Fraude y seguridad

¿Qué es el smishing? Definición del phishing por SMS

Image for ¿Qué es el smishing? Definición del phishing por SMS

Al igual que internet, parece que los ciberdelincuentes nunca duermen. Estos estafadores no descansan en su empeño de explotar a personas, empresas y datos con fines lucrativos. Y una de sus formas más perniciosas de fraude se llama smishing.

En solo seis meses de 2021, los ataques de smishing aumentaron más de un 700 % y costaron a las víctimas más de 10 000 millones de dólares. Las víctimas van desde particulares a empresas cuyos empleados caen en el smishing mientras utilizan el software y los canales de comunicación de la empresa. De forma alarmante, la variedad de amenazas siguió evolucionando en 2022 y tres de cada cuatro profesionales de TI de todo el mundo informaron de que su organización había sufrido ataques de smishing ese año.

En este artículo daremos una definición del smishing, explicaremos cómo funciona, pondremos algunos ejemplos y te mostraremos cómo protegerte a ti y a tu empresa para que no os engañen estafadores.

¿Qué es el smishing?

Smishing, abreviatura de phishing por SMS, es un intento de engañar o manipular a particulares o empresas para que revelen información personal sensible o valiosa a través de SMS y otras formas de mensajería SMS.

Los estafadores se hacen pasar por empresas reales (como servicios de reparto, empresas de servicios públicos, instituciones financieras u organismos gubernamentales) o contactos de confianza y envían mensajes de texto fraudulentos a los teléfonos móviles. Se aprovechan de la confianza y engañan a las víctimas para que revelen datos personales o información relacionada con su negocio, incluidos nombres, fechas, datos de tarjetas de crédito, información financiera, números de la seguridad social, credenciales de inicio de sesión y contraseñas. Luego venden esos datos en el mercado negro o los utilizan para robar identidades, sustraer dinero de cuentas bancarias o desviar pagos a sus propios bolsillos.

Los estafadores eligen el smishing frente a otros tipos de ataques de phishing por varios motivos. Uno de los motivos más importantes por los que eligen el smishing es que las tasas de clics de los SMS rondan el 20 %, frente al 3-5 % del email. Según Gartner, las tasas de respuesta de los SMS alcanzan el 45 %, lo que significa que es más probable que los destinatarios hagan caso a un SMS que a un correo electrónico, que tiene una tasa media de respuesta del 6 %. Además, los estafadores pueden enmascarar el origen de los mensajes de smishing utilizando tácticas como la suplantación de identidad o el software de texto a email.

Diferencias entre phishing y smishing

El smishing es una forma de phishing. Se refiere concretamente a los ataques de phishing que se producen a través de SMS u otros canales de mensajería (SMS + phishing = smishing).

Los ataques de phishing existen desde hace mucho tiempo (se cree que el primero se originó en 1995, nada menos), y se producen a través de diversos canales de comunicación y dispositivos. La mayoría de los ataques de phishing tienen algunas cosas en común: suelen implicar tácticas engañosas para inducir a las personas a revelar información confidencial, a menudo transmiten cierta sensación de urgencia o miedo para manipular las emociones del destinatario, y con frecuencia utilizan páginas web o enlaces que parecen legítimos.

En el mundo del phishing, los estafadores se presentan como una empresa o persona real y legítima en la que es probable que la víctima confíe, y se aprovechan de esa confianza para conseguir que revele datos personales que pueden utilizar para acceder a su información bancaria, lo que le cuesta a la víctima mucho dinero y frustración.

El phishing puede producirse por teléfono (también llamado «vishing», de «voice + phishing»), email, redes sociales, páginas web fraudulentas y muchos otros canales. Puede implicar enlaces en los que hacer clic, formularios que rellenar o simplemente hablar con un estafador real por teléfono.

Cómo funciona el smishing

Los ataques de smishing no siempre son aleatorios, y a veces las empresas o los particulares pueden ser el objetivo de un ataque intencionado, con un objetivo concreto. Para que el smishing funcione, un estafador necesitará primero tu número de teléfono, y hay varias formas de conseguirlo. Las violaciones de datos son fuentes habituales, pero a veces un estafador se limita a adivinar números en prefijos telefónicos concretos. En zonas densamente pobladas, acertarán algunos números.

