¿Qué es el smishing (phishing por SMS)? Ejemplos y tácticas

El smishing se engloba dentro del término más amplio de phishing por SMS, ya que los estafadores pueden utilizar un servicio de mensajes cortos para engañar a sus víctimas con el fin de obtener acceso a información personal, como contraseñas, dinero o incluso cuentas bancarias. Crean mensajes que parecen provenir de instituciones de renombre, como bancos, departamentos gubernamentales u otras empresas de renombre. Según la Comisión Federal de Comercio (FTC), la suplantación de identidad bancaria es la estafa más común en los mensajes de texto, y representa el 10 % de todos los mensajes de smishing.

El objetivo principal de enviar mensajes de smishing es engañar al destinatario para que haga clic en enlaces maliciosos, revele información privada a través de una respuesta o descargue malware u otro contenido malicioso. Aunque el mensaje parece legítimo, se crea con el motivo oculto de obtener beneficios económicos a costa de víctimas desprevenidas. La verdadera razón por la que los ciberdelincuentes utilizan cada vez más el smishing para sus ataques es que los teléfonos móviles se han convertido en un complemento casi imprescindible de la vida cotidiana y los usuarios tienden a creer más en un mensaje de texto que en un correo electrónico.

En este artículo, analizaremos el smishing en detalle: cómo funciona, cómo reconocer las señales de alerta y cuál es la diferencia entre el smishing y el phishing tradicional. Además, analizaremos el impacto que el smishing tiene en las empresas, ya que los ataques pueden incluso culminar en el compromiso de las credenciales de los empleados o en violaciones de datos a gran escala. Además, le revelaremos cómo los ciberdelincuentes llevan a cabo un ataque de smishing, principalmente mediante tácticas de suplantación de identidad y urgencia para engañar a la víctima.

¿Qué es el smishing (phishing por SMS)?

El smishing es phishing dirigido específicamente a teléfonos móviles y mensajes SMS/de texto. En este tipo de ataque, se envían mensajes maliciosos a teléfonos móviles, similares a los mensajes enviados por sitios legítimos como bancos, tiendas o agencias gubernamentales. En estos casos, el objetivo del atacante es que la víctima haga clic en un enlace malicioso o rellene un formulario con información confidencial a través de un mensaje de texto.

Este tipo de estafas pueden dar lugar al robo de identidad, al acceso no autorizado a cuentas personales o corporativas y al fraude financiero. Con la creciente necesidad de comunicación móvil, el smishing también se ha convertido en uno de los canales más utilizados por los ciberdelincuentes que se dirigen a usuarios inocentes.

Señales comunes del smishing

Los mensajes de smishing parecen provenir de una fuente auténtica; a menudo provienen de organizaciones en las que usted confía mucho. Sin embargo, hay señales que pueden indicar que se trata de smishing. Estos son algunos de los signos comunes:

• Mensajes que le solicitan que haga algo con urgencia, como bloquear una cuenta bancaria o no pagar algo.
• Recibes un enlace sospechoso que te pide que inicies sesión en tu cuenta o actualices algunos de tus datos.
• Solicitudes de su contraseña, número de tarjeta de crédito o número de la Seguridad Social.
• Ortografía y puntuación deficientes. Esto podría indicar que el remitente es un estafador.
• Un número de teléfono que no parece legítimo ni profesional.

Diferencia entre smishing y phishing

El smishing se diferencia de los ataques de phishing en el medio utilizado para llevar a cabo el ataque. Mientras que los ataques de phishing típicos suelen producirse a través del correo electrónico, el smishing se produce a través de mensajes SMS. Los ciberdelincuentes utilizan una o ambas tácticas para suplantar a organizaciones legítimas y aprovecharse de la confianza de los usuarios en las comunicaciones cotidianas.

Aunque el objetivo de ambos tipos de ataques es obtener información, los métodos utilizados para ello y sus estrategias pueden ser muy diferentes. Sin embargo, es muy importante comprender cada uno de estos enfoques para poder identificar los ataques y protegerse contra ellos de manera eficaz.

