https://www.idric.com.mx/blog/post/que-es-el-principio-del-minimo-privilegio-o-zero-trustPor si las clásicas estafas de phishing por correo electrónico no fueran ya lo suficientemente dañinas, surge otra amenaza cada vez mayor que consiste en el envío de mensajes de texto fraudulentos a tu teléfono móvil, que es el smishing.

A lo largo de este artículo te mostraremos todo lo que necesitas saber sobre el smishing: ejemplos, qué es, cómo evitarlo y qué hacer para proteger a tu empresa de estos ataques. Ten en cuenta que, aunque son mensajes cortos, los problemas que acarrean pueden ser realmente grandes.

¿Qué es el smishing?

Antes de todo, ¿qué significa smishing? Esto te dará una idea de hacia dónde vamos. El término smishing proviene de unir SMS con phishing.

El smishing no es más que una variante del phishing y funciona de la misma manera que cualquier otra técnica de ingeniería social; la única diferencia es que los ciberdelincuentes utilizan los mensajes de texto (SMS) para llegar a sus víctimas.

El objetivo es engañar a los usuarios para que revelen información sensible o descarguen malware en los dispositivos móviles. En estos mensajes, el autor del ataque suele hacerse pasar por una empresa o una persona de tu confianza y puede incluir enlaces que conducen a sitios web en donde extraen tus credenciales.

Sin embargo, el smishing ha evolucionado junto con la tecnología, y los canales para realizar los ataques ya no se limitan exclusivamente a los SMS tradicionales. Ahora hay estafadores difundiendo mensajes falsos a través de aplicaciones populares como WhatsApp, Messenger o Telegram.

Incluso, en un mundo tan digitalizado como el actual, es muy común que las empresas sean víctimas de ataques de smishing, permitiendo que impostores accedan a sus redes de forma involuntaria o roben datos confidenciales. También podría ocurrir que engañen a los empleados para que transfieran fondos a un destino no deseado.

Smishing: ejemplos de mensajes engañosos

Para aumentar la eficacia de los ataques, estos delincuentes han dominado varias técnicas de smishing a lo largo del tiempo, las cuales no son muy diferentes a las técnicas tradicionales de phishing. Lo cierto es que, en cada caso, los delincuentes manipulan a los usuarios a su manera para hacerles caer en la trampa.

Estos son los argumentos que suelen encabezar los mensajes de texto fraudulentos:

Mensajes que fingen proceder de un banco

Los problemas relacionados con el dinero son muy delicados, y por tanto las personas buscan solucionar estos problemas con la mayor rapidez posible. Los delincuentes saben esto y se aprovechan de ello.

El estafador te va enviar un mensaje de texto fingiendo ser una institución financiera de confianza, informando que supuestamente hicieron una transacción sospechosa desde tu cuenta. Aquí te dirá cualquier excusa: que tu tarjeta de crédito fue bloqueada por violar las condiciones de uso, que la tarjeta de crédito fue bloqueada por seguridad o que tienes una alerta de sobregiro.

Según el estafador, para solucionar el problema con la mayor inmediatez posible debes ingresar al enlace indicado y pasar por una comprobación de identidad, de donde, por supuesto, extraerán todos tus datos.

Alerta de “actividad inusual”

Actualmente, las organizaciones utilizan la autenticación de dos factores (2FA) para agregar una capa extra de seguridad y fortalecer la ciberseguridad en general, algo que está muy bien.

Sin embargo, los estafadores juegan con la mente de los empleados y envían una alerta de actividad inusual falsa. En el mensaje incrustan un enlace que supuestamente permite revisar la actividad reciente, pero en realidad conduce a una página de phishing o a la descarga de un malware.

Entre otros ejemplos de smishing, es muy común que los estafadores te hagan creer que has ganado un premio, que envíen encuestas que no son lo que parecen o que envíen mensajes fingiendo ser del gobierno o de una empresa reconocida.

Recientemente, por ejemplo, se ha hecho muy popular un mensaje por WhatsApp en donde “Amazon” ofrece trabajo a las personas.

Cómo evitar el smishing en la organización

Si bien es cierto que los ciberdelincuentes son inteligentes, tú puedes ser más inteligente que ellos al tomar las previsiones necesarias. Estas son algunas de ellas.

  • Concientiza y capacita a todo el personal en temas de ciberseguridad.

  • Implementa una política BYOD (Bring Your Own Device) que describa la forma en que los usuarios deben actuar ante los mensajes de texto sospechosos.

  • Aplica el principio del mínimo privilegio, permitiendo únicamente el acceso necesario para cumplir cada función dentro de la organización.

  • Ten cuidado al abrir enlaces. Recibir mensajes por SMS es sospechoso, más aún si provienen de remitentes desconocidos.

  • No respondas inmediatamente ni envíes información personal a la primera. ¿Recibiste un mensaje de texto un poco extraño? No respondas antes de investigar si se trata de una situación real, y menos aún entregues información confidencial sin antes tener seguridad de quien está detrás es realmente quien dice ser.

  • Ponte en contacto con tu banco o proveedor de servicios. ¿Tienes dudas? Contacta directamente a estas empresas.

  • Actualiza tus dispositivos. Las actualizaciones de software suelen traer parches de seguridad que ayudan a mitigar cualquier tipo de ataque.

En resumen, la clave para prevenir los ataques de smishing es que seas capaz de identificarlos.

Independientemente del argumento que los estafadores decidan utilizar, estos mensajes de texto siempre coinciden en algo: buscan generar un sentido de urgencia. Además, cualquier mensaje que aparezca de forma inesperada ya de por sí es sospechoso. ¿No has solicitado nada y recibiste un SMS? Entonces ten mucho cuidado.


Si estás interesado en conocer más acerca de nuestra oferta de valor y cómo podemos ayudarte a resolver los retos de gestión de servicios de TI en tu organización, te invitamos a conocer todo un nuevo mundo de posibilidades.

En iDric estamos comprometidos con ofrecerte soluciones integrales, de calidad y respaldadas por fabricantes reconocidos en la industria. ¡Contáctanos y descubre lo que podemos hacer por ti!