Smishing: los mejores consejos para luchar contra el phishing por SMS

El término smishing surge de unir los elementos SMS y phishing. De manera similar al phishing, los ci­be­r­de­li­n­cue­n­tes que envían estos mensajes se hacen pasar por re­pre­se­n­ta­n­tes de una empresa u or­ga­ni­za­ción fiable, solo que, en lugar de correos ele­c­tró­ni­cos, utilizan SMS (Short Message Service). Estos mensajes de móvil sirven, o bien para instar a la víctima a revelar datos de su cuenta, o bien para instalar malware y troyanos en su móvil sin que se percate.

Si bien con esta de­fi­ni­ción de smishing podría pensarse que tales mensajes son fá­ci­l­me­n­te ide­n­ti­fi­ca­bles, lo cierto es que no siempre es sencillo reconocer un SMS de phishing. Los ci­be­r­de­li­n­cue­n­tes saben cómo manipular las emociones de la víctima para llevarla a cometer acciones irra­cio­na­les. En nuestro artículo te damos algunos consejos y te ex­pli­ca­mos cómo actúan los smisher. Te mostramos también qué forma suele tener un SMS de phishing y cómo puedes comprobar la au­te­n­ti­ci­dad del mensaje.

Los llamados smisher han de­sa­rro­lla­do di­fe­re­n­tes maneras para conseguir in­fo­r­ma­ción de los usuarios de sma­r­t­pho­nes, pero el patrón siempre es el mismo: el emisor del mensaje se hace pasar por un re­pre­se­n­ta­n­te de una empresa o un conocido de la víctima y le cuenta alguna historia que la motive a comunicar sus datos pe­r­so­na­les o a descargar, sin saberlo, algún tipo de malware. Este co­m­po­ne­n­te de carácter personal es clave para que el smishing funcione y se conoce también bajo el nombre de in­ge­nie­ría social (social en­gi­nee­ri­ng). El atacante intenta tra­n­s­mi­tir un se­n­ti­mie­n­to de especial confianza para así manipular emo­cio­na­l­me­n­te a la víctima, que debe tener la impresión de que lo mejor que puede hacer en tal situación es seguir las in­di­ca­cio­nes del mensaje y olvidarse de cualquier tipo de medida pre­ve­n­ti­va.

En los párrafos si­guie­n­tes te pre­se­n­ta­mos los co­m­po­ne­n­tes más ca­ra­c­te­rí­s­ti­cos de un SMS de phishing para que te hagas una idea de cómo funcionan estos mensajes frau­du­le­n­tos y sepas en qué fijarte para comprobar si se trata de un SMS auténtico.

Es todo un clásico del smishing: un mensaje corto, escrito como si el emisor fuera un amigo, y que pretende despertar la cu­rio­si­dad del receptor para que haga clic en el enlace que contiene. Al hacer clic en dicho enlace, se descarga de fondo au­to­má­ti­ca­me­n­te un programa que da al atacante acceso al móvil. Si se trata de un smisher pro­fe­sio­nal, la víctima no se percata en absoluto de la descarga y, por lo tanto, tampoco del peligro que corren sus datos pe­r­so­na­les.

Una conocida técnica del phishing por correo ele­c­tró­ni­co es incitar a las personas a visitar una página web usando un fo­r­mu­la­rio como cebo. Este modo de proceder también se da en forma de smishing: los de­li­n­cue­n­tes incluyen en el mensaje de texto un enlace que lleva a un fo­r­mu­la­rio. Cuando la víctima introduce sus datos en dicho fo­r­mu­la­rio, estos se envían di­re­c­ta­me­n­te al de­li­n­cue­n­te. Esta técnica es muy popular, sobre todo, cuando se trata de obtener datos de cuentas de banco o de tarjetas de crédito. El SMS enviado suele hablar de un problema de seguridad que su­pue­s­ta­me­n­te requiere que se indiquen in­me­dia­ta­me­n­te los datos del usuario.