• Phishing: Phishing Suele producirse en forma de correos electrónicos, en los que los atacantes envían mensajes falsos que aparentan provenir de diferentes fuentes fiables, como bancos, minoristas en línea o incluso organismos gubernamentales. A menudo, suelen contener una llamada a la acción incrustada, como hacer clic en un enlace para actualizar su cuenta, descargar un archivo adjunto o rellenar sus datos personales. Los correos electrónicos de phishing pueden dirigirle a sitios web fraudulentos que roban sus credenciales de inicio de sesión o descargan malware en su dispositivo informático. Con el paso de los años, la gente se ha vuelto más consciente de los correos electrónicos de phishing, por lo que ahora son más fáciles de detectar gracias a la mejora de los filtros de correo electrónico y los programas de concienciación sobre ciberseguridad.
• Smishing: El smishing (phishing por SMS) se produce a través de mensajes de texto en teléfonos móviles. Estos mensajes aparecerán en los teléfonos personales y, por lo tanto, darán una mayor sensación de urgencia y se enviarán con un nivel de sinceridad que los correos electrónicos de phishing no tienen. Dado que se utilizan principalmente para una comunicación rápida y directa, es posible que los usuarios no sospechen y probablemente crean el mensaje o actúen de inmediato. Los mensajes de smishing pueden incitarle a hacer clic en el enlace, responder con información personal o llamar a un número.

Impacto del smishing en las empresas

Los ataques de smishing exitosos provocarán pérdidas extremas a una organización, como violaciones de datos y la interrupción de las operaciones. Este tipo de ataques suponen un problema no solo para el empleado individual, sino también para todas las redes que podrían sufrir pérdidas económicas y de reputación.

Estos son algunos de los riesgos que el smishing supone para las empresas:

• Pérdida de datos confidenciales: Los ataques de smishing pueden dar lugar al robo de credenciales confidenciales de los empleados o de datos corporativos críticos. Los atacantes suelen emplear mensajes engañosos para obtener de los empleados información de inicio de sesión, datos de cuentas u otra información confidencial. Una vez que han obtenido acceso mediante esas credenciales, los atacantes maliciosos pueden penetrar en el sistema de la empresa, robar información privada o utilizarla para lanzar un ciberataque mucho más elaborado. Para las empresas que manejan datos confidenciales de clientes o propiedad intelectual, las violaciones de este tipo pueden ser devastadoras y acarrear problemas de cumplimiento normativo o ramificaciones legales.
• Fraude financiero: Los ataques de smishing provocan pérdidas financieras directas. Por ejemplo, los ladrones cibernéticos pueden hacerse pasar por altos ejecutivos o departamentos financieros, utilizando mensajes de texto muy convincentes que pueden indicar solicitudes de algún tipo de transferencia de fondos o solicitudes de autorización de pago. Este tipo de engaño puede acabar provocando pérdidas enormes a la organización debido a que los empleados no están familiarizados con las características comunes del smishing. En algunos casos, la empresa también tendrá problemas con la reclamación del seguro o no recuperará el dinero cuando se transfiera a una cuenta fraudulenta.
• Daño a la reputación: Un ataque exitoso daña gravemente la reputación de la empresa. Cuando los clientes o socios sienten que la empresa está expuesta a este tipo de ataques, pueden perder la confianza. Por ejemplo, si el fraude por smishing se aprovecha de un empleado y provoca la filtración de información de los clientes, esto puede dar lugar a protestas públicas, publicidad negativa e incluso pérdidas comerciales. En un sector altamente regulado, como el financiero o el sanitario, la violación de información confidencial también puede dar lugar a medidas punitivas. Esto dañará aún más la situación y la imagen de la empresa.
• Interrupciones operativas: Las operaciones comerciales se verán gravemente interrumpidas por los ataques de smishing. Este tipo de acceso puede provocar el tiempo de inactividad del sistema, ya que los atacantes pueden dañar sistemas cruciales o implementar malware que afecte a la productividad y la eficiencia operativa. En algunos casos, las empresas se han visto obligadas a cerrar parte de sus operaciones para contener la brecha y minimizar los daños resultantes. La recuperación de este tipo de ataques, ya sea restaurando los sistemas, llevando a cabo investigaciones sobre la brecha o reforzando los protocolos de seguridad, es costosa y lleva mucho tiempo, lo que agota los valiosos recursos de la empresa.

¿Cómo funciona el smishing?

Los ataques de smishing suelen consistir en un plan bien planificado y ejecutado para engañar a la persona objetivo y que revele información confidencial o acceda a un sitio web de phishing. Estas estafas se basan en la confianza y la urgencia.

