Smishing: ¿Qué es y cómo prevenirlo?

¿Qué es el smishing?

Seguramente ya has escuchado sobre los ataques de phishing, y casi seguro los has visto en tu bandeja de entrada. Son un riesgo de ciberseguridad que alcanzó niveles récord en 2022. Los ataques de phishing se llevan a cabo por correo electrónico, mientras que el “smishing” se hace por mensajes de texto (SMS).

El concepto es simple. Los ciberdelincuentes envían mensajes de texto a los teléfonos de las víctimas, alentándolas a hacer clic en un enlace malicioso. Al seguir el enlace, los delincuentes suelen robar información personal de la víctima. Esta información se utiliza para robar su identidad o para acceder a cuentas financieras o personales valiosas.

Técnicas de smishing que debes conocer:

1. Robo de códigos de verificación:

Un tipo de ataque más reciente ha surgido con la popularidad de la autenticación de dos pasos (quizás reconozcas esta autenticación de tus cuentas en redes sociales o servicios en línea). Un hacker se hace pasar por un banco u otra institución oficial y llama a la víctima. El criminal afirma que la cuenta de la víctima ha sido hackeada y, para “verificar su identidad”, el hacker puede pedir un código que se envía a su teléfono. Este código es, en realidad, su código de autenticación de dos pasos; el hacker ya tiene su contraseña y, al proporcionar el código, puede superar la segunda capa de autenticación. Con eso, tienen acceso a la cuenta de la víctima.

1. Sitios web maliciosos:

El ataque de smishing atrae a la víctima a un sitio web malicioso que, a menudo, parece legítimo, como una copia exacta del sitio web de tu banco. El cibercriminal puede haber copiado un sitio genuino que contiene un formulario para recopilar los datos de la víctima. En algunos casos, los atacantes imitan sitios web de envíos o aerolíneas, afirmando que hay tarifas aduaneras no pagadas. Tan pronto como la víctima proporciona los detalles de su tarjeta de crédito, su cuenta puede ser vaciada.

1. Malware:

El enlace alienta a la víctima a descargar un malware (software malicioso), que puede ejecutar una variedad de actos maliciosos. Por ejemplo, keyloggers que registran las pulsaciones de teclas, o software de acceso remoto (comúnmente visto en una estafa de soporte técnico de Microsoft).

¿Cómo funciona un ataque de smishing?

Los ataques de smishing dependen de varios factores, que hacen que algunas víctimas estén más dispuestas a bajar la guardia y entregar su información personal. Los atacantes a menudo usan distintos grados de engaño para hacer que las personas crean que están seguras, incluso cuando, en realidad, es lo contrario. Por ejemplo:

1. Suplantación de números:

Algunos operadores telefónicos permiten que los que llaman modifiquen su número. En otras palabras, pueden aparecer como un número diferente. Al cambiar su número para que coincida con uno de una fuente oficial, como tu banco, tu teléfono móvil combinará su mensaje de texto con cualquier cadena de mensajes existente que tengas almacenada en tu teléfono. Esto le da legitimidad al mensaje de texto, haciéndolo parecer como si realmente viniera de una empresa real.

1. Ingeniería social:

La idea detrás de la ingeniería social es que los hackers usarán una combinación de tácticas para ganarse tu confianza y bajar tus defensas. Al imitar compañías legítimas y estresar a sus víctimas, pueden coaccionar a las personas para que hagan algo que, normalmente, no harían. Los ataques también se centran en escenarios que requieren urgencia, como una entrega pendiente o una cuenta bancaria supuestamente limitada o bloqueada.

Una vez que los datos de las víctimas han sido comprometidos, un cibercriminal utiliza esos datos para llevar a cabo la siguiente fase de su ataque. La mayoría de las veces, esto implica usar los detalles de la tarjeta comprometida para vaciar cuentas bancarias o acumular líneas de crédito.

Sin embargo, incluso cuando los detalles de la tarjeta no se ven comprometidos, las víctimas aún corren el riesgo de robo de identidad. Los actores maliciosos pueden capturar suficiente información personal como para abrir nuevas líneas de crédito o cuentas bancarias a nombre de sus víctimas.

Estos criminales también pueden vender la información personal en la dark web al mejor postor, lo que pone aún más en riesgo la privacidad y la identidad de las víctimas.

Ejemplos de ataques de smishing

Para destacar cómo funcionan las técnicas anteriores, aquí te mostramos algunos ejemplos de smishing:

1. Actividad inusual en tu cuenta: un mensaje de texto afirma que se ha detectado actividad inusual en una de tus cuentas; la de Amazon es un objetivo común. Se te pide que hagas clic en el enlace, inicies sesión y cambies tu contraseña. En realidad, estarás proporcionando tu contraseña a un ciberdelincuente.
2. Tu cuenta bancaria ha sido bloqueada: estos mensajes juegan con la urgencia que sientes cuando crees que hay un problema con tu cuenta bancaria. Con prisa, inicias sesión a través del enlace en el mensaje de texto, pero nuevamente estarás proporcionando tu información bancaria al atacante.
3. Notificación de transacción inusual: a nadie le gusta pensar que su tarjeta de crédito ha sido hackeada. Estos mensajes te informan que se ha registrado una transacción inusual en tu tarjeta de crédito con la esperanza de que inicies sesión rápidamente a través del enlace y entregues tus credenciales.
4. Un teléfono perdido: algunos ataques de smishing han imitado a miembros de la familia, engañando a los padres para que envíen dinero. Estos ataques, generalmente, comienzan con éxito cuando se hacen pasar por un hijo o una hija. Algunas personas han perdido dinero al transferirlo creyendo que estaban ayudando a su hijo, cuando en realidad era un criminal.