La variante de esta técnica llamada spear smishing (que podría tra­du­ci­r­se como smishing con lanza) dirige el ataque hacia una persona es­pe­cí­fi­ca. Para hacerlo, los atacantes reúnen en primer lugar in­fo­r­ma­ción, por ejemplo, de los perfiles de la víctima en las redes sociales. Basándose en los datos obtenidos, redactan un SMS de phishing a medida de la víctima, añadiendo incluso datos pe­r­so­na­les. Tanto el spear phishing, es decir, el robo de datos mediante correos ele­c­tró­ni­cos pe­r­so­na­li­za­dos, como el spear smishing, consiguen así que sus mensajes resulten es­pe­cia­l­me­n­te creíbles.

El smishing también se usa para lograr que el cliente llame a una supuesta línea de atención al cliente de una empresa que se indica en el mensaje. Una vez al teléfono, el atacante tratará de so­n­sa­car­le in­fo­r­ma­ción. Esta técnica da a los de­li­n­cue­n­tes la ventaja de resultar muy creíbles. Puesto que es habitual que los usuarios de­s­co­n­fíen, y con razón, a la hora de in­tro­du­cir sus datos en un fo­r­mu­la­rio online, la de­s­via­ción a una llamada te­le­fó­ni­ca se usa para dar la impresión de seriedad. De hecho, existe el llamado vishing (voice phishing), un método similar con el que los de­li­n­cue­n­tes tratan de conseguir datos sensibles mediante llamadas directas por VoIP.

Los intentos de smishing siempre suelen tratar de co­n­ve­n­ce­r­te de que ha ocurrido un accidente o un problema que requiere acciones in­me­dia­tas. Por lo tanto, no actúes nunca pre­ci­pi­ta­da­me­n­te: en lugar de eso, examina ate­n­ta­me­n­te el SMS. A co­n­ti­nua­ción, hemos reunido los criterios más si­g­ni­fi­ca­ti­vos que te permiten di­s­ti­n­guir un SMS auténtico de un SMS de phishing. Todos tienen en común una cuestión: ¿cuán au­té­n­ti­cos son el emisor y el contenido del SMS?

Consejo 1. Fíjate en si hay errores de or­to­gra­fía o de gramática. Muchos ci­be­r­de­li­n­cue­n­tes actúan en di­fe­re­n­tes países y utilizan para ello he­rra­mie­n­tas de tra­du­c­ción au­to­má­ti­ca, lo cual suele hacerse patente en los mensajes de texto que envían.

Consejo 2. Comprueba el número de teléfono desde el que se envía el mensaje para ver si realmente pertenece a la supuesta empresa. Ten en cuenta, sin embargo, que solo porque el número parezca auténtico, no significa que el mensaje también lo sea: los smisher pueden usar la llamada técnica del spoofing para lograr que aparezca un número falso.

Consejo 3. Pre­gú­n­ta­te en qué si­tua­cio­nes es apropiado usar los SMS como medio de co­mu­ni­ca­ción. Un banco, por ejemplo, nunca avisaría de un problema por SMS. Incluso la pro­ba­bi­li­dad de que te avisen por SMS de que has ganado algún tipo de lotería es prá­c­ti­ca­me­n­te nula.

Consejo 4. No in­tro­du­z­cas, en ningún caso, datos fi­na­n­cie­ros o de pago en webs ni en fo­r­mu­la­rios que aparezcan enlazados en un SMS. Tampoco hagas nunca clic en enlaces de re­mi­te­n­tes de­s­co­no­ci­dos o de personas en las que no confíes ple­na­me­n­te. Desconfía, es­pe­cia­l­me­n­te, de mensajes que te insten a hacer algo ur­ge­n­te­me­n­te.

Consejo 5. Instala un programa antivirus en tu sma­r­t­pho­ne y mantenlo siempre ac­tua­li­za­do. Este tipo de software de seguridad no garantiza que el teléfono no pueda ser infectado con software malicioso, pero sí supone un aumento de la seguridad al que no se debería renunciar.