Instituto Nacional de ciberseguridad. Sección Incibe
Oficina de Seguridad del Internauta. Sección Ciudadanía

Smishing

Smishing

¿Qué es el smishing?

El smishing es un término que se utiliza para describir una forma de fraude en la que los delincuentes intentan engañar a las personas para que divulguen información personal o financiera enviándoles mensajes de texto (SMS) que incorporan enlaces fraudulentos.

Los atacantes utilizan técnicas de ingeniería social para enviar mensajes de texto maliciosos que parecen provenir de fuentes legítimas, como bancos, empresas de servicios públicos o de transporte y mensajería entre otros. Estos mensajes suelen incluir enlaces a sitios web fraudulentos o solicitudes para que la persona llame a un número de teléfono. En ambos casos, lo habitual es que se les pida que proporcionen información confidencial, como números de tarjetas de crédito o contraseñas, aunque también la descarga de una aplicación determinada para algún fin.

Los ataques de smishing pueden ser muy efectivos porque los mensajes de texto se perciben a menudo como más confiables que los correos electrónicos, y muchas personas son más propensas a responder o a seguir las pautas indicadas en un mensaje de texto que a un correo electrónico.

Mantente informado de los distintos fraudes y amenazas que circulan por Internet

Recibe por correo electrónico los avisos de seguridad que mayor impacto están teniendo en cada momento, junto con una descripción y pautas sobre cómo actuar ante cada uno de ellos.

Suscríbete al boletín

Tipos de mensajes de smishing

Los mensajes de smishing pueden suplantar a cualquier tipo de empresa o servicio, al igual que sucede con el phishing, y con distintos propósitos. A continuación, mostramos algunos casos más frecuentes.

  • Suplantación de entidades bancarias que utilizan como pretexto mensajes como “Se ha iniciado sesión desde un nuevo DISPOSITIVO, si no has sido tu verifica inmediatamente”, “A partir del [dd/mm/aaaa] No puedes utilizar su Tarjeta. Tienes que activar el nuevo sistema de seguridad” o “Se ha realizado un cargo por 450€ en su cuenta. Si no ha sido usted, siga los siguientes pasos para cancelarlo”.
  • Suplantación de entidades públicas como la Agencia Tributaria, Seguridad Social, Fuerzas y Cuerpos de Seguridad del Estado, etc. Sus reclamos son variados, pero destacan mensajes como “Tu tarjeta sanitaria requiere una actualización para mantener tus servicios”, “Tienes un reembolso de impuestos de (xx,xx €). Verifica los datos en la web” o “Se ha ordenado el pago de su devolución de impuestos pagados del IRPF de la renta. Más información aquí”.
  • Suplantación de empresas de paquetería y transporte de paquetes en los que se trata de engañar al usuario con excusas como “La entrega de su paquete ha sido suspendida debido a que falta el número de la calle” o “Su paquete no se ha sido entregar porque no se han pagado las tasas de aduana (2.64€)”.
  • Suplantación a otras entidades privadas como compañías eléctricas, proveedores de servicios de Internet, plataformas de juegos online y contenido multimedia, servicios en la nube, redes sociales, etc. Aquí las estrategias utilizadas se mueven desde reclamos con premios y sorteos, hasta descuentos por ser clientes, facturas del servicio o incluso problemas de seguridad detectados en la cuenta de usuario que hay que resolver.

Generalmente el objetivo es obtener información personal y/o bancaria de las personas que hagan clic en un enlace o respondan al mensaje con dicha información. También tomar el control de sus dispositivos móviles si se instalan una app maliciosa a través de dicho enlace.

Aprende más sobre este tipo de ataques consultando nuestro apartado de  avisos de seguridad, en donde podrás encontrar casos reales y consejos para saber cómo actuar contra estos.

Características de un SMS de tipo smishing

  • Remitente desconocido: los SMS fraudulentos provienen de remitentes desconocidos que nada tienen que ver con la empresa o entidad que supuestamente representan únicamente incluyendo alguna referencia en el cuerpo del mensaje. Aunque esto no nos debe hacer bajar la guardia, puesto que cada vez es más frecuente que el remitente del SMS esté suplantado para que parezca que procede de la entidad legítima.
  • Errores gramaticales y ortográficos: contienen errores gramaticales y ortográficos poco frecuentes de entidades con buena reputación.
  • Solicitudes inusuales: solicitan información personal que una empresa legítima no solicitaría a través de este canal de comunicación.
  • Enlaces sospechosos: contienen enlaces sospechosos que llevan a páginas web maliciosas con el fin de que el usuario facilite información personal, bancaria o incluso que descargue una aplicación.
  • Amenazas o urgencia: el texto del SMS invita a la víctima a tomar medidas rápidas si no quiere tener problemas, perder una oportunidad única, etc.