Fingen crear una urgencia imaginaria que motive a la víctima a reaccionar sin permitirse reflexionar detenidamente sobre los riesgos. Así es como suele suceder:

1. El cebo: El ataque comienza con un mensaje de texto que aparenta provenir de una organización de confianza, como un banco, una agencia gubernamental, una empresa de mensajería o un gigante minorista. Estos mensajes suelen estar redactados de la forma más oficial posible, utilizando logotipos, lenguaje o formatos familiares para convencer al destinatario de que el mensaje procede de la organización indicada. En este punto, el objetivo del anzuelo es solo llamar la atención de la víctima y hacerle creer el mensaje.
2. El anzuelo: A continuación, el mensaje insta al destinatario a actuar con rapidez, apelando a la urgencia o al miedo. Podría indicar que existe una necesidad urgente de corregir un problema con la cuenta bancaria, un pago atrasado o un problema con la entrega. El mensaje puede requerir que la víctima haga clic en un enlace, llame a un número de teléfono o responda con información confidencial, como credenciales de inicio de sesión o números de cuenta. Esa es la estrategia clave del smishing, ya que obliga a la víctima a reaccionar con urgencia sin tomarse el tiempo de verificar si el mensaje es auténtico o no.lt;/li>
3. El engaño: Una vez que la víctima sigue las instrucciones, se le redirige a un sitio web falso que podría parecer casi idéntico al real. El sitio puede solicitar datos personales como nombres de usuario, contraseñas o información de tarjetas de crédito. A veces, el mensaje puede provocar la descarga de malware en el dispositivo de la víctima en lugar de obtener su información directamente. Este espera silenciosamente a recibir órdenes y captura o roba otras credenciales de información confidencial, e incluso abre la posibilidad de que un atacante acceda de forma remota al dispositivo.
4. El robo: En esta fase, o inmediatamente después del robo de datos, este tipo de ciberatacante extrae información personal, cuentas financieras o información comercial confidencial de las víctimas. Por lo general, los datos robados se venden en la web oscura y pueden utilizarse posteriormente para seguir explotando a la víctima, por ejemplo, mediante el robo de identidad, transferencias bancarias no autorizadas o nuevos ataques a los sistemas de las empresas.

Los sistemas de detección basados en IA, como los de la plataforma Singularity™, pueden ayudar a identificar los intentos de smishing en tiempo real, lo que garantiza tiempos de respuesta más rápidos.

Tácticas comunes de smishing utilizadas por los ciberdelincuentes

Los ciberdelincuentes utilizan diversos medios para que el mensaje de smishing parezca válido y obligar al destinatario a actuar de inmediato. La confianza, la urgencia y la curiosidad son métodos utilizados por los atacantes para engañar a la víctima y que revele su información personal o participe en otras acciones maliciosas a través de enlaces dañinos.

Algunas de las técnicas de smishing utilizadas con frecuencia por los atacantes incluyen:

• Suplantación de identidad: La más común es crear una imagen falsa utilizando los nombres de marcas famosas, como bancos, tiendas online u oficinas gubernamentales. Los mensajes escritos como si procedieran de fuentes acreditadas, con logotipos y palabras y frases familiares, e información de contacto que parece legítima, engañan al destinatario para que crea que el mensaje es fiable y haga lo que se le indica, lo que hace bajo la suposición de que lo está haciendo para una organización de confianza.
• Urgencia y miedo: Los ciberdelincuentes suelen crear una sensación de urgencia o miedo en la víctima. Por ejemplo, los mensajes pueden predecir una alerta de seguridad, la suspensión de una cuenta o alguna actividad sospechosa que requiere atención inmediata. Inducir el pánico animará a las víctimas a dejar de lado la precaución y hacer clic en un enlace o entregar información confidencial sin verificar si es auténtica.
• Ofertas atractivas: Este es otro truco común en el que se utilizan ofertas atractivas, como premios o tarjetas de regalo a cambio de dinero, ventas exclusivas o recompensas gratuitas a cambio de dinero o información. El mensaje afirma que se adjunta un premio o que la oferta caducará pronto, pero solo a cambio de información personal o un clic. Este tipo de señuelo refuerza el deseo de obtener un premio o un descuento y hace que las personas sean más vulnerables a la estafa.
• Notificaciones de entrega: Este es otro método común que utilizan los estafadores, especialmente durante las vacaciones. Por ejemplo, en estas fiestas, según el mensaje, hay un paquete en camino o incluso un envío retrasado y se solicita al destinatario que haga un seguimiento de los detalles del envío haciendo clic en un enlace. Dado que muchas personas esperan un envío en un momento determinado, esto resulta muy convincente, lo que aumenta las posibilidades de que caigan en la trampa.

