El móvil está en el punto de mira de los ciberdelincuentes, de ahí el auge del smishing, combinación de las palabras “SMS” y “phishing”. Es un tipo de ataque de ingeniería social que se realiza mediante mensajes de texto (SMS).
¿Cómo identificar un smishing? El phishing por correo electrónico suele dar pistas de sus intenciones. Además, puede que el propio gestor de correo envíe esos mails a la carpeta de correo no deseado. En el smishing no existen esas barreras, todos llegan directamente al móvil. A diferencia del correo, son muy breves y no hay muchas señales que les delaten.
El SMS fraudulento suele pedir a la víctima que haga clic en un enlace, descargue una aplicación o llame a un teléfono para “verificar”, “rastrear”, “actualizar” o “reactivar” algún servicio (entrega de un paquete, operación bancaria…). En realidad, el enlace lleva a un destino malicioso (sitio web, aplicación, formulario), y el número de teléfono es el de un estafador que suplanta a la empresa real. Los cebos más habituales son:
- Tu paquete está pendiente de entrega. Localízalo aquí
- Tu cuenta ha sido bloqueada o va a serlo inmediatamente
- Se ha registrado un movimiento sospechoso en tu cuenta
- Hay una nueva normativa que debes conocer
- Accede al enlace para reforzar la seguridad
- Confirma tu identidad
- Has ganado un premio, descuento, promoción o sorteo
En general, sus temáticas se agrupan en cuatro categorías: mensajes falsos del banco, mensajes falsos de entrega o localización de paquetes, mensajes falsos de premios, descuentos o sorteos, y mensajes falsos de temas de actualidad, como ocurrió con los SMS maliciosos de reserva de cita para la vacuna de la COVID-19, o los que llegan durante la campaña de la Renta, prometiendo un reembolso de la Agencia Tributaria a cambio de un clic.
El smishing usa todo tipo de pretextos para crear una falsa sensación de urgencia y forzar al usuario a tomar una decisión rápida que le evite consecuencias negativas. Una vez que la víctima accede al enlace fraudulento, se la redirige a un sitio web controlado por el ciberdelincuente. A partir de ahí, la casuística es inmensa, pero normalmente el objetivo consiste en robar información privada, especialmente datos de acceso a banca online o de tarjetas de crédito o débito. El objetivo final del fraude suele ser:
- Obtener nuestra información personal o bancaria: Un nombre de inicio de sesión, contraseñas o datos de la tarjeta de crédito, para suplantar nuestra identidad, robar nuestro dinero o cometer delitos en nuestro nombre.
- Vendernos productos o servicios falsos/inexistentes.
- Infectar nuestro dispositivo móvil.
Para defendernos del smishing no debemos clicar en enlaces, archivos adjuntos o imágenes que nos lleguen por SMS sin antes verificar el remitente. Tampoco debemos apresurarnos, sino reflexionar y comprobar antes de hacer nada. Por último, nunca hay que responder a un mensaje de texto que nos solicite el PIN, la contraseña del banco o cualquier otra credencial. Nunca debemos revelar información, aunque no parezca confidencial.
