Smishing, vigile sus SMS los cibercriminales están al acecho

Las campañas de ‘mensaje de texto’ (SMS) fraudulentos aumentan dentro del conjunto de técnicas que utilizan los ciberdelincuentes para engañar, haciéndose pasar por una persona, empresa o servicio de confianza, e inducirnos a revelar información confidencial o a efectuar acciones perjudiciales.

EFE ¿Ha recibido un SMS (‘mensaje de texto’) avisándole que su tarjeta bancaria está bloqueada o que va a recibir o tiene que recoger un paquete? ¡Evite abrir de manera impulsiva los enlaces incluidos en esas aparentes comunicaciones oficiales!.

Esos SMS pueden ser fraudulentos y funcionar un señuelos para engañarlo y convertirlo en una nueva víctima de una de las modalidades de ciberdelincuencia que están cobrando auge en los  últimos tiempos: el denominado ‘smishing’.

El ‘smishing’ es un neologismo inglés que combina los términos informáticos SMS (Short Message Service) y ‘phishing’.

El ‘phishing’ proviene de la palabra inglesa "fishing" (pesca) en alusión a usar un cebo y esperar a que alguien ‘muerda el anzuelo’ y designa las técnicas para engañar al usuario mediante aparentes comunicados de una entidad conocida o de confianza, que son fraudulentos, y buscan inducirle a que revele información privada o ejecute actos nocivos para sí mismo o terceros. 

Los ataques de ‘phishing’ son bastante conocidos y habituales en los correos electrónicos, pero los usuarios no están acostumbrados a recibirlos a través de un SMS, ni suelen estar prevenidos contra este tipo de amenazas, según Sophos (www.sophos.com) firma global especializada en protección de redes y ‘endpoints’ (dispositivos conectados).

“Las campañas de SMS fraudulentos están aumentando entre los ataques a usuarios por parte de los cibercriminales”, explica Alberto R. Rodas, director de Ingeniería de Sophos Iberia.

ATACAR AL USUARIO CON LA GUARDIA BAJA

Señala que el ‘smishing’ es una técnica de ingeniera social (manipulación psicológica y engaño) por la cual los cibercriminales atacan de forma masiva y dirigida a muchos usuarios mediante el envío de un SMS simulando ser un destinatario legítimo como un banco, una red social, una institución pública o una aplicación de uso extendido.

El objetivo de estos ataques es robar información privada o realizar cargos económicos en las cuentas de la víctima, instando al usuario a acceder a un enlace web falso o a introducir sus credenciales para confirmar su cuenta.

“Lo que hace tan peligroso este tipo de ciberataques es la falta de costumbre y prevención por parte de los usuarios”, advierte Rodas. 

Señala que los SMS continúan siendo considerados por los usuarios como envíos legítimos, ya que suelen ser utilizados para comunicación personal, notificaciones del banco, líneas áreas o códigos de un solo uso para validar operaciones o accesos. 

“Es por este motivo por el que los ciberdelincuentes los están incorporando a su repertorio de técnicas de ataque, para poder acceder a los datos de los usuarios”, puntualiza.

“Los atacantes utilizan los SMS porque son baratos, es fácil obtener listados de teléfono y se pueden programar para enviar de forma masiva”, añade. 

“Históricamente los SMS no son gratuitos. Esto le da una pátina de “autenticidad”, dado que además son el medio típico usado por bancos y otros servicios que requieren de notificarnos de forma sencilla”, explica Rodas a Efe.

“Los ciberdelincuentes aprovechan esta “fama” de los SMS para tratar de aprovecharse del “descuido” del usuario, el cual, creyéndolo legítimo, clica en el enlace”, asegura. 

Indica que el SMS no es ‘vírico’, pero contiene enlaces que nos dirigen mediante engaños a la descarga e instalación de aplicaciones maliciosas desde un portal web, distinto del “store” o tienda de aplicaciones correspondiente.  

DOS DE LOS CIBERATAQUES MÁS FRECUENTES

Los expertos en ciberseguridad de Sophos han detectado recientemente varios tipos de ‘smishing’. 

