Smishing definición
El smishing es una forma de phishing que utiliza la ingeniería social para engañar a alguien para que revele información privada. Sin embargo, el ataque se ejecuta mediante amenazas por mensaje de texto. En muchos casos, el smisher se hace pasar por alguien conocido o autorizado para pedirle información sensible, como personal de soporte técnico, trabajadores de la administración pública, un banco u otra institución financiera.
Otra definición común de smishing es un ataque que aprovecha la confianza para conseguir que la gente divulgue datos sensibles. Algunas personas son más propensas a proporcionar información personal a través de un mensaje de texto que por correo electrónico u otra forma de comunicación. Los estafadores abusan de esta confianza y a menudo consiguen robar datos muy valiosos.
Para evitar el smishing, es importante comprender no sólo su significado, sino también cómo funciona. También ayuda a reconocer lo que hay en ello para los smishermen. Una vez que sepa cómo detectar las señales de un ataque de smishing y en qué se diferencia del vishing y del phishing normal, podrás prepararte mejor para detectarlo y detenerlo.
¿Cómo funciona el Smishing? ¿Qué es un mensaje de texto de Smishing?
Un texto de smishing es un mensaje de texto enviado a su teléfono redactado de forma que le haga sentirse cómodo compartiendo información personal. A menudo, estos «mensajes» son en realidad correos electrónicos enviados a su teléfono.
Para empezar, el atacante nunca tiene su número de teléfono. Un texto de smishing también puede contener un enlace a un sitio que parece legítimo. Sin embargo, una vez que introduces tu información personal, ésta es capturada por un «smisher» y utilizada por él o vendida a alguien que pretende abusar de tus credenciales.
Los ataques de smishing suelen funcionar combinando dos o más pasos, con el objetivo final de robar tu información. El primer paso es conseguir que te sientas obligado a actuar. Puede ser por motivos legales, para ganar dinero o para «ahorrar» dinero que no quieres que te roben. El segundo paso es llevarte a un sitio de aspecto legítimo diseñado para que parezca casi idéntico al tipo de sitio que esperas ver.
Por ejemplo, si se trata de un sitio gubernamental, tendrá el escudo o la insignia correspondiente al organismo al que usted espera que pertenezca el sitio. Si se trata de una institución financiera, el sitio puede tener fuentes, logotipos y esquemas de color que normalmente verá en un sitio gestionado por esa institución.
El último paso consiste en pedirte que introduzca tus datos personales. La solicitud puede ser algo tan sencillo como pedirte que introduzca el nombre de tu cuenta y tu contraseña. Una vez que has proporcionado la información y la envías, el ataque tiene éxito.
El smishing también puede ejecutarse siguiendo menos pasos. Por ejemplo, el texto original puede contener un enlace que, una vez pulsado, descarga malware que puede utilizarse para robar tu información.
¿Qué aportan los ataques de Smishing a los Smishermen?
Los smishermen son como otros ciberdelincuentes: quieren robar tus datos personales. Si un smisher hace un buen trabajo suplantando la identidad de un sitio web de una institución financiera, por ejemplo, puede conseguir que le proporciones tu nombre de usuario y luego utilizarlo para hacerse pasar por ti. Pueden llevarse una gran suma de dinero en un único ataque o varias pequeñas cantidades a lo largo de un periodo de tiempo. Hacer esto a un número suficiente de personas produce unos ingresos considerables para el smisherman.
Sin embargo, un atacante no tiene por qué acceder necesariamente a una entidad financiera concreta para lucrarse con tu información personal. Muchas personas tienden a reutilizar nombres de usuario y contraseñas en varias cuentas. Por ejemplo, tu dirección de correo electrónico puede ser su nombre de usuario, y aunque tu contraseña no sea fácil de adivinar, pueden utilizar la misma una y otra vez. Por lo tanto, un «smisher» sólo necesita hacerse con tu contraseña una vez para acceder a varios sitios y servicios.
Cómo saber si estás siendo víctima de un Smishing
Una vez que conozcas las señales de estafas por mensajes de texto (smishing), no es difícil detectar un ataque. Cuando un texto intenta que reveles tus credenciales, descargues malware o envíes dinero a alguien, es probable que estés siendo víctima de un smishing.
Solicitud para revelar credenciales
Un smisher puede intentar que le facilites tu nombre de usuario y contraseña, que utilizará para acceder al sitio que intenta emular o a otro tipo de cuenta. A menudo, los smishers fingen ser un banco que, por una razón u otra, necesita que introduzcas tus datos. Las razones que dará el atacante para necesitar que introduzcas información varían, pero siempre que alguien te pida credenciales de inicio de sesión a través de un mensaje de texto, eso debería hacer saltar la alarma.
