Smishing: qué es, ejemplos y protección en ciberseguridad

El smishing es un ciberataque que se dirige a las personas a través de mensajes SMS o de texto. 

Es una combinación de SMS y phishing. Aunque los ciberdelincuentes están evolucionando constantemente sus técnicas de fraude, estar al tanto de las prácticas más comunes te ayudará a evitar caer en sus redes y convertirte en un objetivo de sus estafas.

Para proporcionarte información útil, en este artículo destacaremos los puntos clave: su definición, consejos sobre cómo protegerte y ejemplos para que puedas detectar este tipo de phishing antes de que se lleve a cabo.

¿Qué es el smishing?

El smishing es un ataque de ciberseguridad que utiliza mensajes de texto de teléfonos móviles para engañar a las víctimas y que revelen información sensible. Puede estar apoyado por la ingeniería social, malware o sitios web fraudulentos. 

La información sensible que buscan estos hackers se utiliza como objetivo para el robo de identidad o para cometer un delito financiero y obtener tu dinero.

La información sensible más comúnmente robada es:

• Nombres y apellidos.
• Direcciones.
• Nombres de usuario o apodos.
• Contraseñas.
• Números de tarjetas de crédito.
• Códigos de tarjetas de crédito.
• Detalles bancarios.

9 ejemplos de smishing

Para mostrarte los ejemplos más comunes de smishing, utilizaremos las fuentes que se utilizan y te mostraremos el ejemplo práctico correspondiente.

Seguridad de la cuenta de correo electrónico

Los estafadores envían un correo electrónico advirtiéndote de una brecha de seguridad en tu cuenta de correo y pidiéndote que verifiques tu información y cambies tu contraseña. 

Este tipo de estafa también se conoce como estafa de inicio de sesión y al compartir tu información de inicio de sesión, les estás dando acceso para cambiar tu contraseña y bloquearte de tu propia cuenta. 

MENSAJE DE EJEMPLO: “Tu cuenta ha sido bloqueada debido a actividad sospechosa o intentos de inicio de sesión inusuales.”

Estafa de impuestos

El ciberdelincuente se hace pasar por una autoridad fiscal para solicitar datos argumentando dos tipos de situaciones.

En la primera situación, te dicen que debes dinero por uno de los impuestos que has presentado y que no desembolsarlo resultará en el pago de recargos por demora o incluso en el embargo de tus cuentas bancarias para satisfacer el monto adeudado. 

El objetivo es que proporciones una cuenta bancaria donde se pueda debitar la cantidad reclamada o realizar una transferencia bancaria para cancelar la deuda.

En la segunda situación, el estafador te hace creer que tienes una liquidación fiscal a tu favor. Ante la posibilidad de una entrada de dinero que no esperabas, es normal que bajes tus defensas de seguridad y les proporciones una cuenta bancaria objetivo que utilizarán para sus fines delictivos. 

Es importante recordar que las autoridades fiscales no se comunican con los contribuyentes a través de estos canales, sino mediante cartas enviadas por correo ordinario o certificado. 

MENSAJE DE EJEMPLO: “Un reembolso a tu favor en tu declaración de la renta requiere tu autorización.”

Verificación de la cuenta bancaria

El hacker finge ser de una institución financiera y te pide que verifiques la información de tu cuenta bancaria porque ha sido comprometida. 

En este punto, es muy importante recordar que ningún banco te pedirá información sensible a través de SMS. 

MENSAJE DE EJEMPLO: “Tu institución financiera necesita confirmar tus datos.”

Notificación de entrega de paquete no recibida

Las notificaciones de entrega de paquetes son una gran parte de la estafa de smishing. 

Utilizan entregas falsas para que hagas clic en un enlace para rastrear o confirmar una entrega. 

El enlace, por supuesto, es el anzuelo que utilizan para redirigirte a un sitio de phishing donde intentarán robar tu información personal. 

MENSAJE DE EJEMPLO: “Hoy entregaremos tu paquete entre las 11:00-12:00. Haz clic en este enlace para confirmar la entrega o cambiar la fecha. ENLACE.”

