Los ataques con mensajes de texto dañinos llevan a particulares y empresas a perder dinero y datos.
Los ciberatacantes se aprovechan de la inclinación de los usuarios a confiar en los mensajes de texto, utilizando el miedo o la excitación para manipularlos y comprometer los datos en un abrir y cerrar de ojos sin que usted se dé cuenta.
Imagínese esto: está hojeando sus mensajes y, de repente, recibe un texto que afirma que ha ganado un gran premio. Parece demasiado bueno para ser verdad, pero extrañamente convincente.
Se siente tentado a hacer clic en el enlace que aparece en ese texto. Una vez hecho, llega el shock de descubrir que su cuenta bancaria ha sido vaciada o su identidad robada, todo a partir de un texto aparentemente inofensivo.
Bienvenido al mundo de los ataques smishing, una amenaza creciente que está pillando desprevenidos incluso a los más avispados.
De hecho, sólo en los 6 primeros meses de 2021, los ataques smishing han experimentado un asombroso aumento del 700% en todo el mundo.
Por tanto, la urgencia de defenderse contra estas tácticas manipuladoras nunca ha sido tan acuciante.
En este artículo, profundizaré en qué son los ataques smishing, sus tipos y cómo puede protegerse de ellos.
¡Empecemos ya!
¿Qué es el smishing?
El smishing, abreviatura de «SMS phishing», es una ciberamenaza que se aprovecha de su confianza, miedo, ilusión y cuenta bancaria a través de mensajes de texto dañinos que parecen legítimos. Pero en realidad, no lo son.
Estos textos tientan a la gente a hacer clic en enlaces dañinos o a compartir información confidencial.
El objetivo de los ataques de smishing es robar su información personal, dinero o incluso su identidad para realizar actividades fraudulentas.
En este tipo de ciberataque, la víctima recibe un texto en el que se le indica que ha ganado algún tipo de premio o que debe actualizar urgentemente la información de su cuenta. Puede incluir un enlace malicioso. El texto le pedirá que haga clic en ese enlace para llevar a cabo el siguiente paso, como hacer uso del premio o realizar cambios en su cuenta.
Así que tenga cuidado, se trata de trucos que los ciberdelincuentes emplean para engañar a la gente y llevar a cabo ataques.
En 2021 y 2022, un asombroso 76% de las organizaciones de todo el mundo se enfrentaron a algún tipo de ataque de smishing, según informa Statista. Esta inquietante verdad subraya la naturaleza generalizada de esta amenaza.
Mantenerse a salvo empieza por ser precavido. No haga clic en enlaces ni facilite su información personal a menos que esté seguro de que el mensaje es auténtico. Fíjese en quién envía el mensaje y esté atento a errores o solicitudes extrañas. Recuerde que las empresas reales, como los bancos, no le pedirán sus contraseñas o datos confidenciales en mensajes de texto.
Aumento del uso de móviles y Smishing: ¿es preocupante?
Dado que los dispositivos móviles se han convertido en una parte integral de la vida de todos, la probabilidad de que se produzcan ataques de smishing es mayor. Sin duda, esto es muy preocupante para todos, tanto si se trata de un particular como de una empresa.
Con el aumento del uso de los móviles, los ciberdelincuentes han descubierto una oportunidad lucrativa para explotar información y dinero. En 2021, se enviaron unos 87.800 millones de mensajes de spam no deseados a números de teléfono sólo en Estados Unidos. Esto hizo que la gente perdiera más de 10.000 millones de dólares en total.
Hoy en día, los teléfonos se han convertido en herramientas esenciales para tareas como la banca y la socialización. Sin embargo, esta dependencia constante también expone a las personas a las estrategias de manipulación que emplean los ciberdelincuentes. Estos atacantes envían mensajes convincentes que tientan a la gente a realizar acciones impulsivas sin pensárselo dos veces.
Las consecuencias del smishing pueden ser estremecedoras, con el resultado de cuentas bancarias vaciadas y datos e identidades robados. Por eso es crucial comprender que el smishing no es sólo una molestia, sino también una grave amenaza para su seguridad financiera y su privacidad personal.