Esto es cierto incluso si la solicitud parece legítima. Por ejemplo, alguien puede enviarte un mensaje de texto advirtiéndote de que tu cuenta está en peligro. Supuestamente, esto se debe a que alguien ha iniciado una transacción importante o a que se ha añadido un beneficiario a su cuenta. Los atacantes esperan que hagas clic en un enlace para «remediar» la situación.
Sin embargo, la realidad es que nadie se ha infiltrado en tu cuenta ni ha añadido un nuevo beneficiario. A pesar de lo profesional que se ve el sitio web al que te llevan, es falso. Cuando introduces tus credenciales, no estás impidiendo cargos en tu cuenta no autorizados, sino facilitándolo.
En un tipo ligeramente diferente de ataque smishing, el objetivo no es conseguir que introduzca manualmente su información. En su lugar, los atacantes te presentan un número de teléfono al que debe llamar para solucionar la situación. Cuando llamas, la persona que está al otro lado puede parecer un representante legítimo de atención al cliente. A continuación, te pedirá sus credenciales para verificar que eres tu o para poder echar un vistazo a tu cuenta e investigar el problema. Cuando le proporcionas esa información, el ataque ha tenido éxito.
Este tipo de ataques suelen tener éxito, no sólo porque utilizan la ingeniería social para engañar a la gente y que actúe por miedo, sino también porque muchas instituciones, financieras y de otro tipo, utilizan mensajes de texto para comunicarse con los clientes. Además, es habitual que las personas tecleen sus nombres de usuario y contraseñas (o los faciliten por teléfono), por lo que el método de ataque smishing puede no resultar sospechoso en sí mismo. Por lo tanto, es crucial saber qué aspecto tiene una solicitud legítima de información de los proveedores de servicios en línea. Cuando un mensaje de texto difiere en su redacción o formato, debe considerarse sospechoso.
Solicitudes de descarga de malware potencial
El malware, una vez instalado en tu dispositivo, puede lograr varios objetivos nefastos. El malware es un software diseñado para funcionar dentro del sistema operativo de dispositivos específicos. Una vez dentro del dispositivo, el malware puede controlar funciones específicas o recopilar información crítica.
También se puede abusar del malware en un intento de utilizar los recursos del dispositivo para ayudar al atacante. Por ejemplo, se han secuestrado teléfonos para aprovechar su capacidad de procesamiento para minar criptomonedas. Una vez instalado el malware, los recursos informáticos del teléfono se reutilizan para minar activos digitales. Algunos hackers utilizan una pequeña parte de la potencia del dispositivo para que el usuario no note que ha sido secuestrado.
En algunos casos, sin embargo, el dispositivo supera su límite, lo que provoca que funcione mal o incluso se funda. Una de las formas más sencillas de introducir este y otros tipos de malware en un dispositivo es iniciar una solicitud de smishing.
Peticiones de dinero
Cualquier solicitud de dinero a través de un mensaje de texto debe considerarse con la máxima suspicacia. Por ejemplo, es posible que un estafador recopile una lista de los nombres de tus amigos y familiares en redes sociales como Facebook. Luego, si consiguen enviarles un mensaje, pueden hacerse pasar por uno o varios de tus allegados.
Ganarse la confianza de esta manera es un componente crucial de muchos ataques de smishing. Incluso si el atacante le convence para que envíe una pequeña cantidad de dinero, puede estar haciendo lo mismo con docenas (o cientos) de otras personas, lo que puede suponer una importante suma de dinero.
Otro método para conseguir dinero de la gente es que un smisher actúa como una organización benéfica legítima. Jugando con la bondad de los corazones de la gente, el atacante puede hacerse pasar por alguien de una iglesia local o nacional u otra organización benéfica. Utilizando gráficos y textos de marketing convincentes, es fácil hacer que la solicitud parezca creíble. Sin embargo, cuando tu envías el dinero, éste no ayuda a los menos afortunados, sino que va directamente al bolsillo del atacante.
Cómo protegerse de los ataques de Smishing
Una de las herramientas más eficaces para ayudar a las personas a evitar los ataques de smishing es la educación. Los atacantes pueden utilizar varios métodos para engañar a sus objetivos, pero muchos de los ataques tienen firmas similares. Asegurarse de que todo el mundo sabe cómo son los distintos tipos de ataques de smishing puede ayudarles a detectarlos y detenerlos.