Recurso que te ayudará a analizar un enlace que puedas recibir a través de cualquier medio digital. Se trata de un simulación que recoge el paso a paso de cómo proceder.

Cómo evitar ser víctima de smishing

  • Si recibes un mensaje de texto de una fuente desconocida, no respondas ni hagas clic en ningún enlace que pueda incluir. Si tienes dudas, comunícate directamente con la empresa o la organización que supuestamente envió el mensaje a través de su sitio web oficial o número de teléfono, nunca respondiendo directamente al SMS.
  • Si recibes un mensaje de texto de una empresa u organización conocida, verifica la autenticidad del mensaje antes de hacer clic en cualquier enlace o proporcionar ningún tipo de información. Contacta directamente con la empresa o averigua si a través de su web puedes confirmar si el mensaje es legítimo o no.
  • Mantén tu software de seguridad, aplicaciones y sistema operativo actualizados en el teléfono móvil. Los desarrolladores de software emiten actualizaciones para solucionar problemas de seguridad, y es importante aplicarlas tan pronto como estén disponibles.
  • Considera instalar un software de seguridad móvil en tu teléfono móvil para ayudar a detectar y prevenir el smishing, así como otros tipos de amenazas.
  • Activa la autenticación de dos factores siempre que un servicio online lo permita para aumentar la seguridad de tus cuentas.

Qué hacer en caso de ser víctima de smishing

  • Contacta con tu banco o entidad financiera: Si facilitaste datos bancarios, como números de tarjeta de crédito o clave de firma, es importante que te comuniques con tu banco lo antes posible para informarles del incidente y tomar medidas para proteger tu cuenta.
  • Controla los movimientos de tus cuentas: revisa cuidadosamente todas las cuentas financieras de las que has proporcionado información y monitorea sus movimientos en busca de actividad no autorizada o fraudulenta. Si encuentras alguna actividad sospechosa, ponte en contacto con tu entidad bancaria para tomar las medidas necesarias.
  • Cambia tus contraseñas: si has proporcionado información de inicio de sesión a través de un mensaje de texto sospechoso, cámbialas en todas las cuentas que pueda haber comprometido, por una clave difícil de averiguar y segura.
  • Realiza egosurfing: busca información privada sobre ti mismo en Internet para averiguar si los datos que has proporcionados a través de algún engaño están expuestos en la red, y si ese es el caso, recurre al derecho al olvido para eliminarlo de Internet y mantener tu privacidad.
  • Elimina el mensaje de texto sospechoso: si has recibido un mensaje de texto sospechoso, elimínalo de inmediato para evitar ser engañado nuevamente.
  • Bloquea números de teléfono de desconocidos para que no vuelvan a contactar contigo.

Otras técnicas de engaño relacionadas con el smishing

El phishing es una técnica similar al smishing, pero que se materializa a través de correos electrónicos, para engañar a las personas. Por otro lado, el vishing es una técnica en la que los atacantes utilizan llamadas telefónicas para hacerse pasar por una entidad de confianza y obtener información personal y financiera. Es importante estar informado y ser cauteloso para evitar caer en estos tipos de engaños.

A continuación, te dejamos estos recursos para que puedas aprender más sobre estos 2 fraudes:

El vishing es una técnica de ingeniería social utilizada por los ciberdelincuentes para engañar a los usuarios a través de llamadas de teléfono fraudulentas y obtener así información personal sobre ellos, guiarles para que descarguen e instalen programas maliciosos, así como intentar que realicen algún pago bajo algún pretexto.

Se trata de una técnica utilizada por ciberdelincuentes para obtener información confidencial como contraseñas, números de tarjetas de crédito y otra información de carácter personal de los usuarios a través del envío de correos electrónicos fraudulentos.

Recursos para aprender más sobre el smishing

Si estás interesado/a en aprender más sobre el smishing, compartimos contigo más recursos que pueden ser de tu interés:

Juega a la ‘Oca antifraudes’, pon a prueba tus conocimientos sobre los fraudes de tipo phishing, smishing y vishing e intenta llegar el primero a la meta sin caer en las trampas de los ciberdelincuentes. ¡Suerte!

Campaña en colaboración de

  Página Web - Asociación Española de Empresas de Mensajería

Contenido realizado en el marco de los fondos del  Plan de Recuperación, Transformación y Resiliencia  del Gobierno de España, financiado por la Unión Europea (Next Generation).

 

 

Imagen encuesta de valoración servicios OSI

Ayúdanos a mejorar

 

Tu opinión es muy importante para nosotros.

 

ETIQUETAS