Es comprensible que no pueda dejar de utilizar su teléfono, ya que es esencial tanto en su vida personal como profesional. Pero puede mantenerse informado y precavido. Si comprende los riesgos y se mantiene alerta, podrá protegerse contra las garras engañosas de los ataques de smishing.
Tipos de ataques de smishing
Informarse sobre los distintos tipos de ataques smishing le dota de los conocimientos necesarios para reconocer y evitar ser presa de estas tácticas maliciosas.
Así pues, exploremos los distintos tipos de ataques de smishing.
Phishing Smishing
Esta forma tradicional de smishing le incita a hacer clic en enlaces dañinos que le dirigen a sitios web falsos. Estos sitios pueden parecer idénticos a otros legítimos, como el sitio de su banco. Aquí, se le pedirá que introduzca sus datos confidenciales, que el atacante captura y utiliza para desplegar un ataque.
Vishing Smishing
Se trata de un enfoque más personalizado. Los estafadores utilizan llamadas de voz junto con mensajes de texto. Pueden dejar mensajes de voz o enviar SMS advirtiéndole sobre cuentas comprometidas o actividades fraudulentas, pidiéndole que llame a un número o haga clic en un enlace. Una vez que lo hace, le extraen información personal.
Smishing de premios
La idea de ganar algo de repente puede entusiasmar a cualquiera. Los ciberdelincuentes se aprovechan de ello enviándole mensajes como felicitándole por haber ganado un premio. Pero en realidad usted no ha participado en ningún concurso de este tipo.
En este tipo de ataque smishing, el atacante le pedirá sus datos personales o una «pequeña cuota» para reclamar el premio. Después, no le encontrarán por ninguna parte, ya que acabarán huyendo con su dinero y sus datos.
Smishing financiero
Estos mensajes suelen imitar a instituciones financieras legítimas, alegando actividades sospechosas en su cuenta que requieren su atención inmediata. Temeroso de ello, es posible que haga clic en el enlace proporcionado y, sin saberlo, facilite el acceso a su cuenta.
Smishing de acción urgente
Aprovechando la sensación de urgencia, estos mensajes advierten de una situación urgente que requiere una acción inmediata. Ya sea actualizando su cuenta, confirmando una compra o verificando una transacción, estos mensajes pretenden hacerle actuar rápidamente sin pensar.
Smishing de aplicaciones
Los atacantes pueden enviarle un mensaje de texto que dice proceder de una popular tienda de aplicaciones, incitándole a descargar una actualización o una nueva aplicación. Sin embargo, el enlace conduce a un sitio falso, que descarga malware en su dispositivo.
Smishing de amistad
Esta técnica particularmente engañosa implica que los ciberdelincuentes se hagan pasar por amigos o familiares. Pueden pedirle ayuda financiera o información confidencial, aprovechándose de su confianza en sus relaciones.
Smishing de viajes
Aprovechando la pasión por los viajes, los estafadores pueden enviar mensajes de texto sobre ofertas de viajes exclusivas o confirmaciones de reservas de viajes que usted nunca planeó. Hacer clic en los enlaces puede conducir al robo de datos o a la instalación de malware.
Smishing benéfico
Los ciberdelincuentes se aprovechan de su buena voluntad enviándole mensajes de organizaciones benéficas falsas durante una catástrofe o necesidad. Solicitan donaciones, pero el dinero nunca llega a los necesitados.
Smishing de alerta de seguridad
Estos mensajes se aprovechan de la preocupación por las brechas de seguridad, afirmando que su cuenta se ha visto comprometida. Le instan a tomar medidas inmediatas o a compartir información sensible, como los OTP, con los atacantes. Y cuando lo hace, vacían sus cuentas bancarias u obtienen acceso no autorizado para llevar a cabo un ataque en toda regla.
Ejemplos reales de ataques de Smishing y sus consecuencias
Profundicemos en ejemplos reales de estos ataques y sus terribles consecuencias.
#1. El «Compromiso de la cuenta bancaria»
Imagine que recibe un mensaje de texto de un número que parece ser su banco informándole de una actividad no autorizada en su cuenta. El mensaje le pide urgentemente que haga clic en un enlace para verificar sus datos.
