descargar enlaces maliciosos, responder a solicitudes fraudulentas o compartir información confidencial.
¿Cómo funciona el phishing?
El esquema clásico de phishing consiste en enviar correos electrónicos masivos a grupos u organizaciones. El spear phishing es más específico, ya que el atacante se dirige a entidades concretas dentro de la empresa. Por ejemplo, se puede suplantar la identidad de un ejecutivo de una empresa. El ciberdelincuente puede hacerse pasar por él e intentar ponerse en contacto con los empleados. Los nuevos empleados que no son conscientes de ello suelen caer en la trampa de estos correos electrónicos y acaban interactuando con el ciberdelincuente sin conocer ni verificar su verdadera identidad.
Las tácticas de phishing evolucionan con el tiempo, lo que significa que el atacante puede eludir los filtros de correo electrónico y las medidas de seguridad tradicionales. Pueden eludir los escáneres de seguridad críticos, piratear la organización, escalar privilegios y provocar violaciones de datos. Y todo lo que se necesita es un simple correo electrónico. Algunos correos electrónicos también pueden incluir notas de voz o pedir a la víctima que interactúe con ellos a través de notas de voz o enlaces de transmisión en directo. Los ciberdelincuentes pueden utilizar deep fakes de IA y llevar sus tácticas de suplantación de identidad al siguiente nivel de esta manera.
3 diferencias fundamentales entre el smishing y el phishing
Hay una diferencia entre el phishing y el smishing. Uno utiliza mensajes telefónicos y el otro utiliza canales de comunicación por correo electrónico para dirigirse a los usuarios. Ambos operan con la misma mentalidad: sacudir al usuario con interacciones cargadas de emoción y conseguir que divulgue información crítica.
Si puede evitar que le afecten las tácticas de smishing y phishing y aprende a ignorarlas, estará muy por delante. Estas son algunas diferencias fundamentales entre el phishing y el smishing:
#1. Dispositivos objetivo
Los ataques de phishing pueden dirigirse a ordenadores portátiles, sistemas de red, infraestructura móvil, tabletas y otros dispositivos electrónicos. El smishing se limita únicamente a teléfonos móviles o smartphones. Sin embargo, el smishing está evolucionando, ya que los adversarios utilizan aplicaciones de mensajería como Telegram, Discord y Slack para dirigirse a los usuarios de móviles.
#2. Enlaces y archivos adjuntos
Los enlaces de smishing pueden redirigir al usuario a una línea operativa o pedirle que llame al atacante para hablar con él. El phishing simplemente redirige a los usuarios a un sitio web falso o les pide que rellenen formularios web y envíen sus datos personales. Los correos electrónicos de phishing suelen contener archivos adjuntos maliciosos, mientras que los mensajes de smishing contienen enlaces maliciosos y números de teléfono.
#3. Métodos de comunicación
El smishing utiliza mensajes de texto en teléfonos móviles. El phishing se dirige a cualquier ordenador o dispositivo que tenga acceso a clientes de correo electrónico.
Smishing frente a phishing: diferencias clave
El smishing y el phishing tienen métodos de entrega diferentes, pero sus objetivos de ataque son similares. Ambos pretenden obtener acceso no autorizado a datos y recursos confidenciales. Los ataques de smishing utilizan mensajes de texto para infundir una sensación de urgencia o para que se tomen medidas inmediatas. El phishing se produce principalmente a través del correo electrónico o compartiendo sitios web fraudulentos. El atacante puede llevar a cabo un reconocimiento suficiente y perfilar a sus víctimas durante meses antes de lanzar un ataque de spear phishing.
Estas son las diferencias clave entre el smishing y el phishing:
| Smishing | Phishing |
|---|---|
| Los mensajes de texto de smishing pueden ser marcados por el filtro de spam de su teléfono o acabar en la bandeja de correo no deseado. | Los correos electrónicos de phishing pueden evadir la detección humana y los filtros de spam. |
| Los atacantes suelen dirigirse a teléfonos móviles, smartphones, dispositivos móviles y cualquier medio de comunicación electrónico que utilice mensajes de texto SMS. | Los atacantes atraen a sus víctimas únicamente a través de canales de comunicación por correo electrónico. |
| Estas estafas pueden adoptar la forma de loterías falsas, estafas financieras o mensajes de emergencia. | Los estafadores pueden enviar enlaces a sitios web o formularios web maliciosos y pedir a la víctima que los visite. |
| El objetivo de un ataque de smishing es robar información de identificación personal y distribuir malware | Los ataques de phishing roban credenciales corporativas o intentan hacerse con el control de cuentas a un nivel más profundo dentro de la organización. |
5 formas de evitar o eliminar los ataques de smishing y phishing
Ahora que ya conoce las diferentes formas en que funcionan el smishing y el phishing, puede tomar medidas para evitar ser víctima de ellos. Aquí tienes cinco formas de evitar o eliminar los ataques de phishing y smishing:
- Mantente alerta y sé escéptico – No respondas a correos electrónicos desconocidos. Manténgase alerta cuando interactúe con alguien en línea. Verifique la identidad del remitente antes de revelar cualquier información personal o números de teléfono. No haga clic en ningún enlace ni archivo adjunto.
- Implemente la autenticación multifactorial (MFA) – Añada una capa adicional de seguridad a todos sus dispositivos implementando la autenticación multifactorial. Es mejor que la autenticación de dos factores y evitará que los ciberdelincuentes se apoderen de su hardware físico en caso de que tengan acceso a las instalaciones.
