ciberseguridad

¿Qué es el smishing? Así funciona esta nueva amenaza para nuestros datos

El robo de información privada y credenciales bancarias a través del envío de mensajes SMS al móvil aumentan, por lo que nos toca extremar precauciones si no queremos disgustos

El robo de información privada y credenciales bancarias a través del envío de mensajes SMS al móvil aumentan, por lo que nos toca extremar precauciones si no queremos disgustos.

Imagen de archivo.

Imagen de archivo. / Pixabay

4
Se lee en minutos
Fran Leal
Fran Leal

Colaborador

ver +

Buena parte de nuestro día a día lo pasamos en la red. Y con la llegada de la pandemia del Covid-19, el teletrabajo ha provocado que aumente aún más el tiempo que estamos conectados a ordenadores y smartphones.

Así, como consecuencia directa de esta nueva tendencia, además de permitir que buena parte de los negocios continúen con su actividad, ha surgido la necesidad de reforzar la ciberseguridad, porque los delincuentes de la red están aprovechando la ocasión, claro está.

Ojo al smishing

Entre las principales ciberamenazas a las que nos enfrentamos encontramos el phishing, que consiste en hacer pasar un dominio al que nos dirigir a través de un enlace por la web de una marca de confianza y reconocida por todos, para apoderarse así de nuestros datos personales y credenciales bancarias. 

Pero más allá de este tipo de ciberataque, que ha ganado mucho protagonismo en los últimos tiempos, tanto en ordenadores como en otros dispositivos, existen otras prácticas que pueden ser igualmente perjudiciales para nuestros intereses. Entre ellas, y relacionada con el phishing, encontramos el smishing, que comprende las campañas de mensajes SMS fraudulentos a través del móvil. De hecho, el término es el resultado de combinar SMS y phishing.

En resumidas cuentas, y como señalan desde la firma de ciberseguridad Sophos, el smishing es una técnica de ingeniería social, como el phishing, por la cual los cibercriminales atacan de forma masiva y dirigida a muchos usuarios mediante el envío de un SMS simulando ser un destinatario legítimo, como podría ser un banco, una red social, una institución o una aplicación de uso extendido. Y como decíamos antes, no se trata de una práctica baladí, sino que pretende hacerse con la información privada de las víctimas o sencillamente realizar cargos en sus cuentas bancarias.

Una tendencia al alza

Para conocer mejor los pormenores de este tipo de ciberataques, hemos charlado con Alberto R. Rodas, director de Ingeniería de Sophos Iberia, quien afirma que, si bien es cierto que no es tan antiguo como el phishing, el smishing “ya lleva tiempo entre nosotros”. Sin embargo, de un tiempo a esta parte, esta práctica ha aumentado ostensiblemente, en buena parte “por el abaratamiento de costes de los SMS”, que incluso pueden ser gratuitos (como los mails) debido a la existencia de “fallos de seguridad” conocidos por los ciberdelincuentes. De esta manera, “en los últimos meses”, comenta Rodas, “hemos detectado su utilización de forma generalizada; siempre en menor proporción que los mails de phishing, pero ya no solo dirigidos a objetivos muy específicos”.

Para captar nuestra atención, lógicamente, utilizan ganchos que resulten creíbles y nos hagan caer en la trampa. Aunque, como señala el portavoz de Sophos Iberia, mientras que “en un mail es posible contar una historia”, como todos habremos leído, “en los SMS tenemos 120 caracteres; lo justo para poner el engaño y la URL acortada para hacer el click malicioso”. Por tanto, en su opinión, “las suplantaciones hablan por sí mismas”.

¿Cómo evitar estos ataques?

Como se suele recomendar para evitar estas amenazas, el sentido común y la precaución son nuestros mejores aliados. Así, como nos transmite Rodas, debemos desconfiar siempre respecto de cualquier comunicación que no hayamos solicitado y jamás hacer click en enlaces que no hayamos verificado. En este sentido, “hay verificaciones muy sencillas como, por ejemplo, recibir una amenaza de cierre de cuenta de un banco del que no somos clientes”. Obvio. Pero, ¿y si efectivamente tenemos cuenta? En ese caso, según Rodas, “lo mejor es utilizar la app del banco”, donde la entidad nos habrá notificado la situación (sea por el motivo que sea) o, en caso de que sea un fraude, no habrá ninguna referencia al respecto. Además, en caso de duda, “siempre podremos hablar con el banco”, recuerda.

Noticias relacionadas

En cuanto a los fraudes relativos a supuestos envíos de mensajería y paquetería, ocurre algo muy parecido. En primer lugar, lo lógico sería preguntarse si hemos solicitado algo antes de hacer click en ninguna parte. Y en caso afirmativo, como señala Rodas, contaremos con un número de seguimiento del envío, con el que podríamos verificar si realmente existe alguna incidencia. En resumidas cuentas, “de cualquier notificación podemos, por nuestra cuenta y a través de un camino diferente al del SMS recibido, comprobar la veracidad”, añade, para lo que solo hacen falta un par de minutos y, eso sí, un poco de sangre fría al recibir el SMS en cuestión.

No obstante, los móviles son ya tan atacados como los ordenadores, por lo que “si no dudamos en tener un antivirus en estos últimos, ¿por qué somos reticentes en hacer lo mismo con el móvil?”, se pregunta Rodas antes de concluir que habría que dejar de pensar que el sentido común es el mejor antivirus: “Los ciberdelincuentes tratarán siempre de engañarnos y, si la trampa es lo suficientemente buena, podremos caer en la trampa”, advierte.