Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Historias reales: smishing, se colaron en mi móvil corporativo con un SMS

Fecha de publicación 18/10/2022
Autor
INCIBE (INCIBE)
Historias reales: smishing

Era un día como otro cualquiera para Martín, empleado del Departamento de Administración de una pyme dedicada a la producción de embutidos. Como de costumbre, había comenzado el día preparando una taza de café, revisando su correo electrónico y atendiendo los asuntos más urgentes.

Además de las cuestiones contables pertinentes, el Departamento de Administración se encarga de todo lo relacionado con la paquetería de la empresa, tanto del envío como de la recepción de paquetes, para lo cual la empresa de Martín trabaja con varias compañías de mensajería. Todos los días había algún envío que hacer y con frecuencia se recibían paquetes para algún departamento. El Departamento de Producción le había indicado que esperaba una caja con material.

Aquella mañana Martín recibió un mensaje en su móvil corporativo de una de estas empresas de paquetería. Este SMS indicaba que, debido a ciertos problemas en la entrega de un envío, debía descargar una aplicación para gestionar dicha entrega a través de un enlace proporcionado en el mismo mensaje.

SMS suplantando a DHL

Puesto que hoy en día muchas empresas, además de disponer de página web, cuentan con su propia aplicación para el móvil, Martín no vio nada en el mensaje que le hiciera sospechar y se descargó la aplicación, haciendo clic en el enlace que contenía el SMS que había recibido, para así poder gestionar la recepción del paquete.

Días después, un compañero del departamento de Martín le llamó preocupado, pues estaba tramitando el pago de las facturas asociadas a los móviles de la empresa y el suyo tenía una factura inusual y muy elevada. Acto seguido Martín decidió ponerse en contacto con la compañía telefónica, convencido de que se trataba de un error por su parte, puesto que ese mes no recordaba haber hecho un uso del teléfono que pudiera incrementar su factura de esa manera. Pero, ¿cuál fue su sorpresa cuando desde la compañía telefónica le confirmaron que no habían cometido ningún error al tramitar su factura, y que el elevado gasto se debía a una gran cantidad de SMS enviados desde su terminal? Martín estaba todavía más confundido, pues nunca dejaba su teléfono de empresa desatendido y él no era consciente de haber enviado ningún SMS, y mucho menos la cantidad que le indicaban desde la compañía telefónica.

¿Qué ocurrió?

Martín había sido víctima de un smishing. En este caso, había recibido un SMS por parte de un ciberdelincuente simulando ser una entidad legítima, con el fin de que se descargase una aplicación maliciosa. En términos generales, el objetivo de estos mensajes es el acceso al terminal de la víctima para realizar acciones desde el mismo o conseguir información valiosa, como los números de teléfono de otros miembros de la empresa o las credenciales bancarias de la organización.

En este caso, la instalación de la aplicación en el móvil de Martín lo infectó con el malware FluBot, el cual actúa principalmente en sistemas Android y puede llevar a cabo las siguientes acciones maliciosas:

  • Robar información bancaria: datos de acceso a bancos, tarjetas de crédito y datos de pago, ya que tiene la capacidad de inyectar páginas superpuestas cuando detecta un inicio de sesión en una de las aplicaciones objetivo, de forma que el usuario piensa que está introduciendo las credenciales en la web legítima.
  • Robar información de los SMS utilizados como contraseña de un solo uso u OTP (One Time Password).
  • Utilizar la lista de contactos del dispositivo infectado para enviarles campañas de smishing.
  • Permitir la ejecución de comandos remotos desde el centro de control del atacante. Con estos comandos el ciberdelincuente podría acceder a ficheros, fotos y vídeos, cambiar contraseñas, instalar aplicaciones, acceder a la cámara…
  • Evitar que el usuario pueda desinstalar la aplicación maliciosa.

Finalmente, el móvil de Martín tuvo que ser restaurado a valores de fábrica por el Departamento de Informática de la compañía, el cual, además, se dio cuenta de que era necesario implementar una política de seguridad para tener control sobre las aplicaciones que se pueden instalar y limitar el uso permitido de los dispositivos móviles de la organización para poder anticiparse a incidentes como este.

¿Cómo evitar caer en la trampa de estos fraudes?

Para evitar situaciones como la vivida por Martín debemos poner en práctica las siguientes recomendaciones:

  • En este caso y otros similares, al descargar la aplicación el terminal nos alertará de que se trata de una instalación desde una fuente desconocida y que debemos permitirla cambiando los ajustes del dispositivo. La política de seguridad nos indicará que, en lugar de cambiar esta configuración, antes de instalar nada busquemos si existe esa aplicación en los repositorios oficiales.
  • Sospechar si hay enlaces o documentos adjuntos. Si el mensaje procede de una entidad legítima, nunca contendrá enlaces a su página de inicio de sesión o documentos adjuntos. Si recibimos un mensaje de un usuario desconocido o que no se haya solicitado, es mejor eliminarlo.
  • Si incluye una URL, debemos comprobarla siempre, situándonos sobre ella para ver si es la de la entidad legítima o usando herramientas para expandirla si está acortada, antes de seguir enlaces en correos electrónicos, SMS, mensajes en WhatsApp o redes sociales, aunque sean de contactos conocidos.
  • Si tiene ficheros adjuntos, tenemos que tener precaución antes de descargarlos. Será mejor no descargarlos sin comprobar que conocemos a quien los envía y confirmar que nos lo ha enviado y observar que no sean ejecutables. Si los hemos descargado, debemos utilizar herramientas como VirusTotal antes de ejecutarlos.
  • No contestar en ningún caso a este tipo de mensajes.
  • Tener siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus, comprobar que está activo.
  • Contar con políticas de seguridad que protejan los dispositivos móviles corporativos, estableciendo un sistema de control centralizado para definir, por ejemplo, las configuraciones establecidas, actualizaciones periódicas, aplicaciones permitidas, etc.

Además, para reforzar estos consejos es importante realizar acciones de concienciación en ciberseguridad entre todos los miembros de la organización.

Recuerda que puedes contactar con nosotros a través del servicio Tu Ayuda en Ciberseguridad de INCIBE: la Línea de Ayuda 017, los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o el formulario de contacto para empresas, que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.

017 tu linea de ayuda en ciberesguridad