Una víctima desprevenida hace clic en este enlace e introduce sus datos personales. Pronto, los atacantes obtienen acceso a sus cuentas bancarias. El resultado: una cuenta bancaria vacía y un caos financiero.
Elcaso: El ataque smishing de la Universidad Deakin es un incidente smishing de gran repercusión en la Universidad Deakin de Australia, que puso en peligro la identidad y los datos de casi 47.000 estudiantes actuales y antiguos. La brecha se produjo después de que las credenciales de un solo miembro del personal se vieran comprometidas, lo que permitió a una persona no autorizada acceder a un servicio de mensajería SMS masiva utilizado por la universidad para comunicarse con los estudiantes.
#2. La estafa de la «tarjeta regalo
Las víctimas reciben mensajes en los que se les dice que han ganado una tarjeta regalo o un premio. Todo lo que tienen que hacer es facilitar sus datos personales o pagar una pequeña tasa de envío para recibir el premio o la tarjeta regalo. Una vez que el destinatario les da la información o paga la cuota, el atacante desaparece, estafando a la víctima y comprometiendo su información personal.
Caso: La suplantación de identidad de una agencia gubernamental es un ejemplo real de estafa con tarjetas regalo. Las personas recibían llamadas telefónicas de estafadores que decían ser de una agencia gubernamental, como la Administración de la Seguridad Social.
Esta estafa experimentó un aumento significativo en 2021, con casi 40.000 consumidores que declararon una pérdida de 148 millones de dólares en los nueve primeros meses del año, según la Comisión Federal de Comercio (FTC). La cantidad media perdida por este tipo de estafas en 2018 fue de 700 dólares, que aumentó a 1.000 dólares en 2021. Se descubrió que las personas mayores, especialmente las de 50 años o más, son más susceptibles a estas estafas.
#3. El truco de la «falsa actualización de la aplicación
Es posible que reciba un mensaje de texto instándole a actualizar inmediatamente una aplicación popular. Sea precavido si eso ocurre.
El enlace proporcionado en el texto conduce a una aplicación falsa infectada con malware. Si instala esta app maliciosa, podrían robarle su información personal, incluidos los datos bancarios. Además, su dispositivo podría verse comprometido, lo que permitiría a los hackers controlarlo. Como resultado, su dispositivo podría verse comprometido y sus datos podrían ser robados.
Caso: En un informe de ZDNet, se descubrió un ataque de malware troyano para Android que se hacía pasar por una actualización del sistema. Los usuarios recibían un mensaje instándoles a actualizar su sistema. Sin embargo, al descargar e instalar esta «actualización», actuaba como un troyano de acceso remoto, dando a los atacantes el control total sobre el dispositivo de la víctima.
Esto les permitió capturar una amplia gama de datos, incluidos mensajes, fotos e incluso datos de GPS. El malware era sofisticado y podía incluso grabar llamadas telefónicas, lo que lo convierte en una de las cepas de malware para Android más invasivas.
#4. La amenaza del «IRS
La gente ha recibido un texto del Servicio de Impuestos Internos (IRS) insistiendo en el pago instantáneo de impuestos atrasados o una advertencia de consecuencias legales. Temiendo esto, las víctimas acceden compartiendo su información financiera o realizando el pago solicitado. El resultado: pérdidas financieras y una identidad expuesta.
Caso: En septiembre de 2022, el Servicio de Impuestos Internos (IRS) advirtió de un aumento de las estafas por SMS al IRS. Los textos de estafa a menudo atraían a las víctimas con afirmaciones de falsos alivios COVID, créditos fiscales o asistencia para configurar una cuenta en línea del IRS.
Un incidente notable implicó a un contribuyente que recibió un mensaje que afirmaba que debía impuestos atrasados y que necesitaba hacer clic en un enlace proporcionado para saldar sus deudas. Al hacer clic, fueron redirigidos a un sitio de phishing que intentaba obtener sus datos personales y bancarios.
#5. La estafa de la «confirmación de viaje
Las víctimas reciben un mensaje de texto que dice ser la confirmación de un viaje que no han reservado. Por curiosidad, hacen clic en el enlace para cancelar la reserva, descargando sin saberlo malware en su dispositivo.
El malware puede robar información personal, credenciales de inicio de sesión e incluso registrar las pulsaciones del teclado. Esto ha puesto en peligro la privacidad y ha provocado posibles pérdidas económicas.
