El smishing es una variante de la ingeniería social que se ha vuelto muy popular recientemente. El término nace de combinar "SMS" y "phishing", y es un ataque que tiene por objetivo engañar a las personas a través de mensajes de texto para que revelen información sensible o descarguen malware en sus teléfonos. Los autores del ataque suelen hacerse pasar por empresas o personas de confianza y pueden incluir enlaces que conducen a sitios web ficticios para el robo de credenciales.
Por ejemplo, podrías recibir un SMS proveniente de Bancomer en donde mencionan que hay un problema con tu cuenta y que necesitas resolverlo inmediatamente. Te dejan un enlace que redirecciona a lo que en apariencias es el sitio web de Bancomer, pero, en realidad, se trata de una falsificación del mismo. Si ingresas tus datos, los estarás enviando directamente a un ciberdelincuente.
Por supuesto, Bancomer tiene otros mecanismos de protección que seguramente detengan el ataque, pero mejor evitar que lamentar, ¿no? Mira los tips para evitar el smishing que acá te mostraremos para que no caigas en engaños.
Características del smishing
El fraude por mensaje de texto tiene diferentes niveles de creatividad, si se podría decir así. Es decir, algunos ciberdelincuentes realmente se esfuerzan por crear mensajes “profesionales” y hay otros que poco les importa esto. Mientras mejor trabajados estén los SMS, más complicado será detectar el engaño, pero estas son características a tener en cuenta en los ataques de smishing:
Un tono o un saludo poco familiar: Los amigos y colegas, al igual que las empresas, tienen una forma particular de escribir. ¿Notas que te llegan mensajes de texto raros? ¿No parecen ellos? Entonces probablemente no lo sean.
Errores gramaticales y ortográficos: Normalmente, las empresas trabajan muy bien sus comunicaciones, especialmente si son reconocidas. Pocas veces enviarán textos con errores gramaticales y ortográficos, y este es un error que suelen cometer los atacantes.
Amenazas o sensación de urgencia: Es usual que los estafadores intenten llevar a sus víctimas a un estado psicológico en donde se ven entre la espada y la pared. Es una situación de “actuar ya o perderlo todo”. Este es el principal indicio de que estás ante un ataque de smishing.
Enlaces sospechosos: A veces los estafadores dejan un enlace al final del mensaje, pero no es más que un vínculo a una página de phishing.
Consejos para evitar el smishing
1. Jamás entregues información personal por mensaje de texto
La mejor manera de protegerte del smishing es no proporcionar datos personales o códigos privados en respuesta a un mensaje de texto no solicitado. El objetivo de los estafadores es captar estos datos, así que, si simplemente ignoras sus peticiones, no tendrás que preocuparte por tu seguridad.
Por supuesto, siempre existe la posibilidad de que ignores un mensaje real. Sin embargo, si es tan urgente como mencionan, lo más normal es que la organización te vuelva a contactar. Incluso es probable que utilicen un método alternativo, ya sea enviando un correo electrónico o llamándote por teléfono.
Si te preocupa que el mensaje sea genuino y no quieres esperar a que te vuelvan a contactar, siempre puedes contactar a esta organización directamente. Busca una forma de contacto oficial y comunícate con ellos.
2. Analiza la situación con detenimiento
Siempre que recibas un mensaje de texto desde un número de teléfono no registrado, tómate un tiempo para analizar la situación. Primero que nada, no respondas el mensaje ni devuelvas la llamada. Si se trata de un intento de fraude, simplemente le estarás diciendo a los estafadores que tu teléfono está activo.
Lo ideal es que primero hagas una investigación a través de Internet. Esto no siempre va a funcionar, pero en muchas ocasiones son estafas comunes de las que ya se está hablando en las redes. Por ejemplo, hay un nuevo fraude con mensajes de WhatsApp en donde Amazon supuestamente ofrece trabajo. En este caso, con solo hacer una búsqueda rápida por Google te darías cuenta que se trata de una mentira.
3. Fomenta una cultura de ciberseguridad en la organización
Actualmente, la mejor estrategia para evitar caer en los ataques de smishing, o de phishing en general, consiste en fomentar una cultura de ciberseguridad. La exposición a los peligros cibernéticos es constante y no hay nada mejor que incentivar a cada miembro a formar parte de la ciberseguridad de la empresa.
En primer lugar, implementa políticas que definan cómo deben actuar quienes reciban mensajes sospechosos en sus teléfonos. Segundo, entrega privilegios de acuerdo a las funciones de cada persona, esto limitará el rango de las consecuencias en caso de que alguien caiga en un engaño.
Ahora bien, las anteriores son estrategias que puedes implementar, pero lo más importante es crear conciencia. Todas las personas de una organización deben conocer qué son los ataques de ingeniería social, cómo interactuar en caso de recibir mensajes sospechosos y cuáles son las repercusiones de sus acciones.
¿Cuál es el primer paso? Capacita todos tus colaboradores. Muéstrales qué es la ciberseguridad y cómo sus acciones hacen la diferencia. Básicamente, con esto ya sabes cómo evitar el smishing.
Si estás interesado en conocer más acerca de nuestra oferta de valor y cómo podemos ayudarte a resolver los retos de gestión de servicios de TI en tu organización, te invitamos a conocer todo un nuevo mundo de posibilidades.
En iDric estamos comprometidos con ofrecerte soluciones integrales, de calidad y respaldadas por fabricantes reconocidos en la industria. ¡Contáctanos y descubre lo que podemos hacer por ti!