Cómo prevenir el smishing

Lamentablemente, no hay forma de detener por completo los mensajes de texto no deseados ni de evitar ser el objetivo de un ciberdelincuente que ha conseguido tu número. Sin embargo, puedes minimizar el riesgo de que tus datos caigan en manos equivocadas siguiendo estos pasos:

1. Descarga una app de bloqueo de spam, como Truecaller.

Truecaller es la solución líder mundial para la identificación de llamadas y bloqueo de spam, disponible para iPhone y Android. La app funciona en tiempo real, con más de 320 millones de personas en actividad, detectando y reportando números de estafas y spam. Puedes crear una lista negra personalizada y bloquear contactos para que no puedan molestarte con intentos de smishing o llamadas no deseadas.

También puedes bloquear de manera masiva números desconocidos o “bloqueados” para que no puedan contactarte, asegurándote de que siempre sepas quién intenta comunicarse contigo. La función de identificación de llamadas de Truecaller puede identificar automáticamente cualquier número de teléfono, proporcionando información como nombre, número y ubicación, además de indicarte si es un número de spam.

1. Evita las casillas de verificación de marketing:

Ten cuidado al registrarte en nuevas suscripciones o servicios. Asegúrate de no recibir comunicaciones de marketing siempre que sea posible para evitar que tus datos se recopilen en varias fuentes. Los servidores de las empresas suelen ser vulnerables, y si tu información se guarda en una empresa que sufre una filtración, tus datos podrían caer en manos equivocadas.

1. No hagas clic en enlaces dentro de mensajes de texto:

No vale la pena correr el riesgo. No importa quién envíe el mensaje, nunca hagas clic en enlaces dentro de mensajes SMS. Si te preocupa un problema con una de tus cuentas, ve directamente al sitio web de la empresa e inicia sesión de la forma habitual.

1. No respondas a mensajes de texto sospechosos:

A veces, los hackers envían un mensaje como una forma de probar si el número sigue activo. En estas comunidades, los ciberdelincuentes suelen compartir inteligencia. Si respondes a un mensaje, podrías empeorar el problema y recibir aún más spam en el futuro.

1. Usa la autenticación de dos pasos:

Siempre que sea posible, habilita la autenticación de dos pasos. En la mayoría de los casos, las personas usan sus teléfonos como una segunda capa de autenticación, lo que significa que nadie podrá acceder a tus cuentas sin tener tu teléfono físicamente.

1. No compartas tus códigos de autenticación:

No importa qué pase, no proporciones tus códigos de autenticación únicos a nadie. Hay muy pocas razones legítimas por las que alguien necesitaría acceso a un código enviado a tu teléfono.

Recuerda, incluso quienes conocemos sobre phishing y smishing podemos cometer un error en un momento de distracción. Al usar Truecaller, puedes reducir significativamente la probabilidad de que esto suceda.

¿Qué hacer si has sido víctima de smishing? 

1. Reporta el número en Truecaller para ayudar a otros a evitar la estafa.
2. Asegura tus cuentas lo antes posible. Cambia tus contraseñas, preferiblemente desde otro dispositivo en caso de que hayas sido afectado por algún malware. Sobre todo, no respondas a ataques de smishing ni hagas clic en enlaces sospechosos.
3. Si recibes un mensaje de texto sospechoso, infórmalo a las autoridades u organizaciones correspondientes, como tu operador de telefonía móvil, instituciones bancarias o en Truecaller.

Si estás en Colombia, puedes reportar en: 

1. CAI virtual https://caivirtual.policia.gov.co, 
2. Fiscalía General de la Nación https://adenunciar.policia.gov.co/Adenunciar/Login.aspx?ReturnUrl=%2fadenunciar%2fdefault.aspx . O llamar a la línea telefónica nacional gratuita 122.

Si estás en Argentina, puedes reportar en: 

1. La Dirección Nacional de Protección de Datos Personales al teléfono: (54-11) 2821-0047.  Correo electrónico: datospersonales@aaip.gob.ar.
2. Llama a la línea 0800-555-5065, es un canal telefónico anónimo y gratuito del Ministerio de Seguridad de la Nación.

Si estás en Perú, puedes reportar en: 

1. La Policía Nacional del Perú (PNP) en la comisaría más cercana.

Si estás en Chile, puedes reportar en:

1. Denuncia seguro 

https://www.pdichile.cl/informaci%C3%B3n/denuncia-seguro#:~:text=Es%20una%20iniciativa%20de%20Gobierno,personas%20involucradas%20en%20alg%C3%BAn%20il%C3%ADcito o llamar a la línea 600 400 0101.

Si estás en Uruguay, puedes reportar en:

1. La Fiscalía, en cualquier sede fiscal del país, sin importar el lugar donde ocurrieron los hechos que se pretenden denunciar.
2. En las Seccionales Policiales de todo el país.
3. En el Departamento de Delitos Tecnológicos de la Dirección General de Lucha contra el Crimen Organizado, llamando al 2030 4625 o +59825999777

Si estás en Ecuador, puedes reportar en:

1. Fiscalía General del Estado https://www.fiscalia.gob.ec/ 
2. Llamando al 911 y pidiendo asistencia a la UNASE