Cómo identificar un ataque de smishing

Es bastante difícil reconocer un ataque de smishing, pero hay ciertos indicios que le permitirán diferenciar entre un mensaje de texto oficial y uno que no lo es.

Si está alerta y sabe qué buscar, hay muchas posibilidades de protegerse contra estas estafas. A continuación, le ofrecemos algunas buenas formas de identificar posibles ataques de smishing:

1. Compruebe el número del remitente: Una de las cosas más importantes que hay que hacer al recibir un mensaje es intentar identificar primero el número del que procede. Los spammers y los estafadores suelen enviar sus mensajes desde números de teléfono desconocidos o no deseados que parecen sospechosos o incluso spam. Si el número no te suena y no está en tu agenda, y es un código genérico corto, ten mucho cuidado. Las organizaciones legítimas suelen comunicarse desde números de teléfono autenticados y registrados.
2. Busque solicitudes inesperadas: Tenga cuidado con los mensajes de texto que le piden que facilite datos personales como contraseñas, números de la seguridad social o números de tarjetas de crédito. Las organizaciones legales no solicitan este tipo de información a través de mensajes de texto. Si el mensaje solicita su información personal y también dice que su cuenta debe ser autenticada sin previo aviso, lo más probable es que se trate de un tipo de smishing.
3. Examine los enlaces: Si el mensaje contiene enlaces, pase el cursor por encima de ellos sin hacer clic para saber a qué URL le llevan. Esto le ayudará a saber si le están llevando a un sitio sospechoso o incluso desconocido. Compruebe la ortografía. La ortografía debe ser la misma que la del sitio web oficial de la organización legítima. No haga clic en enlaces procedentes de mensajes no solicitados, ya que le llevarán a sitios web falsos cuyo objetivo principal es robar su información.
4. Confíe en su instinto: Confíe en su instinto al evaluar un mensaje de texto. A veces, simplemente sabe que algo es sospechoso o que el mensaje ni siquiera tiene sentido para la empresa que dice representar; podría tratarse de una estafa. Preste atención al tono y al lenguaje utilizado en el mensaje. Los intentos de smishing contienen errores gramaticales o ortográficos, que a menudo delatan un mensaje fraudulento. Llame directamente a la organización si alguna vez siente que algo no está bien. Póngase en contacto con ellos a través de los canales oficialmente aprobados. Ellos le dirán si realmente se trata de un mensaje suyo o no.

Cómo detener el smishing: mejores prácticas contra el smishing

Existen varias prácticas recomendadas para proteger a las personas y a las empresas de los ataques de smishing de forma eficaz. Si desea tomar medidas de forma proactiva e informarse, hay muchas posibilidades de minimizar los riesgos asociados a caer en estas estafas.

Algunas estrategias eficaces que se pueden poner en práctica para detener el smishing son:

