Los ciberdelincuentes no descansan; si ya hay que estar en guardia ante los ataques de phishing, ahora también es necesario estarlo ante los de smishing. El smishing utiliza ingeniería social para enviar mensajes de texto con información maliciosa. Su objetivo es acceder a los dispositivos móviles para obtener información de los usuarios o tomar el control sobre el objeto.
“Smishing” es una palabra compuesta que proviene de “SMS” y “phishing”, por la similitud que tiene este ataque con el popular de correo. En el phishing se utiliza el correo electrónico para realizar ataques; en el smishing, mensajes en formato SMS, a través de diferentes apps de mensajería instantánea. La forma de operar es similar a la de otros ataques: con el objetivo de engañarlas, el ciberdelincuente suplanta la identidad de algunas personas o entidades que sabe que forman parte del círculo de la víctima.
Lo más peligroso es que, por desgracia, los usuarios no poseen mucho conocimiento sobre este tema, por lo que no esperan ser engañados a través de un mensaje de texto. Después de llevar tantos años en internet, la mayoría ha conseguido concienciarse de los peligros que tiene, de los problemas del spam, de los correos electrónicos maliciosos. Sin embargo, no se percibe el mismo nivel de amenaza cuando se trata de una acción realizada a través de los mensajes.
¿En qué consiste y cómo funciona un smishing?
Su funcionamiento es sencillo y similar al del phishing. El atacante se hace pasar por una persona, empresa u organismo que le resulte familiar a la víctima, para engañarla y conseguir que esta pinche en el enlace o realice alguna acción. De esta forma, podrán robar sus datos, información y contraseñas, y con ellos podrán acceder a portales privados, como una cuenta bancaria.
Un ejemplo muy común en estas fechas debido a la pandemia por COVID-19 que se está padeciendo a nivel mundial es el de mensajes con temática “coronavirus”. Los ciberdelincuentes mandan un SMS a las víctimas informándoles de una supuesta ayuda económica que está repartiendo el Estado para hacer frente a las pérdidas derivadas por el COVID-19; esto es falso, pero puede ser algo relativamente creíble, dado que cada día salen nuevas reformas y medidas respecto a este tema. Por ello, si el usuario se lo cree o le da curiosidad, puede picar en el enlace que adjuntan con el mensaje. Este llevará a una web maliciosa en la cual se solicitarán datos personales, como la tarjeta de crédito, el nombre, el DNI, etc.
Lo más importante es no pinchar nunca en ese enlace. De todas maneras, es aconsejable que siempre, sea cual sea el motivo por el que se llegó a una web, se verifique si es segura. Para ello, esta debe mostrar en el enlace las iniciales de HTTPS. En caso de no tenerlas, se sabrá que los intercambios que se realicen a través de ella no serán seguros: ni los pagos, ni el ingreso de datos personales, ni la solicitud de información.
Cómo protegerse de estos ataques
Por suerte, desde Informático Granada podemos anunciar que las medidas son muy sencillas: solo se requiere estar concienciados y utilizar el sentido común. A continuación, pararemos unos minutos a enumerar las diferentes acciones que deben tomarse para prevenir cualquier tipo de estafa:
No confiar en remitentes desconocidos
Si se reciben mensajes en los que una persona o entidad que no se conoce o con la que no se guarda relación solicita información y datos personales, lo mejor es ignorarlos y eliminarlos. También suelen usar el método “factura sin pagar”; es decir, usurpan el nombre de una compañía y mandan un mensaje diciendo que hay que abonar la factura: nunca hay que picar en el enlace.
No confiar en los anuncios de promociones
El anuncio de cupones, descuentos, rebajas o promociones es también muy utilizado como anzuelo para conseguir la atención de los usuarios. Así se consigue que accedan a enlaces fraudulentos o que llamen a números de teléfono que poseen una tarificación especial mediante la cual ellos ganan dinero de manera directa y rápida.
Nunca dar información personal
Nunca se deben dar datos e información personal porque un enlace o mensaje lo solicite. Los organismos oficiales y las empresas no piden a sus clientes este tipo de datos a través de internet; por ello, nunca hay que facilitarlos. Si se tiene alguna duda, lo mejor es llamar a la compañía a través de su portal oficial y consultar cualquier problema que se tenga.
No clicar en los enlaces
Para ahorrarse cualquier problema, lo mejor es no picar en los enlaces que vienen adjuntos en los SMS. No son webs seguras y pueden ser el portal perfecto para que algún virus entre en el dispositivo.
