¿Qué es el Smishing?
Smishing es el nombre como se conoce al Phishing que llega a través de SMS a nuestros dispositivos móviles. Aunque últimamente aparecen artículos en la prensa que hablan sobre él, no es un tipo de fraude nuevo, puesto que he encontrado publicaciones de hace años donde ya advertían sobre él.
Hasta ahora el medio más utilizado para acceder a internet eran los ordenadores, así que los esfuerzos de los ciberdelincuentes principalmente eran para realizar fraudes a través de estos. Pero ante el auge de la navegación por internet mediante los teléfonos móviles los crackers no han perdido el tiempo, y utilizan todos sus conocimientos para que sus fraudes también lleguen al móvil.
Del phishing al Smishing: números
Solo hace falta ver los números de uso de telefonía móvil que se publican: en España el número de usuarios de smartphones han pasado del 60% al 87% en estos 3 últimos años, y el 70% de los móviles ya disponen de mensajería instantánea (tipo whatsapp). En 2016 diversos estudios anunciaron que por primera vez el móvil había desbancado al ordenador como vía más usada para acceder a Internet (9 de cada 10 internautas usaban el móvil para navegar, mientras el 78,2% usaba el ordenador) (1).
Ante estos números es obvio pensar que los ciberataques de phishing no tienen futuro si sólo son a través del correo electrónico, sino que hay que explotar al máximo las funcionalidades propias de un smartphone, y a la vez pensar en la mejor manera de engañar a los usuarios para que no desconfíen de los intentos de fraude.
Smishing y la ingeniería social
“Ingeniería social”: práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. (2)
Siempre habréis oído hablar de las vulnerabilidades de software, de un dispositivo, etc. En el caso de los usuarios, nuestras vulnerabilidades son nuestras emociones. Cuando nos enfrentamos a un escenario que no esperamos nuestro primer impulso es actuar y pensar luego. Esta es la vulnerabilidad en la que los ingenieros sociales se basan para conseguir que su fraude tenga éxito.
Cómo funciona Smishing
Como he comentado al inicio del artículo se trata de un fraude de Phishing que se envía a través de un mensaje SMS a nuestro móvil. Dichos SMS simulan ser enviados por empresas conocidas, y solicitan a la víctima que ofrezcan datos personales o que visiten una página web. En algunas ocasiones también aconsejan que se descargue un programa que acostumbra a ser un troyano.
Un ejemplo de SMS dañino que está circulando últimamente es el que simula ser enviado por el centro de atención al cliente de Google, con su logotipo y todo, y advierte que tu contraseña ha sido comprometida y solicitan que la actualices clicando a un enlace que te lleva a una página falsa de Google donde has de introducir la contraseña antigua y la nueva.
Una vez has caído en el engaño y introduces la contraseña “antigua”, el ciberdelincuente ya puede acceder a tu cuenta de Google Apps, y a los documentos y fotos que tengas almacenados en la nube. Hasta pueden “secuestrarte” la cuenta pidiendo una cierta cantidad de dinero para permitir que puedas volver a disponer de ella.
También ha habido intentos de Smishing para capturar cuentas de usuarios de Apple(3), así como para conseguir datos bancarios con mensajes tipo “para verificar su cuenta introduzca su PIN”. Pero los que este año han sido “la estrella” son los SMS suplantando a Hacienda durante la campaña de declaración de la Renta 2016 sobre los que advertía hace meses la Policía Nacional(4).
Cómo evitar ser víctima de Smishing
La mejor manera de evitar ser víctima de Smishing es desconfiar de los mensajes que recibamos de gente desconocida, así como de los que amenazan con suspendernos cierta cuenta si no proporcionamos los datos inmediatamente.
Ningún banco, compañía de suministros, banco, o Google, va a pedir tus datos personales través de un SMS (¡ni de un correo electrónico!), solamente lo harán los ciberdelincuentes.
Ante cualquier duda de si el SMS que acabas de recibir es de quien dice ser, no dudes en llamarlos o dirigirte a ellos para confirmar que se trata de un intento de Smishing.
Formación profesional de interés: Curso de Auditoría de Seguridad
Este curso perteneciente al Máster en Dirección y Gestión de la Ciberseguridad, permite adentrar al alumno en el ámbito de la auditoria de la Ciberseguridad para poder entender y mejorar estos procesos, especialmente en los ambientes cibernéticos que influyen a su vez en todos los demás aspectos de una entidad u organización. Solicita información sin compromiso y consulta por nuestras becas y ayudas disponibles para que puedas acceder a este fabuloso curso de título propio.
…………………………………………………………………………………………………………………………………………………………………………
Fuentes referenciadas:
- https://www.lavanguardia.com/economia/20160405/40883932804/movil-desbanca-ordenador-via-mas-usada-acceder-internet.html
- https://es.wikipedia.org/wiki/Ingenier%C3%ADa_social_(seguridad_inform%C3%A1tica)
- https://www.mejor-antivirus.es/noticias/campana-de-phishing-via-sms-contra-usuarios-de-apple.html
- https://omicrono.elespanol.com/2017/03/estafa-sms-renta-declaracion/
Fuentes consultadas
https://us.norton.com/internetsecurity-emerging-threats-what-is-smishing.html