Una vez que los tengan, puede comenzar el ciberataque. Esto es lo que ocurre desde la perspectiva de la víctima.

La víctima recibe un mensaje de texto

En primer lugar, la víctima recibe un mensaje que parece proceder de una empresa legítima. Podría parecer que procede de un banco, PayPal, Amazon, una compañía de tarjetas de crédito, otra empresa que hace negocios con la empresa de la víctima, una entidad gubernamental y muchas otras fuentes.

A menudo, el número de teléfono u otros datos identificativos son iguales o lo bastante parecidos como para pasar por un remitente en el que la víctima confía.

Los mensajes de smishing comparten características comunes: el mensaje informará al destinatario de que tiene que hacer clic en un enlace, rellenar un formulario, verificar su dirección o información de inicio de sesión, o incluso llamar o enviar un mensaje de texto para resolver cualquier situación que se haya inventado para engañarle.

Normalmente, estas estafas transmiten cierta sensación de urgencia: hay una situación importante que exige actuar de inmediato. En algunos casos incluso le dirán que unos piratas informáticos han hackeado su cuenta y que tienen que cambiar sus datos de inicio de sesión.

La víctima hace clic o responde

A continuación, si la víctima no comprende que el mensaje es fraudulento, puede hacer clic en él o responder, pensando que debe actuar enseguida ya que confía en el remitente.

Si el mensaje contiene uno o varios enlaces maliciosos (el propio enlace puede ser la estafa), al hacer clic en él se descarga malware o spyware en su dispositivo móvil. En ese caso, parecerá que no ha pasado nada. Pero ahora, un atacante ha instalado spyware en el smartphone de la víctima y podrá vigilar las teclas que pulsa y averiguar sus contraseñas y otra información confidencial. Más adelante, la víctima puede darse cuenta de que se ha sacado mucho dinero de su cuenta y preguntarse cómo se lo han podido robar.

La víctima comparte información confidencial

Al hacer clic en el enlace incluido en el texto de smishing, la víctima también puede entrar en una página web que parece pertenecer al remitente, como un banco, por ejemplo. La página tendrá un formulario o una encuesta para rellenar. Y una vez que lo hace, los defraudadores tienen suficiente información para robarle o cometer fraude.

El estafador utiliza esa información para robarle

Con la información personal en la mano, los estafadores hacen todo lo posible para arruinarle la vida a la víctima en su propio beneficio. Cuanto más tiempo tenga los datos personales de la víctima sin que esta se dé cuenta, más daño podrá hacer el estafador.

Según la información personal que la víctima haya compartido con él, el atacante podría robarle inmediatamente. O podría estar conectado a redes en las que puede vender información privada en páginas web de canales no oficiales.

En ese caso, a la víctima podrían estafarle varias personas antes incluso de darse cuenta de lo que está ocurriendo.

Infografía sobre cómo funciona el smishing (phishing por SMS)

¿Qué aspecto tiene un mensaje de smishing?

El smishing es solo uno de los muchos tipos de ciberdelincuencia que existen, pero es uno de los peores por lo reales que parecen algunos de estos mensajes. Incluso personas que han oído hablar de las estafas de smishing se han convertido en víctimas porque son muy difíciles de detectar.

Estas son las señales de advertencia habituales de que un mensaje de texto puede ser un intento de smishing:

Número de remitente inusual

Si una empresa conocida te envía un mensaje de texto (y has aceptado recibir mensajes suyos), cualquier número de teléfono con el que se ponga en contacto contigo debería ser fácil de verificar. Desconfía de los mensajes procedentes de fuentes desconocidas o sospechosas, sobre todo si contienen peticiones urgentes, ofertas no solicitadas o enlaces para hacer clic.

