El smishing ha venido ganando popularidad entre los ciberdelincuentes en los últimos años dado que el uso de los teléfonos inteligentes se ha extendido, ya que les permite robar información financiera y personal sensible sin tener que romper las defensas de seguridad de una computadora o una red.
A su vez, la concientización sobre el phishing, el smishing y otros ataques de ingeniería social se hace cada vez más importante para que cada vez menos personas y organizaciones sean víctimas. Por eso, hoy te mostraremos cómo se realiza el smishing y qué debes tener en consideración.
¿Cómo se realiza el smishing?
El smishing, o phishing por SMS, consiste en enviar mensajes de texto fraudulentos para tratar de engañar a las víctimas y hacer que revelen información sensible o instalen malware en sus dispositivos.
Al igual que en el phishing, los ciberdelincuentes utilizan el smishing para robar datos de las tarjetas de crédito u otra información haciéndose pasar por una organización o persona de confianza. Los mensajes suelen contener algún tipo de urgencia, amenaza o advertencia para intentar que las personas actúen de inmediato y no tengan tiempo de analizar con claridad la situación.
Por supuesto, esto es solo la teoría en su forma más básica. Ten en cuenta que los ciberdelincuentes aplican diferentes estrategias con el objetivo de engañar a sus víctimas. Así que, considerando que el smishing no es más que una forma específica del phishing, es mejor entender con claridad cómo funciona el phishing.
¿Cómo funciona el phishing en la actualidad?
El phishing es una forma de ingeniería social que se aprovecha de artimañas para atraer a sus víctimas y sugerirles que ejecuten acciones que van en contra de sus intereses. También se conoce como un ataque de suplantación de identidad porque los ciberdelincuentes suelen fingir ser alguien que no son.
Sin embargo, el phishing en la actualidad tiene muchas formas y niveles de ataque. Estas son las más importantes:
Email phishing: Esta es la forma más popular, y los ataques son llevados a cabo a través del correo electrónico. Usualmente, son campañas de phishing que no tienen un objetivo claro, sino que se trata de enviar mensajes genéricos que buscan pescar a cualquier incauto que muerda el anzuelo.
Spear phishing: En este caso, los estafadores tienen claro cuál es su objetivo. Es un ataque mucho más peligroso porque los mensajes están redactados utilizando información conocida para sus víctimas.
Whaling: Los ataques de whaling son aún más específicos, ya que apuntan a directivos de alto nivel. La técnica suele ser mucho más sutil, pues no utilizan enlaces ni trucos baratos, sino que intentan imitar a alguien con un cargo aún más alto dando instrucciones específicas.
Vishing: En lugar de utilizar el correo electrónico, atacan a través de llamadas telefónicas, de ahí que lleve por nombre vishing: voice + phishing.
Smishing: No podía quedar por fuera, debe quedar claro que esta no es más que una forma de phishing, pero por SMS.
Smishing y phishing: la diferencia está en el canal utilizado
Entendiendo que el smishing es tan solo un derivado del phishing, esto quiere decir que las formas de ataque del phishing también pueden emplearse para los fraudes por mensaje de texto.
En pocas palabras, los ataques de smishing se pueden realizar de la misma manera:
Por medio de campañas genéricas que no tienen un target específico, sino que buscan atrapar a cualquier incauto que caiga en sus redes.
Haciendo ataques dirigidos con mensajes mejor preparados que utilizan información privada para engañar a las personas.
Pero, además, los ataques de smishing a veces se combinan con el vishing, haciendo que a las personas les sea más difícil detectar que están ante un ataque de ingeniería social. Por ejemplo, los estafadores envían un mensaje de texto a sus víctimas indicando algún tipo de problema, dejando además un número telefónico al que deben llamar para corregir la situación. Al hacer la llamada, los delincuentes intentan estafar a las personas.
¿Cómo detectar un ataque de smishing?
No hay una forma exclusiva en que los ciberdelincuentes escriben los mensajes, pero sí es cierto que suelen poseer características que te harán sospechar. Claramente, un mensaje con estas mismas características podría ser genuino, pero, en ese caso, tendrás tiempo de verificar su veracidad.
Así que, ten tus sospechas cuando recibas mensajes de texto de números desconocidos con alguna de estas particularidades:
Te dicen que has ganado un premio o un cupón gratis demasiado bueno para ser verdad.
Te ofrecen descuentos o promociones que debes aprovechar inmediatamente o las perderás.
Hay un sentido de urgencia o amenaza en el mensaje. Los delincuentes siempre buscarán aprovecharse de esto para evitar que analices la situación y te des cuenta que se trata de una estafa.
Recibes indicaciones para desbloquear alguna cuenta personal, pero tú no has solicitado nada.
Te invitan a seguir un enlace para resolver algún problema, hacer una operación, obtener algún premio, etc.
En cualquiera de estos casos, tómate un tiempo para descubrir si la persona que está detrás en realidad tiene buenas intenciones o simplemente se trata de una estafa.
Investiga por Internet el contenido del mensaje a ver si hay alguna alerta roja, busca la forma de contactar a la empresa o persona en cuestión para saber si se trata de algo real o aplica cualquier otra estrategia que te parezca conveniente; pero nunca sigas instrucciones ni abras enlaces si tienes sospechas.
Si estás interesado en conocer más acerca de nuestra oferta de valor y cómo podemos ayudarte a resolver los retos de gestión de servicios de TI en tu organización, te invitamos a conocer todo un nuevo mundo de posibilidades.
En iDric estamos comprometidos con ofrecerte soluciones integrales, de calidad y respaldadas por fabricantes reconocidos en la industria. ¡Contáctanos y descubre lo que podemos hacer por ti!
