Qué es el smishing y por qué debería preocuparte
Parece que los SMS se han quedado como algo caduco que ya apenas nadie usa para comunicarse en el día a día, a no ser que se trate de ciertas empresas o instituciones públicas. Sin embargo, estos mensajes todavía suponen un canal por el que los ciberdelincuentes realizan sus ataques a los dispositivos móviles.
Las campañas de SMS fraudulentas, denominadas smishing, por la combinación de los términos SMS y phishing, están aumentando entre los ataques a usuarios por parte de los cibercriminales, según se hacen eco desde la empresa de seguridad Sophos.
El smishing es una técnica de ingeniera social por la cual los cibercriminales atacan de forma masiva y dirigida a muchos usuarios mediante el envío de un SMS simulando ser un destinatario legítimo como un banco, una red social, una institución pública o una aplicación de uso extendido.
El objetivo de estos ataques es robar información privada o realizar cargos económicos en las cuentas de la víctima, instando al usuario a acceder a un enlace web falso o a introducir sus credenciales para confirmar su cuenta. Lo que hace tan peligroso este tipo de ciberataques es la falta de costumbre y prevención por parte de los usuarios.
Puntos fuertes del smishing en relación al phising por email
Los ataques de phishing o spam son muy habituales en los correos electrónicos, pero los SMS continúan siendo considerados por los usuarios como envíos legítimos, ya que suelen ser utilizados para comunicación personal, notificaciones del banco, líneas áreas o códigos de un solo uso para validar operaciones o accesos. Es por este motivo por el que los ciberdelincuentes los están incorporando a su repertorio de técnicas de ataque para acceder a los datos de los usuarios.
“Los atacantes utilizan los SMS porque son baratos, es fácil obtener listados de teléfono y se pueden programar para enviar de forma masiva. Además, tienen un punto a su favor por encima de los emails fraudulentos, lo poco acostumbrados que estamos a ellos. Con el tiempo los SMS se han abaratado, es más, no sería descabellado pensar que los cibercriminales hubiesen conseguido acceder a pasarelas de SMS vulneradas para su envío de forma gratuita” señala Alberto R. Rodas, Director de Ingeniería de Sophos para España y Portugal.
Los expertos en ciberseguridad de Sophos han detectado recientemente varios ejemplos de smishing. Entre ellos, bancos y empresas de mensajería son los principales ‘ganchos’ pero también se utilizan para el robo de cuentas de WhatsApp u otras redes sociales en las que se solicita que el usuario responda con el código que acaba de recibir para la verificación de la cuenta.
“Desde hace algunos años estamos viviendo un cambio de paradigma en el uso que los usuarios hacen de los dispositivos móviles, desde acceder a cuentas bancarias, comunicarnos con nuestro entorno y disfrutar del ocio a través de plataformas de contenido de cine y televisión. Con el nuevo escenario provocado por el Covid-19 hemos aumentado el tiempo de conexión y hemos cambiado la manera de trabajar, incluyendo en la ecuación el teletrabajo. Todo ello nos ha hecho más vulnerables frente a ciberataques que podemos recibir a través del SMS o el email. Dotarnos de herramientas que nos faciliten su detección y formarnos continuamente para saber cuándo y dónde intentan engañarnos, son pilares fundamentales para evitar que amenazas como el smishing consigan engañarnos”, alerta Rodas.
Cómo evitar ser víctima de un ciberataque de smishing
Desde Sophos ofrecen algunas recomendaciones para no caer en la trampa de estos SMS fraudulentos:
- No te fíes del remitente. El remitente de un SMS puede ser modificado para poner lo que los cibercriminales quieran, como, por ejemplo: “01Correos”. Si bien hay algún avance para evitar esto, todavía no está en vigor, así que, ante la duda, no confíes en lo que ponga en el remitente.
- Si te piden hacer algo, sospecha. Todo SMS que nos pida realizar una acción deber ser considerado sospechoso. Una cosa es un SMS de notificación (“su paquete ha sido enviado”) y otra muy distinta es que soliciten realizar una acción con algún tipo de amenaza como la cancelación del pedido, de una tarjeta o de una cuenta.
- La urgencia es una señal de alarma. Una técnica muy habitual en ingeniería social, además de utilizar la autoridad haciéndose pasar por un servicio con verosimilitud (correos, el banco, etc.) es la urgencia. En los ataques de smishing nos apremian a realizar una acción de forma inmediata, reduciendo nuestro tiempo para pensar o realizar las oportunas verificaciones.
- Protege tu móvil. Disponer de un sistema de protección para móviles permite a los usuarios contar con una capa extra de seguridad para bloquear este tipo de ataques.
applicantes
Últimas entradas de applicantes (ver todo)
- WhatsApp estrena las listas - 1 noviembre, 2024
- Caza demonios en realidad aumentada con Devil´s Purge, ya disponible para iOS - 1 noviembre, 2024
- Instagram y Facebook son las apps que recopilan más datos de los usuarios, según un estudio - 31 octubre, 2024