Dentro de las ciberamenazas que circulan desde hace tiempo por nuestros ordenadores y dispositivos digitales, encontramos el smishing, un tipo de ciberataque dirigido a nuestros móviles que puede hacer mucho daño. En este artículo explicamos en qué consiste el smishing, cómo reconocerlo y cómo protegernos de él.
En este artículo hablamos de:
¿Qué es el smishing y qué objetivos persigue?
La mayoría de la gente a día de hoy está familiarizada con el phishing y el tipo de ciberataque qué es y sus riesgos. La mayoría sabemos reconocer un correo fraudulento que nos pide pinchar en un enlace, facilitar nuestros datos de usuario y descargar un archivo, y por tanto, sabemos que lo que hay que hacer con ellos es enviarlos directamente a la carpeta de spam (y reportarlos si tenemos la opción en nuestro servidor de correo electrónico).
El smishing, aunque también habitual, es un ataque menos conocido y en el que es relativamente más fácil caer, especialmente si se dan ciertas circunstancias (como veremos más adelante).
Si tuviéramos que dar una definición de smishing, diríamos que trata de una estafa llevada a cabo a través del envío de un mensaje de texto fraudulento al móvil, cuya finalidad es convencer a la víctima de que introduzca sus datos personales, normalmente información bancaria referente a su tarjeta de crédito o débito, con el objetivo de llevar a cabo la suplantación de identidad y robarle su dinero.
Por lo tanto, el smishing es una variante del phishing pero realizada a través de un mensaje de texto enviado al móvil. De ahí viene su nombre, que combina el término «SMS» y «phishing».
¿Cómo funciona el smishing?
El smishing funciona de forma muy similar al phishing, apoyándose en técnicas de ingeniería social para engañar a las víctimas, haciéndoles creer que el mensaje de texto (SMS) que han recibido en el móvil proviene de una fuente legítima, como puede ser el banco, un servicio de paquetería, una plataforma de streaming, etc.
El mensaje de texto del smishing siempre tiene una connotación de urgencia (te han bloqueado la cuenta, la tarjeta, tienes un paquete que recoger, etc.) y siempre viene acompañado de un enlace que te conducirá a un sitio fraudulento, como ocurre en los ataques de pharming, para que introduzcas los datos personales que necesitan los ciberdelincuentes para robarte o para que descargues una aplicación maliciosa que llenará tu móvil de malware para hacerse con tus datos, credenciales y, si tienes una tarjeta de crédito vinculada al mismo, robarte tu dinero.
También puede ser que se pida a la víctima responder ciertas preguntas a través de SMS o que llame a un número de teléfono, que tendrán una tarificación especial (más cara) y que pueden acabar suscribiendo a la víctima a un servicio premium.
Y si el smishing es un problema para cualquier particular, para las empresas puede acarrear peores consecuencias, puesto que muchas personas utilizan su móvil particular para trabajar (lo que se conoce como BYOD, «trae tu propio dispositivo») y ser víctima de uno de estos ataques podría dejar abierta la puerta a información confidencial de la empresa o incluso acceso a su red interna a través de las credenciales de la víctima.
Algunos ejemplos
Como dijimos, el smishing es un tipo de ciberataque bastante habitual, aunque menos conocido por el público general, sin embargo, basta con escribir la palabra en el buscador para dar con diferentes ejemplos de ataques de smishing.
El ejemplo más reciente y que ha llegado a las noticias, es la llamada estafa del SMS de FedEx, un ataque smishing muy sofisticado, que descargará en tu móvil Android un malware para acceder a tu cuenta bancaria desde él y a tu directorio de contactos para tratar de infectar a más víctimas.
En este caso, la víctima recibe un SMS supuestamente de FedEx (un servicio de paquetería), incluso el número del que parece proceder es español, en el que aparece su nombre (una de las razones que lo hacen más peligroso, no comienza con un «Hola usuario», sino con el nombre de la víctima) y un texto en el que comunican que no se ha podido entregar un paquete, junto a un enlace para programar una nueva fecha de entrega.
Si pinchamos en el enlace, iremos a una web que imitará a la de FedEx. Aquí se solicita que descarguemos una aplicación para instalarla en el móvil (ojo, porque no envían a ninguna tienda de apps oficial, sino que se descarga desde la web maliciosa). Una vez instalada, la app nos pedirá darle varios permisos, que al ser aceptados activarán el malware que viene con ella.
Esta app fraudulenta sustituirá, sin que nos demos cuenta, nuestra app de SMS en el móvil, de manera que ya no podremos ver los SMS que enviamos y recibimos y, ojo, porque la app puede enviar SMS de forma automática desde nuestro móvil. Además, puede ver todo lo que hacemos en el móvil, pudiendo leer los nombres y contraseñas que introduzcamos en el móvil, dejando así acceso libre a cualquiera de nuestras cuentas, incluida la bancaria si usamos la aplicación de banca online en el teléfono.
El peligro de este ataque de smishing está en que la app que instala en el móvil es bastante sofisticada, difícil de eliminar del dispositivo y capaz de enviar el SMS inicial a otras personas de nuestra lista de contactos (es así como consigue los nombres).