Elcaso: Mevonnie Ferguson, residente en Kent (Reino Unido), ha sido víctima de la estafa de la reserva de vuelos reales. Fue engañada por un estafador que decía representar a una agencia de viajes llamada Infinity Global Travel. Le vendieron lo que parecía ser un billete legítimo de British Airways de Londres a Kingston (Jamaica).
Tras comprobar la reserva en el sitio web de BA utilizando el número de confirmación, parecía válida. Sin embargo, unas dos semanas después de la compra y pocos días antes de su partida, la reserva desapareció del sitio de BA. Al ponerse en contacto con la aerolínea, descubrió que no había ningún vuelo reservado a su nombre. El estafador había aprovechado la diferencia entre una reserva «confirmada» y una «con billete», haciéndola pasar por una reserva válida cuando, en realidad, sólo se trataba de una retención temporal.
#6. La «estafa romántica»
En algunos escenarios, los ciberdelincuentes establecen conexiones emocionales con las víctimas a través de mensajes de texto, fingiendo estar interesados en una relación romántica. Una vez que consiguen establecer la confianza, manipulan a las víctimas para que compartan información personal y financiera. Esto puede causar angustia, traición y ruina financiera.
Un caso: Un ciberdelincuente se hizo pasar por el general Paul Nakasone, director de la Agencia de Seguridad Nacional y jefe del Mando Cibernético de Estados Unidos, en un intento de atraer a las mujeres a una estafa romántica. El estafador inició falsas conversaciones por correo electrónico con mujeres en plataformas de medios sociales, utilizando la identidad del general. En un caso, el impostor afirmó estar destinado en Siria e inundó a una mujer con mensajes religiosos, instándola a comunicarse a través de Google Hangouts.
Medidas preventivas contra los ataques de smishing
Las consecuencias de los ataques de smishing van más allá de las económicas: pueden acabar con la confianza, comprometer la privacidad y dejar a las víctimas emocionalmente marcadas.
Profundicemos en algunas formas eficaces de evitar que se produzcan ataques de smishing en primer lugar.
#1. Concienciación y formación
En el panorama digital interconectado de hoy en día, es esencial que su organización arme a su plantilla con conocimientos para proteger la información confidencial.
Según un informe de ID Agent, las empresas se enfrentan a un coste medio de 15.000 dólares por ataques de smishing. El impacto financiero pone de relieve la urgente necesidad de educar a su equipo.
Para fortificar sus defensas contra las sigilosas ciberamenazas, dé prioridad a una formación exhaustiva sobre el smishing y difunda la concienciación por toda la organización. Esto ayudará a que todos estén preparados para estos ataques maliciosos y respondan a ellos de forma inteligente.
Además, asistir periódicamente a talleres que ofrezcan información sobre los ataques de smishing permitirá a sus empleados distinguir entre los mensajes legítimos y las estafas potenciales. Al dotarles de la capacidad de identificar enlaces sospechosos, demandas urgentes o solicitudes inesperadas, su personal se convierte en una barrera intimidatoria contra estos intentos maliciosos.
#2. Verificar la identidad del remitente
Practicar la vigilancia es su primera línea de defensa en un mundo en el que los mensajes fraudulentos pueden mezclarse a la perfección en su bandeja de entrada. Cuando reciba un mensaje de texto instándole a actuar de inmediato o solicitándole datos confidenciales, tómese un momento para escudriñar las credenciales del remitente.
Compruebe dos veces el número o la dirección de correo electrónico del remitente, asegurándose de que coincide con los datos de contacto oficiales de la supuesta institución. Las entidades legítimas no recurrirán a los mensajes de texto para solicitar información confidencial.
Al confirmar la identidad del remitente, disminuirá considerablemente la probabilidad de convertirse en blanco de ataques de smishing.
#3. Ser precavido con los mensajes de texto
Extender su enfoque cauteloso de los correos electrónicos a los mensajes de texto es esencial para salvaguardar sus activos digitales. Los ciberdelincuentes suelen aprovechar la comodidad y familiaridad de los mensajes de texto para manipular a sus objetivos.