- Forme a sus empleados – No basta con instalar el último software antivirus o soluciones de supervisión de spyware. Los atacantes no se dirigen a la tecnología, sino a las personas que la utilizan. Cree una cultura de concienciación sobre la ciberseguridad dentro de su organización y forme a sus empleados en diversas estrategias de ingeniería social. Indíqueles a qué deben prestar atención y cómo detectar comportamientos sospechosos en Internet.
- Aplique parches y actualizaciones con regularidad – Es muy importante aplicar parches y actualizar con regularidad sus sistemas de software y hardware. Instale las últimas actualizaciones para sus dispositivos móviles, firmware y aplicaciones. Esto ayudará a prevenir posibles errores o vulnerabilidades ocultas que los atacantes podrían explotar si las encuentran.
- Utilice soluciones de supervisión de amenazas – Puede utilizar cualquier herramienta contra el smishing o solución tecnológica antiphishing para prevenir los ataques de smishing y phishing. No son infalibles, pero reducirán drásticamente los riesgos al detectar y filtrar las amenazas. La cantidad de supervisión manual que necesitará será mucho menor.
¿Por qué las organizaciones deben protegerse de las estafas de smishing y phishing?
El nivel de concienciación global sobre las estafas de phishing y smishing es muy bajo. Según el informe State of the Phish, solo el 22 % de los usuarios afirma conocer estas prácticas maliciosas. El desconocimiento de las tácticas de smishing y phishing puede perjudicar su ciberresiliencia. Muchos usuarios no comprenden las limitaciones técnicas de las medidas de seguridad a la hora de identificar y prevenir automáticamente los incidentes relacionados con el malware.
Algunas víctimas dejan sus dispositivos abiertos y muchos usuarios no optan por bloqueos biométricos o códigos PIN de cuatro dígitos. Conectarse a redes WiFi públicas no seguras y transmitir datos corporativos a través de ellas puede presentar numerosos riesgos de seguridad y problemas de privacidad de los datos. Las redes nunca están absolutamente protegidas y los ciberdelincuentes pueden interceptar los canales de comunicación o estudiar a sus víctimas de forma encubierta.
El uso de teléfonos inteligentes y dispositivos electrónicos es algo natural para los trabajadores más jóvenes. Y, a diferencia de los millennials, no todos ellos conocen las mejores prácticas de ciberseguridad. La automatización de la seguridad es buena, pero la ingeniería social puede penetrar en ella. Los mensajes de texto entrantes en los teléfonos móviles no cuentan con los sistemas de autenticación tradicionales ni con filtros de spam. Y cuando estos mensajes mezclan información empresarial con información personal, difuminan el elemento de sospecha.Los usuarios de móviles reciben cientos de mensajes de texto cada día y puede resultar difícil determinar cómo los actores maliciosos pueden aprovechar las oportunidades para robar su información.
Ciberseguridad impulsada por la IA
Mejore su postura de seguridad con detección en tiempo real, respuesta a velocidad de máquina y visibilidad total de todo su entorno digital.
DemostraciónConclusión
También puede buscar un aumento o disminución repentina en los mensajes SMS entrantes o salientes para determinar si está siendo blanco de amenazas de smishing. Supervise las pasarelas SMS en busca de posibles anomalías e instale mecanismos antisuplantación para proteger sus canales de mensajería móvil.
Evite dejarse llevar por las emociones y no reaccione de forma impulsiva ante correos electrónicos amenazantes o mensajes que parezcan urgentes. Tómese su tiempo, relájese y no se deje intimidar. Tómese su tiempo y utilice el sentido común al compartir o manejar información confidencial.
También puede realizar simulaciones de phishing en su infraestructura para ver la probabilidad de ser objeto de ataques. Consulte con su departamento de RR. HH. antes de hacerlo. Anime a sus empleados a informar de los incidentes de phishing y haga que se sientan lo suficientemente cómodos como para compartirlos. Otro buen consejo es permitirles informar de forma anónima. Esperamos que nuestra guía le ayude a comprender las diferencias entre el smishing y el phishing. Puede ponerse en contacto con SentinelOne para obtener ayuda adicional.
FAQs
Tanto el smishing como el phishing son muy conocidos y pueden poner en riesgo su información personal y financiera. Es igualmente importante incorporar medidas de seguridad para luchar contra las amenazas del smishing y el phishing.
Puede comprobar la configuración de SMS de su teléfono y activar el filtro de spam. Bloquee cualquier número desconocido o sospechoso que intente ponerse en contacto con usted. Active el filtro para bloquear automáticamente los mensajes de remitentes desconocidos. Casi siempre está disponible en todos los teléfonos de forma predeterminada.
Si el remitente utiliza un dominio público como Gmail, es bastante obvio que se trata de un correo electrónico de phishing. La mayoría de las empresas tienen su dominio oficial. Otra señal clara es si el nombre de dominio está mal escrito. Por ejemplo, sentinl1.com en lugar de sentinelone.com
Si el correo electrónico contiene errores gramaticales o ortográficos, o menciona fechas o lugares incorrectos, y otros errores en detalles que solo usted o sus empleados conocen desde dentro, también son señales claras.
Muchos navegadores web tienen funciones de seguridad integradas que advierten a los usuarios sobre posibles correos electrónicos de phishing. Existen extensiones gratuitas para navegadores que pueden filtrar los correos electrónicos de phishing hasta cierto punto. SentinelOne Singularity™ Platform es una solución completa que protegerá sus dispositivos móviles, servidores, terminales, nubes, identidades y usuarios de diversos esquemas de phishing y suplantación de identidad. Es totalmente escalable y personalizable, pero no es gratuita debido a sus funciones avanzadas.
