El smishing, la estafa a través del mensaje de texto

Autor: Ainoa Guillén González

¿DE QUÉ SE TRATA EL SMISHING?

Las estafas digitales cada día son más sofisticadas, con ayuda de la ingeniería social, avanzan de forma progresiva. Uno de los métodos que hemos observado en auge ha sido la técnica del “smishing”, las estafas que se producen a través de mensajes de texto. Tal y como sucedió hace unos meses con la campaña de FEDEX, los usuarios reciben mensajes fraudulentos. En este artículo, explicamos y resumimos todo sobre este tipo de campañas.

Palabras clave: Smishing, mensaje de texto, FEDEX, estafa, Flubot, malware, fraude.

Las estafas digitales: Un gran problema

Como bien reza uno de los titulares del “El periódico “, España está a la cabeza mundial en engaños, estafas y fraudes online, con 30,2 puntos en riesgo de amenaza, por detrás de Estados Unidos (100 puntos) y Alemania (31,6 puntos). Y de acuerdo con el último Índice de Civismo Digital (ICD) elaborado por Microsoft, el riesgo más común en España, para el 44% de los encuestados, son los engaños, estafas y fraudes en Internet.

El creciente uso de los teléfonos móviles y la hiperconectividad que caracteriza a la época que estamos viviendo, es un factor que contribuye al desarrollo de estas nuevas modalidades de la estafa tradicional, que se valen de los medios digitales para su cometido.

Una de las nuevas modalidades (aunque no tan novedosa) es el llamado “Smishing”, definido como un tipo de delito o actividad criminal a base de técnicas de ingeniería social con mensajes de texto dirigidos a los usuarios de telefonía móvil. Se trata de una variante del phishing cuyo cometido es suplantar la identidad de un organismo oficial para engañar el usuario y que acceda a enlaces maliciosos.

Como explica Kaspersky, una de las mayores casas de antivirus, “otro par de factores lo convierten en una amenaza de seguridad especialmente malintencionada. La mayoría de la gente sabe algo de los riesgos de fraudes de correo electrónico. Probablemente has aprendido a desconfiar de los correos electrónicos que dicen «Hola, mira este interesante enlace» y no contienen un mensaje personal real del supuesto remitente.

Cuando la gente utiliza el teléfono, muestra menos recelo. Muchos asumen que sus smartphones son más seguros que los ordenadores, pero la seguridad de los smartphones tiene limitaciones y no puede proteger directamente contra el smishing.”

¿Cómo funciona el Smishing?

Esta técnica consiste en que grupos de cibercriminales realizan envíos masivos de mensajes de texto a diferentes recopilatorios de listados telefónicos que se encuentran en internet. Estos a su vez proceden de distintas filtraciones, como la que vimos el mes pasado derivado de la plataforma de LinkedIn y Facebook.

Los mensajes de texto pueden tener múltiples variantes, si bien una de las más conocidas es la bancaria. En esta, el emisor se hace pasar por el banco y les informan a los usuarios que se ha realizado una compra sospechosa con su tarjeta de crédito. A su vez, el texto solicita que se comunique con la banca por teléfono de la entidad financiera y le brinda un número falso.

El cliente devuelve la llamada y es ahí cuando el ciberdelincuente, haciéndose pasar por el banco, solicita información confidencial para supuestamente cancelar la compra. En una variante de esta modalidad el mensaje también podría incluir un enlace a una ‘web’ fraudulenta para solicitar información sensible, como bien explica la entidad BBVA en su artículo. Posiblemente porque sea una de las entidades que ha sufrido denuncias por parte de los usuarios ante este tipo de problemáticas.

También pueden pedirte que llames a teléfonos que tienen un precio de facturación muy elevado, o también pedirte que accedas a enlaces maliciosos con el fin de obtener tus datos.

¿Qué pretenden conseguir?

Igual que el resto de los cibercriminales, su objetivo principal suele ser la obtención de datos personales que resulten de interés, tales como números de tarjetas de identidad (DNI), datos bancarios, correos electrónicos y contraseñas, etc.

Nuestros datos tienen un gran valor que en ocasiones desconocemos. Los grupos organizados formados por cibercriminales saben el gran lucro económico que pueden obtener a través de ellos, tanto mediante su venta como su subasta.

Pueden utilizar métodos distintos para este cometido, bien a través de una URL maliciosa descargando una aplicación que “parece legítima”, pero adelantamos, no lo es o bien llevando al usuario a un sitio web fraudulento.

¿Cómo podemos protegernos?

Siguiendo unos sencillos pasos podemos protegernos ante este tipo de estafas:

  • Lo fundamental, verifica el remitente.
  • Desconfía de los mensajes de remitentes desconocidos
  • Nunca facilites la información que pide el mensaje (¡¡ Tu banco nunca te pedirá tu pin por “sms” !!)
  • No pinches en los enlaces.
  • Bloquea los mensajes de texto que consideres spam.
  • Evita guardar sin cifrar claves o información bancaria en el teléfono.
  • Personaliza las opciones de seguridad, con contraseñas seguras y sistemas de doble verificación.
  • Busca números sospechosos que no parezcan números de teléfono móvil auténticos, como «5000».
  • Desconfía de los SMS que te hablan de trabajos (que no existen), premios (sin haber jugado) o paquetes recibidos (sin haberlos pedido).
  • Vigila regularmente el consumo que realizas y, en caso de notar incrementos notables en la factura, contacta con la compañía telefónica.
  • Niégate a morder el anzuelo, simplemente no respondas.
  • Informa de todos los ataques de smishing a la FCC para tratar de proteger a los demás.

¿Qué puedo hacer si he sido víctima de smishing?

Si a pesar de tomar todas las precauciones crees que has podido caer en la trampa del “smishing”, aunque esto es válido para cualquier tipo de estafa, lo primero que debes hacer es tranquilizarte. Ponte en contacto con tu entidad bancaria si tu cuenta ha sido afectada, con tu compañía telefónica si te han cobrado cargos excesivos o con la entidad en la cuál te haya repercutido.

En segundo lugar, debes modificar la contraseña de acceso a la banca electrónica o la información que hayas facilitado. Es recomendable cambiar todo tipo de contraseñas y también activar el doble factor de identificación.

Y por último y sobre todo, debes denunciar el fraude a la Policía, Guardia Civil o en los juzgados, aportando las pruebas pertinentes.

Ainoa Guillén González