Otro ejemplo de smishing más general lo tenemos en los SMS que se usan para intentar suscribir a la víctima a un servicio SMS premium. Normalmente, el texto empleado aquí es decirnos que hemos resultado ganadores de algún sorteo y que para obtener el premio debemos enviar un mensaje con una palabra determinada a un número concreto. Al hacerlo, quedaremos suscritos al servicio premium (que tiene una tarificación especial) y que puede que no descubramos hasta recibir la siguiente factura del móvil.
Otra variante de este tipo de mensajes de smishing son «cupones» de descuento u ofertas, que para canjearlas debemos enviar un mensaje a un número de teléfono determinado.
También es posible que se nos pida llamar a un teléfono concreto; en este caso, el smishing y el vishing se mezclan para conseguir que la víctima acabe llamando a un número de tarificación especial o suscrita a un servicio premium o que de sus datos personales. Este SMS suele recurrir a enviar un «aviso» de que alguien nos ha llamado por un motivo urgente y necesita que nos pongamos en contacto con él a través del número que facilitan.
¿Cuáles son las formas más habituales del smishing?
Las formas más habituales del smishing son, por un lado, la inclusión de un enlace que lleva a una web fraudulenta, donde la víctima o bien debe introducir sus datos personales y contraseña, para ser robados, o bien tiene que descargar una app (como hemos visto con el ejemplo de la estafa de FedEx).
Y por otro lado, un enlace que descarga de forma automática un malware al móvil, infectándolo y dándole acceso a las partes del dispositivo para las que haya sido diseñado. En ocasiones, puede tratarse de un app en apariencia legítima, pero que en realidad suplanta a la aplicación oficial.
En cualquier caso, la puerta de entrada en el smishing es siempre un mensaje de texto, de carácter urgente, que incluye un enlace o un número de teléfono al que llamar.
Detecta y protégete contra el smishing
Aunque las consecuencias de ser víctima de un ataque de smishing pueden ser bastante graves, lo cierto es que, como ocurre con el phishing, los intentos de smishing son fáciles de detectar y evitar. Y de hecho, la mejor defensa contra ellos es eliminar cualquier SMS que nos parezca sospechoso, especialmente si incluye un enlace.
Así, estos son algunos consejos que podéis seguir para proteger vuestros móviles de esta práctica:
- Recuerda que ningún banco, plataforma de streaming, servicio técnico, etc., va a enviarte un SMS en el que te pidan introducir tus datos de usuario o descárgate una aplicación, para desbloquear tu cuenta. Pero si tienes dudas, antes de descargar nada o pulsar en un enlace, ponte en contacto con la compañía que supuestamente te ha enviado el mensaje y pregunta, así podrás asegurarte.
- A día de hoy es complicado, porque la mayoría de las personas usan las apps de banca online para operar desde sus móviles, pero procura, si puedes, no guardar información bancaria en él.
- Si no te has apuntado a ningún sorteo y recibes un SMS diciendo que has ganado algo, desconfía automáticamente, especialmente si tienes que llamar o enviar un mensaje a otro número de teléfono o pinchar en un enlace para recoger tu premio.
- El consejo de arriba aplícalo a SMS sobre la recogida de un supuesto paquete. Puede dar la casualidad de que estés esperando un paquete, pero lo habitual es que cuando no se consigue realizar la entrega, el servicio de paquetería te llame por teléfono. Pero en caso de duda, no pinches en el enlace del SMS y ponte en contacto con la compañía de mensajería para comprobarlo antes.
- Desconfía siempre de SMS de procedencia desconocida y, sobre todo, no les escribas de vuelta o llames al número de teléfono que incluyen.
En definitiva, SMS que veas que tiene un enlace o te pida descargar una app, elimínalo directamente. Si no muerdes el anzuelo, tu móvil, datos y dinero estarán a salvo de los ciberdelincuentes.
¿Qué puedes hacer si has sido víctima de este fraude?
Si alguna vez eres víctima de smishing, lo primero que debes hacer es desconectar tu móvil de Internet y lo siguiente, ponerte en contacto con tu banco para cancelar las tarjetas. Lo segundo, es cambiar la contraseña de la banca online y del resto de servicios a los que accedas desde el móvil, pero hazlo desde un ordenador.
En tercer lugar, deberás desinstalar cualquier app sospechosa que hayas podido descargar en el móvil. Sin embargo, esto no asegurará que te libres del malware que se haya podido instalar en tu móvil de manera completa, así que lo mejor es restaurar el móvil a sus ajustes de fábrica y formatearlo, esto eliminará todo lo que hayas podido instalar en el móvil, incluida las apps fraudulentas y su malware (recuerda hacer copia de seguridad de lo que necesites antes, pero sin introducir contraseñas).
Y denuncia el fraude en la Policía Nacional, la Guardia Civil o en los juzgados, para lo que siempre debes aportar todas las pruebas pertinentes, por lo que antes de formatear el móvil, haz las capturas de pantalla que sean necesarias para ello.