Estas son algunas de las medidas que puede tomar para evitar los ataques de smishing:
- Cualquier cosa que te exija actuar con rapidez o urgencia debe ser cuestionada.
- Nunca haga clic en enlaces incluidos en mensajes de texto.
- Comprueba el número que te envía un mensaje pidiéndote información o que haga clic en un enlace de su interior. Si parece sospechoso, es posible que se trate de un ataque de smishing.
- Nunca guardes información bancaria o de tu tarjeta de crédito en el teléfono. Se puede utilizar malware para acceder a ella.
- Si no sabes quién te envía el mensaje, no respondas ni hagas clic en su contenido.
- Informa de los intentos de smishing para ayudar a otras posibles víctimas.
- No respondas a solicitudes de cambio o actualización de la información de la cuenta a través de mensajes de texto.
¿Qué hacer si he abierto un SMS malicioso?
Si has abierto un mensaje de texto malicioso, es crucial mantener la calma y tomar medidas inmediatas para proteger tu información personal y financiera. En primer lugar, no respondas al mensaje ni hagas clic en ningún enlace proporcionado. Esto evitará que te involucres más con los atacantes. Luego, informa el mensaje como spam o phishing a tu proveedor de servicios móviles, ya que ellos pueden tomar medidas para bloquear el número y prevenir futuros mensajes de ese remitente.
Además, asegúrate de escanear tu dispositivo en busca de malware utilizando un software antivirus confiable. Cambia todas tus contraseñas importantes, como las de cuentas bancarias y de correo electrónico, para evitar el acceso no autorizado a tus cuentas. Si proporcionaste información financiera o personal en respuesta al mensaje, contacta a tu entidad financiera para informarles de la situación y estar atento a cualquier actividad sospechosa en tus cuentas.
Recuerda educar a tus familiares y amigos sobre los riesgos del smishing y la importancia de no abrir mensajes de texto de remitentes desconocidos. La prevención y la conciencia son las mejores herramientas para protegerse contra estas amenazas cibernéticas.
Vishing vs Smishing
El phishing se diferencia del pharming en que utiliza mensajes de correo electrónico para conseguir que las personas divulguen información privada o descarguen programas maliciosos. En un correo electrónico de phishing, el atacante hace parecer imperativo que el objetivo introduzca datos personales para resolver un problema acuciante u obtener dinero. Después de que la víctima haga clic en un enlace o teclee información, el phisher utiliza o vende sus credenciales. El pharming, por su parte, utiliza sitios web falsos para que las víctimas introduzcan sus credenciales, que los atacantes «cultivan» y recopilan para utilizarlas en actividades ilícitas.
El vishing intenta conseguir que las personas divulguen información privada o descarguen programas maliciosos mediante llamadas de voz. Si recibes una llamada de un número sospechoso, puedes hacer una rápida búsqueda en Internet a través de tu enrutador para obtener más información sobre él. A menudo, los números legítimos asociados a empresas conocidas o respetadas suelen aparecer fácilmente en las búsquedas. Los números sospechosos también pueden aparecer en una búsqueda, pero en una lista tipo directorio o incluso en una lista de números utilizados por los ciberdelincuentes.
El smishing, al igual que sus homólogos, pretende llevar a cabo el mismo tipo de robo, pero utilizando en su lugar mensajes de texto. Por lo tanto, vishing y smishing son métodos diferentes utilizados para estafar a personas y organizaciones desprevenidas.
Preguntas frecuentes
¿Qué es un ataque smishing?
Un ataque smishing es una ciber amenaza que utiliza un mensaje de texto para intentar que alguien introduzca o facilite información confidencial.
¿Qué es un texto de smishing?
Un texto de smishing es un mensaje de texto diseñado para engañar a un objetivo para que vaya a un sitio web e introduzca información personal, llame a un número y luego proporcione información privada, o haga clic en un enlace que conduce a malware.
¿Cuál es un ejemplo de smishing?
Un ejemplo de smishing es un mensaje de texto que parece proceder de un amigo que pide dinero. El autor del smishing es un completo desconocido, pero utiliza su conexión con un amigo -cuyo nombre probablemente obtuvo a través de Facebook- para obligarle a enviarle dinero.
¿Te pueden piratear por responder a un mensaje de texto?
Sí, pueden hackearte si respondes con información personal o haces clic en un enlace.
Ingeniero informático de profesión y curioso por naturaleza. Me apasiona programar y gestionar hardware.
También soy un apasionado de las nuevas tecnologías y el marketing digital. Me encanta crear webs y redactar artículos con el objetivo de ofrecer el mejor contenido posible al lector.