Alerta de tarjeta de crédito

En este caso, la víctima recibe un SMS que afirma que ha habido acceso no autorizado a transacciones comerciales utilizando su tarjeta de crédito y se le pide que confirme detalles confidenciales a través de un enlace. 

Como con la estafa de verificación de cuenta mencionada anteriormente, recuerda que ningún banco te pedirá directamente detalles. 

MENSAJE DE EJEMPLO: “Se ha detectado actividad inusual en tu tarjeta de crédito. Haz clic aquí para verificar.”

Factura

Enviar facturas falsas es otra forma de smishing que los ciberdelincuentes suelen usar. Aprovechan el envío de una factura de una empresa de confianza alegando el pago de una factura que en realidad es falsa. 

Si caes en la trampa y pagas, no solo obtienen tu dinero, sino que también obtienen acceso a otra información, como tu número de tarjeta de crédito o cuenta bancaria, para expandir la estafa a otros recursos. 

MENSAJE DE EJEMPLO: “Después de revisar nuestros registros, hemos descubierto que tu factura de XXXX Paypal no ha sido pagada. Por favor haz clic en este ENLACE para proceder inmediatamente al pago y que no interrumpamos nuestro servicio.”

Tarjeta de regalo

Otra estafa que encanta a los hackers es la que utiliza mensajes de compra de tarjetas de regalo para acceder al premio que contienen. 

Piden a las víctimas que compartan el código de la tarjeta de regalo, transfiriendo así los fondos directamente al estafador. 

MENSAJE DE EJEMPLO: “Solicita tu premio. Compra una tarjeta de regalo de $100 y envíanos el código para reclamar tu premio. Se necesita una verificación rápida de identidad, haz clic aquí: ENLACE.”

Solicitudes de envío de dinero

Si recibes un mensaje de texto pidiéndote que envíes dinero para ayudar en una crisis, lo mejor es dudar. 

Los estafadores pueden hacerse pasar por trabajadores de organizaciones benéficas pidiendo donaciones o subvenciones para organizaciones benéficas inexistentes o para organizaciones benéficas que existen pero no son ellos. 

MENSAJE DE EJEMPLO: “Las inundaciones en Brasil han dejado a miles de personas sin hogar. Nuestra ONG está recaudando fondos para ayudarlas. Haz clic en este ENLACE y ayúdales. Gracias.”

Aplicaciones gratuitas

En este caso, el hacker quiere que instales una aplicación que parece legítima pero que en realidad es malware o ransomware. 

Las aplicaciones de pago digital, aplicaciones de gestión de archivos o incluso aplicaciones antivirus son algunas de las favoritas de los hackers. 

MENSAJE DE EJEMPLO: “Descarga la última versión de nuestro antivirus XXXX de forma gratuita. Haz clic en este ENLACE para iniciar la descarga.”

¿Cómo puedes protegerte del smishing?

Ahora que hemos revisado las principales situaciones que pueden llevar al smishing, debemos darte algunos consejos sobre cómo protegerte del smishing.

• No respondas a mensajes que no solicitaste, que provienen de fuentes dudosas o de los que tengas la más mínima sospecha.
• Reduce la velocidad y piensa antes de responder a un mensaje que te inste a tomar una acción urgente. Por ejemplo, desconfía de las ofertas por tiempo limitado.
• Contacta a tu banco o institución directamente para verificar que son ellos quienes te están contactando.
• Verifica el número de teléfono desde el cual te están llamando.
• No guardes información de tarjetas de crédito ni contraseñas en tu teléfono móvil.
• Utiliza la autenticación de dos factores siempre que sea posible.
• Nunca reveles ni compartas tus códigos de recuperación o confirmación de transacciones por teléfono.
• Instala aplicaciones antimalware que escaneen tus mensajes y te den protección adicional.

En SMOWL, nos preocupamos por la seguridad en el desarrollo y desempeño del software que ofrecemos en todos nuestros planes de proctoring. 

Si quieres comprobarlo, simplemente contáctanos y solicita una demostración gratuita donde te mostraremos los beneficios de nuestro servicio y cómo se ajusta a las necesidades de tu proyecto.