Por ejemplo, si Amazon te envía un email diciendo que no se ha podido entregar tu paquete y que debes verificar tu dirección, no te va a dar un número de teléfono utilizando tu prefijo local.

Ten en cuenta que los estafadores de smishing a veces utilizan números de remitente enmascarados para ocultar sus verdaderas identidades, por lo que es crucial que actúes con precaución y verifiques la autenticidad de cualquier mensaje inesperado.

Errores ortográficos y gramaticales

Otro rasgo distintivo de las estafas por mensajes de texto son los errores ortográficos y gramaticales. Los estafadores suelen escribir sus mensajes a toda prisa y les cuesta redactar siquiera unas pocas frases coherentes sin cometer errores gramaticales evidentes. Sin embargo, también es fundamental saber que los estafadores se han vuelto cada vez más hábiles, ya que utilizan la IA para generar mensajes increíblemente realistas que parecen escritos por un ser humano.

Recuerda que las organizaciones y personas serias suelen procurar comunicarse con claridad y profesionalidad. Cualquier mensaje con palabras mal escritas, estructuras de frases extrañas o errores lingüísticos debe considerarse sospechoso.

El enlace URL está acortado, oculto o parece sospechoso

Otra forma de detectar las estafas de smishing es estudiar el enlace en el que quieren que hagas clic.

Puede que veas enlaces muy cortos difíciles de descifrar, o enlaces ocultos por otros gráficos en el texto. También puedes advertir un carácter de más en un enlace, como «paypall.com». Esa «l» de más es una señal clara de una estafa.

A veces habrá caracteres adicionales en otros lugares, separados por puntos para que parezca más técnico. Por ejemplo, en el ejemplo siguiente, puedes observar que la URL es «br1ckbank.com», cuando el banco legítimo se llamaría «Brick Bank». Esto ilustra el tipo de cambios en las URL, pequeños pero sospechosos, que los estafadores suelen utilizar para engañar a la gente y que haga clic en ellas.

Tres ejemplos de smishing, uno al lado del otro
Para mantenerte a salvo, es fundamental que actúes con precaución cuando recibas mensajes de cualquier tipo que tengan números del remitente inusuales, errores ortográficos y gramaticales, o URL sospechosas.

9 ejemplos de las estafas de smishing más habituales

He aquí algunos tipos de ataques de smishing que los estafadores pueden utilizar para engañarte y estafarte bajo la apariencia de alguien en quien confías:

1. Alertas de seguridad falsas

Imagínate que recibes una notificación de que tu cuenta ha sido objeto de un ataque y tienes que volver a verificar tu información y cambiar tu contraseña.

Es importante cuestionar la legitimidad de tales afirmaciones. Estas alertas de seguridad falsas son una táctica clásica de smishing precisamente porque captan tu atención. Los estafadores pretenden engañarte para que compartas tus credenciales de inicio de sesión actuales.

Si acabas compartiendo tus credenciales de acceso, el estafador podrá cambiar tu contraseña real y no podrás entrar en tu propia cuenta.

2. Premios o concursos falsos

A todo el mundo le gusta ganar, así que los estafadores se aprovechan de ese deseo enviando mensajes de texto que parecen de empresas en las que confías anunciando que has ganado una tarjeta regalo o algún otro concurso. Basta con que rellenes un formulario para verificar tus datos, y el premio será tuyo.

Solo que no hay premio. Y una vez que rellenas ese formulario, el estafador tiene tu información.

3. Estafas relacionadas con envíos

«No se ha podido entregar tu paquete y tenemos que volver a verificar tu dirección». Este es un mensaje de estafa habitual relacionado con un envío. De hecho, los estafadores de smishing suplantan la identidad de la mayoría de los grandes transportistas con frecuencia. Ten cuidado con las estafas relacionadas con envíos que simulan ser de Correos, SEUR, UPS, FedEx y grandes empresas de comercio electrónico como Amazon.

4. Estafas de facturas falsas

Las estafas con facturas son similares a las estafas relacionadas con envíos. Recibes una factura que parece proceder de una fuente de confianza, como PayPal o una empresa de transportes seria, en la que se afirma que les debes dinero.

