¿Qué es el smishing?
El smishing, también conocido como phishing por SMS, es una estafa en la que el atacante envía un mensaje de texto falso que suele disfrazarse como si procediera de una organización legítima. El objetivo es engañarle para que revele información personal o pulse en un vínculo infectado que introduce malware en su dispositivo.
Los mensajes de smishing suelen presionar a la víctima para que responda empleando un lenguaje que transmita urgencia, como «¡Responda ahora!» o «URGENTE». El estafador busca que tome una decisión rápida antes de pensar detenidamente, es decir, que revele información personal o pulse en un vínculo malicioso que le dirija a un sitio web falso o descargue malware.
Smishing frente a phishing
La palabra «smishing» es una combinación de «SMS» y «phishing», y hace referencia a una estafa de phishing ejecutada por SMS. Tanto los mensajes de phishing como los de smishing son tipos de ataques que pretenden obtener información personal o infectar un dispositivo con malware. A diferencia del phishing, el smishing solo tiene lugar mediante mensaje de texto, pero ambos tienen el mismo objetivo.
Smishing frente a vishing
Los ataques de vishing son similares a los de smishing en el sentido de que ambos son tipos de ataques de phishing perpetrados por teléfono. Pero el vishing se produce mediante llamadas y mensajes de voz, mientras que el smishing tiene lugar por mensaje de texto.
Tanto en el vishing como en el smishing, el estafador se hace pasar por una entidad legítima, como Hacienda o el banco. Los ataques de vishing y phishing tienen el mismo objetivo: obtener información personal para robar dinero, cometer un robo de identidad o llevar a cabo alguna otra estafa perversa.
Tanto el smishing como el vishing son tipos de ataques de phishing.
¿En qué consiste un ataque de smishing?
Los ataques de smishing suelen emplear una combinación de tácticas de ingeniería social y suplantación. Una vez que ha conseguido suplantar un número de teléfono, lo único que necesita el estafador es convencer a la víctima para que actúe sin pensar demasiado. Presentará una situación plausible y la manipulará emocionalmente para conseguir que revele datos confidenciales, envíe dinero o pulse en un vínculo malicioso.
Como el smishing se produce por mensaje de texto, los smishers disponen de un espacio limitado para intentar que la víctima responda a sus mensajes. Eso significa que tienen que dar la impresión de ser una empresa u organización fiable, puesto que no disponen de tanto tiempo para ganarse su confianza como con otras plataformas de ataque, como el correo electrónico. Pueden hacerse pasar por una tienda, una empresa de reparto, un organismo gubernamental o el banco.
Ejemplos de smishing
Los ataques de smishing se disfrazan de mensajes de texto legítimos que parecen proceder de una organización de confianza o, a veces, de un amigo o familiar. El mensaje de texto fraudulento es creíble y parece importante para su supuesto objetivo. He aquí algunos de los escenarios más comunes que los ataques de smishing utilizan como tapadera.
-
Smishing de confirmación de pedidos: en la infame estafa del acceso anticipado al iPhone 12, los estafadores enviaron mensajes de texto de smishing ofreciendo acceso anticipado al iPhone 12. Las víctimas solo tenían que pagar los gastos de envío para unirse a la prueba y recibir un teléfono. En realidad, introducían los datos de su tarjeta en un sitio web falso y les robaban sus cuentas bancarias.
-
Smishing de servicios financieros: el mensaje de smishing se disfraza de notificación de una institución financiera, como el banco de la víctima, y la insta a acceder a su cuenta. Pero si accede a su cuenta siguiendo el vínculo, también dará acceso al smisher.
-
Smishing de tarjetas regalo o premios falsos: el mensaje de smishing afirma que el destinatario ha ganado una tarjeta regalo o un premio y solo tiene que pulsar en un vínculo para reclamarlo. Cuando sigue el vínculo e introduce su información personal, el hacker ya la tiene.
-
Smishing de entrega: en este tipo de ataque de smishing, la víctima recibe un mensaje de texto de confirmación, aparentemente de USPS u otra empresa de reparto, en el que se le informa de que tiene un paquete listo para entregar. De forma similar a un mensaje de texto de confirmación de pedido, puede indicar que se siga un vínculo para confirmar la entrega.
¿Cómo prevenir el smishing?
Algunos consejos para ayudarle a prevenir los ataques de smishing:
-
No pulse vínculos en mensajes de números desconocidos.
-
Compruebe y verifique la URL de los vínculos que le envíen.
-
Tenga cuidado con los mensajes que le presionen para que responda con urgencia y que no le resulten familiares.
-
Verifique todos los números desconocidos antes de responder.
-
Llame directamente a una empresa o persona para verificar si un mensaje de texto es real.
-
Instale un software antivirus fiable para ayudarle a mantener el malware alejado de su dispositivo.
Evite el smishing con consejos sencillos
No puede impedir totalmente que el smishing llegue a su teléfono, pero puede tomar medidas para minimizar el riesgo de interactuar con los mensajes de texto y caer víctima de ellos. Es fundamental proteger su dispositivo y sus cuentas, así como utilizar un software antivirus.
Por otra parte, no responda directamente a los mensajes sospechosos. Utilice otro medio de comunicación (correo electrónico o teléfono) para ponerse en contacto con la organización de la que supuestamente procede el mensaje de texto de smishing y pedirle que verifique el mensaje. Si no conoce la organización del remitente, ignore y bloquee el mensaje.
Mantenga actualizados el sistema operativo y las aplicaciones del teléfono. Al mantener el software del teléfono actualizado a la versión más reciente, podrá obtener los parches para cualquier brecha de seguridad que se detecte.
Asimismo, debe crear contraseñas seguras y únicas para cada cuenta. Un administrador de contraseñas puede ayudarle a crearlas y recordarlas por usted.
Pero ni siquiera las contraseñas seguras son infalibles. Siempre que pueda, configure la autenticación en dos pasos (2FA) o la autenticación en varios pasos (MFA). Le brindará otra capa de protección en el caso de que alguien hackee una de sus contraseñas o se filtre en una filtración de datos.
La autenticación en dos pasos y en varios pasos requiere métodos de verificación adicionales para acceder a una cuenta.
Refuerce su seguridad en internet con AVG AntiVirus
Una aplicación todo en uno como AVG AntiVirus puede ayudarle a evitar sitios falsos o de phishing bloqueando los vínculos, descargas y archivos adjuntos de correo electrónico que no son seguros. También analiza las redes wifi para detectar posibles vulnerabilidades de seguridad y le ayuda a reforzar su protección en internet. Descargue AVG AntiVirus hoy mismo para disfrutar de una mayor seguridad contra las amenazas en línea.