¿Qué es el smishing?
Dentro de las herramientas con las que cuentan los ciberdelincuentes para engañarnos, una de las más populares en los últimos años ha sido el envío de mensajes de texto fraudulentos a nuestros dispositivos móviles. Basándose en técnicas de ingeniería social consiguen suplantar la identidad de empresas de confianza para engañarnos. Este tipo de estafa se conoce como smishing y consiste en el envío de mensajes de texto (SMS) a las víctimas, haciéndose pasar por todo tipo de entidades de confianza, como bancos, empresas públicas de la Administración, tiendas o comercios, familiares o amigos. El objetivo, como siempre, es obtener toda la información personal (usuario y contraseñas, correos, número de teléfono, domicilio…) y bancaria para llevar a cabo nuevos fraudes o hacerse con nuestro dinero.
¿Cómo funciona el smishing?
Para comprender cómo funciona este tipo de ataque y que seamos capaces de identificarlo en nuestro día a día, vamos a verlo a través de un ejemplo:
La abuela de la familia Cibernauta, nuestra protagonista, es usuaria de un teléfono móvil desde hace ya varios años. Con él puede enviar y recibir mensajes de sus familiares y amigos, recibir correos electrónicos o ver películas y series. Su familia se ha asegurado de ayudarla para aprovechar todas las ventajas que esta tecnología puede ofrecerla.
Nuestra protagonista se encontraba viendo la televisión cuando recibió una notificación en su teléfono. Resultó ser un SMS que llamó su atención, ya que no solía recibir este tipo de mensajes. Al parecer, se trataba de una nueva campaña de ayudas a familias afectadas por la pandemia a causa del COVID-19, organizada por una ONG muy conocida. El mensaje decía lo siguiente:
Como sabía que la situación estaba siendo muy dura, no perdió el tiempo. Sin embargo, no sabía muy bien cómo realizar pagos a través de esa aplicación, por lo que pidió ayuda a sus nietos. Cuando les llamó y les explicó la situación, sus nietos se extrañaron y decidieron contrastar toda la información sobre esta campaña de ayuda. Para su sorpresa, la web oficial de la ONG no hacía referencia a ninguna campaña de ayuda relacionada con el mensaje recibido.
Tras indagar un poco en la Red, nuestros protagonistas descubrieron que todo era un fraude. Los ciberdelincuentes habían enviado estos SMS de forma masiva a numerosos números de teléfono que se habían filtrado por la Red. La abuela reconoció que había estado registrándose en varios concursos y promociones, facilitando su número de teléfono, y los atacantes podrían haberlo obtenido de esta forma.
Por suerte para nuestra protagonista y sus nietos, pudieron reaccionar a tiempo y no realizaron ninguna donación ni contestaron al mensaje, directamente lo eliminaron.
Este tipo de fraudes son muy comunes y se basan en la suplantación de identidad a todo tipo de entidades. En la mayoría de casos utilizan un enlace fraudulento para redirigirnos a una web falsa, con la que obtener nuestros datos, que nos descarguemos algún archivo malicioso o nos engañan para que realicemos alguna transferencia o contactemos con un número de teléfono malicioso de tarificación especial, así como suscripciones a este tipo de servicios.
A continuación, veremos algunas pautas que debemos seguir para comprobar la autenticidad de estos mensajes y detectar si se trata de un fraude:
Por norma general, aunque en el mensaje digan que pertenecen a una entidad de confianza, siempre podremos comprobar el remitente del mismo. Si no aparece el nombre de la empresa y solo vemos un número de teléfono, lo más probable es que se trate de un fraude.
Los enlaces también deben ser revisados. Una empresa de confianza nunca utilizará una URL no segura, es decir, que comience por “http”, aunque las URL que comienzan por “https” pueden haber sido también manipuladas por un ciberdelincuente.
También es importante leer detenidamente el mensaje en busca de errores ortográficos y gramaticales o fallos en la traducción.
Por último, debemos recordar que este tipo de entidades ya disponen de toda la información que necesitan, por lo que si tratan de obtener algún dato personal, podemos desconfiar de su autenticidad.
¿Qué hacer si somos víctimas de un smishing?
Si creemos estar ante un mensaje de texto fraudulento, lo mejor que debemos hacer es ignorarlo y eliminarlo. Además, debemos tener mucho cuidado de no hacer clic en ningún enlace o adjunto sospechoso para descargar. Si tenemos la sospecha de haber sido víctimas de uno de estos SMS, lo primero que debemos hacer es:
Escanear nuestro dispositivo con un antivirus actualizado.
Eliminar cualquier archivo que hayamos descargado desde el SMS o un enlace adjunto en el mensaje.
Cambiar nuestras contraseñas de las cuentas implicadas, que hayan podido ser vulneradas.
Activar la verificación en dos pasos en las cuentas que lo permitan para evitar la suplantación de identidad.
Contactar con el banco para cancelar cualquier pago no autorizado o nuestra tarjeta, en caso necesario.
Bloquear los mensajes de texto que consideremos spam.
Recopilar todas las pruebas posibles y denunciarlo ante las Fuerzas y Cuerpos de Seguridad del Estado.
Finalmente, queremos recordar que en la OSI, canal especializado en ciudadanos de INCIBE, puedes encontrar numerosos recursos relacionados con la ciberseguridad. Además, en nuestra campaña ‘Experiencia sénior’ podrás acceder a varios recursos, independientemente de tu nivel o experiencia con las nuevas tecnologías. Y si tienes algún problema, en INCIBE ponemos a tu disposición la Línea de Ayuda en Ciberseguridad, 017, teléfono gratuito y confidencial desde el que resolver todas tus dudas.
¿Alguna vez has recibido algún mensaje de texto fraudulento o sospechoso? ¿Conocías este tipo de fraude? Comparte con el resto de los usuarios tu opinión y experiencias y mantente al día con las publicaciones de la OSI en materia de ciberseguridad para poder disfrutar de las ventajas de la tecnología.