Pero la factura es falsa y, si la pagas, no solo se quedan con tu dinero, sino que tienen los números de tu tarjeta de crédito y otros datos para extraer más de tus cuentas. Después, también pueden vender tu información en la internet oscura.

5. Solicitudes de código de verificación

Por desgracia, los estafadores han encontrado la forma de aprovecharse de la autenticación multifactor. En esta estafa, recibes un SMS diciendo que tienes que introducir un código de verificación para confirmar que se ha producido algún evento. Puede ser una transferencia de dinero, una compra, un cambio de contraseña o cualquier otro evento que deba verificarse.

Pero la realidad es que no se ha producido ningún evento auténtico. Y una vez que confirmas involuntariamente esta solicitud, los estafadores disponen de la información que les acabas de facilitar, lo que les permite acceder potencialmente a tus cuentas y datos personales.

6. Estafas fiscales

Se trata de una táctica de los defraudadores que genera bastante urgencia e inquietud donde se hacen pasar por autoridades fiscales. Pueden enviarte mensajes diciéndote que debes dinero de tus impuestos y que habrá graves consecuencias si no saldas pronto tus deudas. Eso sí, es importante reconocer que los organismos públicos no suelen funcionar así, y si debes dinero, no van a enviarte un mensaje de texto. Cuando realmente debas impuestos, la forma de avisarte será más formal, como una carta escrita por correo postal u otros métodos de comunicación.

Por otro lado, otra estafa relacionada con los impuestos podría decir que tienes una devolución de impuestos que no has reclamado. En lugar del miedo, te motiva el atractivo de una repentina ganancia inesperada de dinero para responder.

En ambos casos, es crucial discernir que estas comunicaciones no proceden de organismos públicos y que, si respondes, te arriesgas a poner tu información personal en manos de estafadores con intenciones maliciosas.

7. Alertas financieras falsas

Las estafas de alertas financieras pueden tener como objetivo informarte por SMS de eventos recientes o inminentes relacionados con tus cuentas bancarias o de tarjetas de crédito.

Estas alertas suelen hacer referencia a distintas situaciones, como transferencias de dinero desde o hacia tus cuentas, cambios en tu cuenta, nuevas ventajas u ofertas especiales que solo están disponibles durante un tiempo limitado, por lo que necesitas actuar de inmediato. Mantente alerta y verifica la autenticidad de estos mensajes para garantizar tu seguridad financiera.

8. Mensajes que dicen ser de alguien que conoces

La estafa del «amigo de confianza» es especialmente difícil de detectar si no prestas atención. Si la información de un amigo o compañero de trabajo ha sido objeto de un ataque, el estafador puede enviarte un mensaje que realmente proceda de su número de teléfono.

Puede que te hable de una emergencia familiar para la que necesita ayuda, o de un concurso que acaba de ganar, o cualquier otro mensaje. Si no parece un mensaje que tu amigo o compañero enviaría, probablemente es porque no lo hizo.

En la siguiente sección aprenderás cómo enfrentarte a SMS sospechosos como este.

9. Solicitudes de información confidencial

Esto incluye cualquier otro mensaje sospechoso recibido por SMS. Si se ponen en contacto contigo con un mensaje de texto y te piden datos confidenciales, o te piden que hagas clic en un enlace pero la explicación del porqué no parece correcta, probablemente se trate de una estafa.

En resumidas cuentas, muy pocas empresas legítimas solicitarán información confidencial mediante mensajes de texto. Las empresas serias son conscientes de los riesgos de fraude que conlleva y, por tanto, se abstienen de hacerlo.

Cómo evitar el phishing por SMS (smishing)

Recuerda que, como empresa, hay dos formas de que el smishing te perjudique. Puede perjudicar a tus empleados a título personal, y puede perjudicar a toda tu empresa. Depende de la naturaleza del ciberataque.

Si el ataque de smishing incluye un enlace que carga malware o ransomware en los sistemas de tu empresa, los atacantes podrían acceder a los datos de contacto de tus empleados y a otra información privada.

