El smishing, una combinación de las palabras "SMS" y "phishing", es un tipo de ataque cibernético que utiliza mensajes de texto para engañar a las personas. Los atacantes engañan a sus objetivos para que compartan datos confidenciales, como credenciales o información financiera, o para que hagan clic en enlaces maliciosos. Luego, el atacante aprovecha estas acciones para obtener acceso no autorizado a las redes, inyectar malware o ransomware u otros tipos de actividades maliciosas.

El smishing es un tipo de phishing. En la mayoría de los casos, los ataques de phishing realizarse a través del correo electrónico. Sin embargo, el smishing aprovecha el uso popular de los teléfonos móviles y sus aplicaciones de mensajería y realiza phishing a través de mensajes móviles. Los mensajes de texto también suelen tener una alta tasa de apertura, lo que también beneficia a los atacantes. Finalmente, los usuarios perciben incorrectamente que sus teléfonos móviles son seguros, lo que los hace menos desconfiados ante los mensajes de texto que les incitan a realizar diversas acciones, lo que aumenta las posibilidades de que un ataque tenga éxito.

¿Qué es smishing?

¿Cómo funcionan los ataques de smishing?

Los ataques de smishing explotan la confianza y las vulnerabilidades de las personas para engañarlas a través de sus teléfonos móviles. Así es como funcionan los ataques de smishing:

  • Contacto inicial – El atacante inicia el ataque smishing. Esto se hace enviando un mensaje de texto al dispositivo móvil del objetivo. El mensaje a menudo parece provenir de una fuente confiable, como una organización acreditada o un contacto conocido.
  • Contenido engañoso – El mensaje smishing contiene contenido fraudulento diseñado para captar la atención del destinatario y obtener una respuesta. Esto podría incluir alertas urgentes, notificaciones de seguridad, solicitudes sinceras, ofertas de obsequios, descuentos, premios de lotería y más.
  • Urgencia y manipulación – El atacante crea una sensación de urgencia o explota las emociones del objetivo para provocar una acción inmediata. Podrían afirmar que no actuar con rapidez tendrá consecuencias negativas. Por ejemplo, en caso de suspensión de cuenta, problemas legales, pérdidas financieras o riesgos para la salud.
  • Solicitud de información o acción sensible – El mensaje smishing le pedirá al destinatario que proporcione información confidencial. Por ejemplo, contraseñas, datos de tarjetas de crédito o números de Seguro Social. O puede indicarle al objetivo que haga clic en un enlace malicioso o descargue un archivo adjunto dañino.
  • Explotación y fraude – En el caso de que el destinatario realice la acción solicitada, el atacante obtiene acceso a información confidencial o instala malware en el dispositivo de la víctima. Esto puede provocar robo de identidad, fraude financiero, acceso no autorizado, o una mayor explotación de los contactos de la víctima.

Ejemplos de ataques de smishing 

Las estafas de smishing se pueden llevar a cabo con diferentes pretextos falsos. Éstas incluyen:

  • Estafa de premio o lotería – Mensajes que afirman que el objetivo ha ganado un premio o una lotería y que se requiere información personal o pagos para reclamar las ganancias.
  • Alertas de seguridad falsas – Se tomaron mensajes que afirmaban actividades sospechosas en la cuenta del destinatario, instándolo a tomar medidas inmediatas haciendo clic en un enlace o proporcionando credenciales de inicio de sesión. Estos podrían incluir cuentas financieras, cuentas de aplicaciones y más.
  • Códigos MFA – Mensajes que requieren que el objetivo comparta su código de verificación MFA y luego inicie sesión como usuario.
  • información del pedido – Mensajes que contienen información falsa sobre pedidos, como confirmaciones, reclamos de que el pedido ha sido cancelado y más. Cuando el destinatario hace clic en el enlace, lo dirige a un sitio falso que roba las credenciales de inicio de sesión.

Cómo identificarse y protegerse de ataques de smishing

La vigilancia y la conciencia son claves para protegerse de los ataques de smishing. A continuación se muestran algunas prácticas para ejercitar:

1. Manténgase informado y capacítese

Manténgase actualizado sobre las últimas técnicas de smishing y tácticas comunes utilizadas por los atacantes. Familiarícese con las señales de alerta, como solicitudes urgentes, mensajes no solicitados o mensajes de números desconocidos.

2. Verificar el remitente

Tenga cuidado con los mensajes de texto recibidos de números o personas desconocidas o desconocidas. Si bien no todos los remitentes desconocidos son indicativos de smishing, es una buena práctica tener precaución y verificar la identidad del remitente de forma independiente. Comuníquese con la organización directamente a través de su sitio web oficial o un número de teléfono verificado para confirmar la legitimidad del mensaje.

3. Busque errores ortográficos y gramaticales 

Los mensajes smishing suelen contener errores ortográficos, gramaticales o frases incómodas. Las organizaciones confiables, como los bancos, suelen tener estándares de comunicación. El lenguaje sospechoso en un mensaje de texto puede ser una señal de alerta.

4. Tenga cuidado con los mensajes urgentes y no solicitados 

Sea escéptico ante los mensajes que exigen respuestas inmediatas o amenazan con consecuencias negativas por el incumplimiento. La mayoría de las organizaciones legítimas no solicitan información de esta manera.

5. Tenga precaución con los hipervínculos y las solicitudes de información personal 

Evite hacer clic en enlaces proporcionados en mensajes de texto, especialmente si parecen sospechosos o conducen a sitios web desconocidos. Además, sea escéptico ante los mensajes que soliciten contraseñas, números de seguro social, detalles de tarjetas de crédito o cualquier otra información personal.

6. Instalar software de seguridad

Instale software de seguridad en su dispositivo móvil para detectar y bloquear intentos de smishing. Estas aplicaciones pueden identificar y advertirle sobre mensajes o enlaces potencialmente dañinos.

Evite ataques de phishing con LayerX

LayerX es una solución de seguridad del navegador, entregado como una extensión, diseñada específicamente para proteger aplicaciones, datos y dispositivos de todas y cada una de las amenazas y riesgos transmitidos por la web. LayerX ofrece visibilidad granular de la actividad web de los empleados y el uso de SaaS, tanto en aplicaciones autorizadas como no autorizadas. Todo ello garantizando una experiencia de usuario estelar y sin interferir en el flujo de trabajo diario del usuario.

Para bloquear y prevenir el phishing, LayerX monitorea las sesiones del navegador en la capa de aplicación y proporciona visibilidad de los eventos de navegación. Esto permite el análisis de sesiones y la aplicación de medidas protectoras que neutralizan los aspectos maliciosos de las páginas web. La actividad maliciosa del sitio web se bloquea antes de que interactúe con el navegador. Además, LayerX analiza el comportamiento de las páginas a las que se accedió a través del correo electrónico y permite bloquear actividades maliciosas como el phishing.