“Por ejemplo, los SMS fraudulentos se utilizan para robar cuentas de WhatsApp u otras redes sociales, pidiendo al usuario que responda con el código que acaba de recibir para la verificación de la cuenta”, según Rodas.

“Pero, sobre todo, vemos dos tipos de ataques: aquellos que se hacen pasar por el banco y los que simulan ser una empresa de mensajería, utilizando a estas entidades como ‘anzuelos’”, señala.

“En el primero de los casos, un SMS del tipo ‘tarjeta bloqueada’ suele captar nuestra atención, pues necesitaremos resolver dicha situación lo antes posible, entrando al enlace del SMS para ver los siguientes pasos”, describe.

Señala que los que se hacen pasar por empresas de mensajería, aprovechan el auge del comercio “online”, ya que es probable que cuando nos llegue un SMS avisando de una entrega de un paquete, realmente estemos esperando ese envío. 

“Los ciberdelincuentes se valen de estas situaciones para engañarnos”, de acuerdo a Rodas. 

“En ambos casos, el objetivo es descargar una ‘app’ maliciosa por una vía ajena a la tienda de aplicaciones oficial, que no está sujeta ni a su control ni a su seguridad”, advierte.

“De esa manera  podremos estar descargando “cualquier cosa” en la que luego, debido a la inercia de no leer los mensajes, acabaremos dando todos los permisos incluso a pesar de que el propio teléfono nos avisa de su posible peligrosidad”, señala.

Una vez hecho esto, todo puede suceder: desde el robo de datos hasta el envío de SMS Premium (contenidos especiales o exclusivos con un precio elevado), de acuerdo a este experto.

CLAVES PARA PROTEGERSE DEL ‘SMISHING’

Los expertos en ciberseguridad de Sophos Iberia ofrecen cuatro recomendaciones para ayudar a los usuarios a no sean víctimas de estas estafas y ciberataques por medio de ‘smishing’:

1.- DESCONFÍE DEL REMITENTE

El remitente de un SMS puede ser modificado para poner lo que los cibercriminales quieran, como, por ejemplo: “01Correos”, así que, ante la duda, no confíe en esa información.

2.- SOSPECHE CUANDO LE PIDAN HACER ALGO

Todo SMS que nos pida emprender una acción deber ser considerado sospechoso. Una cosa es un SMS de notificación (“su paquete ha sido enviado”) y otra distinta es que le soliciten actuar bajo algún tipo de amenaza como cancelar el pedido, una tarjeta o una cuenta.

3.- LA URGENCIA ES UNA SEÑAL DE ALARMA 

Una técnica muy habitual de los ciberdelincuentes, además de utilizar la autoridad haciéndose pasar por un servicio con verosimilitud como correos o el banco, consiste en apremiarnos para emprender una acción de modo inmediato, reduciendo nuestro tiempo para pensar o realizar verificaciones.

4.- PROTEJA SU MÓVIL

Es recomendable proteger el móvil con software de ciberseguridad adecuado para ayudar a bloquear este tipo de ataques.  Existen soluciones de protección gratuitas para móviles que proporciona protección contra ‘malware’ (programas perjudiciales), control de navegación para bloquear el acceso a web maliciosas y control de SMS fraudulentos.

DESTACADOS:

+ El ‘smishing’ es un ciberataque  mediante el envío de un SMS simulando ser un banco, una red social, una institución o una aplicación muy utilizada, e instando a acceder a un enlace web falso para introducir sus credenciales con la intención de robar datos al usuario o acceder a su sistema informático. 

+ Dos ataques por SMS muy frecuentes se efectúan por medio de falsas comunicaciones de una entidad bancaria, avisando del bloqueo de una tarjeta; o de una empresa de mensajería, avisando de la entrega de un paquete, en las cuales se pide al usuario que ‘clique’ en un enlace con el que descarga un software malicioso.    

+ “Los SMS son inseguros y debemos cotejar por un método diferente su información, nunca a través de los enlaces que incluyen, sino poniéndonos en contacto con el remitente a través de su servicio de atención al cliente”, recomienda Alberto R. Rodas, director de Ingeniería de Sophos Iberia.

Por Omar Goncebat EFE/Reportajes