Esta es una de las formas en las que los estafadores de smishing envían mensajes que parecen ser de personas que conoces. Utilizan la información de esa persona, y se aprovechan de tu confianza en ella para intentar engañarte y que compartas datos personales valiosos.

Entonces, ¿qué puedes hacer para evitar los ataques de smishing? Aquí tienes algunas opciones.

No hagas clic en enlaces de una marca o persona que no conozcas y en la que no confíes

En primer lugar, lo más sencillo es no hacer nada. Si no conoces al remitente, no respondas. No hagas clic. No hagas nada por impulso o sin pensar.

Ponte en contacto con el remitente para verificar un SMS

Si los remitentes parecen legítimos pero sospechas y no sabes cómo verificarlo por tu cuenta, llama a la empresa, organización o persona real y verifícalo directamente con ellas.

Haz una búsqueda en internet sobre la estafa

Algunas estafas pueden incluir determinadas palabras, frases u otra información que sea lo suficientemente única como para buscarlas en internet. En el caso de las estafas que llevan circulando un poco más de tiempo, lo que incluye a la mayoría de ellas, ya que los estafadores no son lo bastante creativos como para seguir probando nuevas estafas cada semana, es posible que encuentres artículos de blogs e hilos de comentarios en los que se exponga esa estafa concreta como lo que es.

Así que, si no puedes verificarlo con la empresa o institución, intenta hacer una búsqueda en internet utilizando la información del propio mensaje.

Elimina el SMS si no puedes verificarlo

Si tienes la certeza de que es una estafa, elimínalo. Si es legítimo, no dudes de que la empresa intentará ponerse en contacto contigo de nuevo si es tan importante.

Forma a tus empleados sobre el smishing

Por último, en el caso de las empresas, no abandones a tus empleados a su suerte. Es fundamental tomar la iniciativa y crear programas de formación que expliquen qué buscar y cómo responder cuando reciban un mensaje de texto sospechoso.

Haz hincapié en las estafas por SMS difíciles de detectar que pueden provenir de compañeros de trabajo o de otras empresas con las que hayas hecho negocios anteriormente.

Anima a los empleados a que denuncien cualquier intento de smishing u otros problemas de seguridad ante el equipo de seguridad interna. Recuerda que la concienciación colectiva y la denuncia rápida pueden ser la primera línea de defensa de tu organización contra el smishing.

Como nota adicional, también puedes empezar a abogar por soluciones a nivel de políticas, ya que el smishing y otras estafas de mensajería son un problema global.

Qué pueden hacer las empresas para evitar el smishing

Los SMS son una herramienta de comunicación extraordinaria para las empresas, ya que ofrecen una forma directa y eficaz de interactuar con clientes y empleados. Pero es importante que todos desconfiemos de los mensajes de empresas desconocidas y nos mantengamos alerta ante la amenaza del smishing.

He aquí algunos puntos clave que debes transmitir a tus empleados sobre el phishing por SMS:

  • Verificar el remitente: Verifica la autenticidad de los mensajes SMS, especialmente los que solicitan información personal o financiera.
  • Tener cuidado con los enlaces/adjuntos: No hagas clic en enlaces de mensajes que no reconozcas. Ten cuidado aunque el mensaje parezca proceder de un contacto conocido.
  • Denunciar los mensajes sospechosos: Informa rápidamente de cualquier mensaje que plantee dudas o parezca un intento de phishing.

Formar a tus empleados es solo una de las muchas cosas que puedes hacer, como empresa, para evitar el phishing por SMS. Esto implica educar tanto a los empleados como a los destinatarios sobre las tácticas empleadas por los estafadores, y mejorar las medidas de ciberseguridad para detectar y frustrar el smishing y otras estafas relacionadas, como el fraude de las granjas de SIM.

Consulta nuestros recursos para ayudar a tu empresa a evitar el fraude en la mensajería empresarial. O infórmate sobre cómo pueden ayudarte los SMS para operadores de Sinch a mitigar el fraude por SMS.

Blogs relacionados