1. No haga clic en enlaces de mensajes de texto no solicitados o inesperados: El mejor mecanismo para evitar el smishing es no hacer clic nunca en ningún enlace de mensajes de texto no solicitados o inesperados. Si recibe un mensaje que le pide que haga clic en un enlace, espere un momento y asegúrese de que proviene de una persona u organización de confianza antes de hacer clic en él. Hacer clic en dichos enlaces podría conectarle a sitios dañinos que roban su información o instalan malware en su dispositivo.
2. Verifique el remitente: En caso de que reciba un mensaje de texto sospechoso que afirme provenir de una organización o empresa, intente confirmar el remitente poniéndose en contacto con la organización a través de las vías oficiales. No responda al mensaje ni utilice los datos de contacto proporcionados en el mensaje, ya que también podrían ser fraudulentos. Esprudente comprobar los datos de contacto para verificar si el mensaje es auténtico a través de la página web oficial de la empresa.
3. No responda a mensajes sospechosos: Nunca responda a mensajes que soliciten información personal o financiera. Las organizaciones legítimas rara vez solicitan datos confidenciales a través de mensajes de texto. Un mensaje que solicite dicha información probablemente sea smishing. Lo mejor suele ser simplemente borrar el mensaje.
4. Active los filtros de spam: Si su dispositivo móvil admite algún filtro de spam, actívelo. El filtrado de spam puede limitar la inundación de mensajes no deseados en su bandeja de entrada y permitirle filtrar mejor la información válida. Configurar sus filtros de spam también ayuda a reducir la eficacia de los ataques de smishing.
5. Denunciar el smishing: Si recibe un intento de smishing, denúncielo a su operador o a las autoridades locales. La mayoría de los operadores cuentan con mecanismos para denunciar mensajes de texto fraudulentos que les ayudan a actuar contra los estafadores. Denunciarlo también aumenta la concienciación y ayuda a proteger a otras personas de ataques similares.
6. Educar a los empleados: Enseñar a los empleados los riesgos del smishing y cómo identificarlo es imprescindible para las empresas. Los empleados deben recibir formación periódica para que estén más atentos a las técnicas de smishing, las señales de alerta y las medidas de seguridad adecuadas para los datos confidenciales. Los empleados formados son quizás el mejor activo para la cultura de seguridad de una organización.

Ejemplos comunes de smishing

Conocer los tipos de mensajes que utilizan los ciberdelincuentes en los ataques de smishing le ayudará a identificar y evitar situaciones indeseadas derivadas de este tipo de estafas. Estos son algunos de los ejemplos más comunes de mensajes de smishing con los que se puede encontrar:

1. Notificaciones de bloqueo de cuentas bancarias«Su cuenta bancaria ha sido bloqueada. Verifique su identidad aquí: [enlace malicioso]». Este tipo de estafa crea una sensación de urgencia. Usted cree que debe actuar con urgencia para recuperar su cuenta. El enlace normalmente le lleva a un sitio de phishing donde le robarán sus datos de inicio de sesión.
2. Alertas de entrega de paquetes“La entrega de su paquete se ha retrasado. Haga clic aquí para reprogramarlo: [enlace malicioso].” Estos mensajes se basan en la experiencia común de recibir entregas de paquetes, especialmente durante la temporada navideña. Se indica a la víctima que haga clic en un enlace para rectificar el problema, pero esto solo la lleva directamente al sitio web fraudulento, que puede solicitarle su información personal.
3. Notificaciones de premios“¡Ha ganado una tarjeta regalo de 500 dólares! Reclame su premio en: [enlace malicioso]. Mensajes como este se aprovechan de la credulidad de los destinatarios y de su entusiasmo por los posibles premios. Sin embargo, el enlace suele dirigir a una página que quiere recopilar datos personales para supuestamente otorgar el «premio», poniendo en peligro su información.
4. Alertas de actividad sospechosa” Urgente: se ha detectado actividad sospechosa en su cuenta. Responda con su nombre de usuario y contraseña para proteger su cuenta.” Estos mensajes crean una falsa sensación de seguridad mientras le piden que comparta información confidencial directamente. Las organizaciones legítimas no solicitan datos confidenciales a través de mensajes de texto; por lo tanto, esto es una señal de alerta.

Conclusión

El smishing supone un riesgo no solo para las personas, sino también para las empresas, por lo quese considera una forma de amenaza grave y en rápida evolución en el mundo cibernético. Dado que los ciberdelincuentes están en constante evolución en sus tácticas de estafa, es imprescindible estar al día sobre cómo funcionan estas estafas y cómo se pueden detectar los peligros potenciales. Conocer los signos más comunes del smishing entre otras tácticas empleadas por los atacantes y la mejor manera de prevenirlos le permitirá estar mejor preparado para proteger su información personal.

Recuerde que las organizaciones honestas nunca le piden que proporcione información confidencial a través de SMS y tenga mucho cuidado con los mensajes de texto no solicitados. Esté atento y vigilante, y logrará reducir su propensión a ser víctima de este tipo de ataques maliciosos. Denuncie el incidente a las autoridades competentes si sospecha que se trata de un ataque y tome medidas inmediatas para reforzar la seguridad de sus cuentas. Para obtener una protección completa contra el smishing y otras amenazas en constante evolución, descubra cómo Singularity™ Endpoint Security puede reforzar sus defensas en todos los vectores de ataque.

Preguntas frecuentes sobre smishing (phishing por SMS)