Por lo tanto, aborde cada mensaje de texto con cautela, igual que lo haría con los correos electrónicos de personas que no conoce. Evite hacer clic inmediatamente en los enlaces o descargar contenidos si el remitente no le resulta familiar. Examine detenidamente los mensajes para ver si le suenan extraños o le piden cosas de forma inesperada.
#4. Asegurar los dispositivos móviles
En esta era digital, en la que nuestros dispositivos móviles albergan gran cantidad de información personal y confidencial, es crucial dar prioridad a su seguridad.
Una buena medida para combatir los ataques de smishing es implementar funciones de seguridad avanzadas como los bloqueos biométricos que utilizan huellas dactilares, reconocimiento facial, etc. Éstas añaden una capa adicional de defensa y mejoran la protección general de los datos.
Para garantizar una seguridad óptima, también es crucial mantenerse al día con los últimos parches y actualizaciones de seguridad. Al actualizar regularmente sus dispositivos móviles, crea una sólida defensa contra las posibles ciberamenazas. Esta medida proactiva le protege de las vulnerabilidades que pueden explotar los individuos malintencionados. Invierta también en dispositivos de seguridad para establecer una barrera sólida contra las amenazas del smishing.
#5. Utilice la autenticación multifactor
Para fortificar sus datos digitales, implementar la autenticación multifactor (MFA) es una estrategia poderosa. Además de la seguridad basada en contraseñas, la MFA requiere una capa adicional de verificación. Esto suele implicar el envío de un código a otro dispositivo o el escaneado de una huella dactilar.
Incorporando este intrincado marco de seguridad, puede aumentar la complejidad de los posibles atacantes que intenten violar sus cuentas. Actuará como un escudo protector para salvaguardarle de intentos engañosos.
#6. Utilice contraseñas seguras
Su teléfono, ordenadores y otros dispositivos guardan gran parte de su información privada. Una forma fácil pero eficaz de mantener los datos a salvo es utilizar una contraseña fuerte para cada dispositivo.
Cree una contraseña fuerte que combine letras, números, símbolos y letras mayúsculas y minúsculas. De este modo, a los piratas informáticos les resultará más difícil adivinar su contraseña. Esto ayuda a frustrar a los posibles atacantes de smishing y refuerza su seguridad digital en general.
#7. Denuncie los ataques de smishing
Como individuo informado y responsable, su papel en la batalla contra los ciberdelincuentes es fundamental. Al informar de los incidentes a las autoridades pertinentes, contribuye a ayudar a la policía y a otras personas a atrapar a los delincuentes responsables de estos ataques.
Además, es crucial que informe a sus amigos, familiares y colegas de estos incidentes. Actuar colectivamente nos permite evitar la distribución de mensajes dañinos y garantizar una mayor seguridad para todos.
#8. Utilice aplicaciones de mensajería cifrada
Si necesita compartir información sensible, utilizar aplicaciones de mensajería encriptada es una sabia decisión. Estas aplicaciones emplean técnicas avanzadas para transformar sus mensajes en un lenguaje encriptado que sólo el destinatario puede entender. Esto protege sus mensajes.
Tanto si está hablando de una transacción monetaria como de sus datos personales, las aplicaciones de mensajería encriptada añaden un nivel extra de privacidad. Sólo la persona adecuada podrá desbloquear y leer el mensaje. Además, si les dice a sus amigos y familiares que utilicen estas aplicaciones, todos estarán más seguros cuando hablen en línea.
Palabras finales
Los estafadores emplean los mensajes de texto como medio para engañar a las personas para que divulguen información personal o hagan clic en enlaces peligrosos. Por eso, mantenerse alerta contra los ataques de smishing es crucial hoy en día.
Para crear una defensa sólida, forme a su equipo, verifique los datos del remitente, sea precavido con los textos, proteja sus dispositivos e implante medidas de seguridad sólidas como la autenticación multifactor y las contraseñas robustas.
Además, informe de los textos sospechosos y utilice aplicaciones de mensajería encriptadas para mejorar la seguridad. Sus esfuerzos pueden marcar una diferencia significativa al contribuir a un mundo digital más seguro para todos.
A continuación, consulte las estafas habituales de WhatsApp y cómo estar preparado para ellas.