El Informe sobre el estado de la suplantación de identidad 2024 de Proofpoint afirmó que el 75% de los encuestados mencionó la prevalencia de los ataques de smishing.
En este artículo, exploraremos qué es el smishing, sus ejemplos y, lo que es más importante, cómo puede protegerse de ser víctima de estas estafas.

Entendiendo a Smishing

El smishing es una forma de ciberataque que utiliza SMS o mensajes de texto para engañar a las personas para que divulguen información confidencial o descarguen software malintencionado. Smishing se basa en tácticas de ingeniería social para crear una sensación de urgencia, curiosidad o miedo, lo que incita al destinatario a tomar medidas que beneficien al ciberdelincuente.

También puede consultar nuestro artículo detallado sobre Suplantación de identidad ( para entender mejor el concepto.

Tácticas de Smishing

Los ataques de Smishing suelen seguir un patrón similar.

1. Los ciberdelincuentes envían mensajes de texto engañosos disfrazándose de fuentes confiables, como bancos, empresas de entrega o agencias gubernamentales.
2. Los mensajes de texto contienen ofertas atractivas, solicitudes urgentes o notificaciones alarmantes, diseñadas para obtener una respuesta del destinatario.
3. Inclusión de URL abreviadas o enlaces a sitios web fraudulentos.
4. Engañar a las personas para que introduzcan su información personal o descarguen malware en sus dispositivos.
5. Los mensajes de texto pueden contener números de teléfono o instrucciones para llamar a una línea de atención al cliente fraudulenta, en la que se obliga al usuario a proporcionar información confidencial.

Ejemplos de ataques de Smishing

‍‍

Los ataques de Smishing pueden adoptar diversas formas, cada una diseñada para aprovechar diferentes vulnerabilidades y provocar respuestas específicas por parte de las víctimas.

1. Notificación de entrega Smishing
   Con el auge de las compras en línea, muchas personas esperan ansiosamente la entrega de los paquetes y con frecuencia comprueban las actualizaciones SMS transaccional.
   Los atacantes de Smishing sacan provecho de esto enviando mensajes de texto que parecen ser notificaciones de entrega, con enlaces de seguimiento. Estos enlaces pueden llevar a sitios web maliciosos o contener acortadores de URL que camuflan dominios fraudulentos.
   Verifica la legitimidad del mensaje comprobándolo con el sitio web oficial de la empresa de entrega o poniéndote en contacto directamente con el servicio de atención al cliente.
2. Transferencia de tarjetas bancarias/de crédito
   Las instituciones financieras son el objetivo principal de los ataques de robo, ya que las personas tienden a ser más receptivas cuando se trata de asuntos bancarios.
   Los mensajes de Smishing de esta categoría suelen indicar problemas con cuentas bancarias, facturas impagas o actividades fraudulentas, e instan a los destinatarios a tomar medidas inmediatas. Esto también ocurre durante el Proceso de verificación de SMS OTP.
   Los mensajes legítimos de las instituciones financieras nunca incluirán enlaces. Si recibes un mensaje de texto sospechoso relacionado con tu banco o tarjeta de crédito, ponte en contacto directamente con la institución en lugar de hacer clic en los enlaces proporcionados.
3. Sorteo Win Smishing
   Los ataques de smishing, ganadores de sorteos, se aprovechan de las personas que pueden haber participado recientemente en concursos para descuentos o obsequios. Los mensajes de texto afirman que el destinatario ha ganado un premio y proporcionan instrucciones para reclamarlo. Sin embargo, estos mensajes suelen ser una artimaña para engañar a las víctimas para que descarguen malware o revelen información personal.
   Tenga cuidado con los mensajes de texto no solicitados en los que se le diga que ha ganado un premio y evite hacer clic en cualquier enlace o proporcionar información personal.
4. Restablecimiento de contraseña | Smishing
   A medida que las personas se vuelven más cautelosas con respecto a la seguridad de las contraseñas, los ciberdelincuentes han adaptado sus tácticas para explotar autenticación de dos factores (2FA) sistemas. En los ataques de robo de contraseñas, las víctimas reciben mensajes de texto en los que se les informa de una violación de seguridad y se les pide que proporcionen un código 2FA para proteger su cuenta.
   Ten siempre cuidado y nunca compartas tu código de 2FA con nadie. Considera la posibilidad de usar una aplicación de autenticación para mejorar la seguridad, en lugar de confiar únicamente en los mensajes de texto para la autenticación de dos factores.
5. Estafas en la temporada de impuestos
   Durante la temporada de impuestos, las personas son particularmente vulnerables a los ataques de robo que sacan provecho de sus preocupaciones financieras.
   Estos mensajes enviado por SMS puede alegar que el destinatario debe dinero o tiene derecho a un reembolso importante, lo que lo incita a hacer clic en un enlace para resolver el problema o solicitar el reembolso. Sin embargo, estos enlaces suelen llevar a sitios web maliciosos o instalar software malicioso en el dispositivo de la víctima.
   Las agencias oficiales de impuestos e ingresos se comunican principalmente por correo electrónico y cartas físicas. Recuerde que los pagos y los reembolsos generalmente se realizan a través de los canales oficiales, no a través de SMS.
6. Director ejecutivo Fraud Smishing
   Los ataques de fraude de directores ejecutivos se dirigen específicamente a los empleados de las organizaciones haciéndose pasar por sus superiores.
   Estos mensajes suelen solicitar asistencia urgente o la finalización de una tarea antes de que finalice el día hábil. El objetivo es aprovechar el deseo del destinatario de impresionar a sus superiores y su disposición a cumplir con las solicitudes de los superiores.
   Es crucial establecer una política para toda la empresa que exija canales de comunicación adecuados entre ejecutivos y empleados.
7. Envío de mensajes ridículos
   Los ridículos ataques de falsificación de mensajes se basan en afirmaciones escandalosas y en la manipulación emocional para atacar a personas vulnerables, en particular a los adultos mayores. Estos Campaña de SMS los mensajes pueden hacerse pasar por familiares perdidos hace mucho tiempo o personas que necesitan asistencia financiera, y se aprovechan de las emociones del destinatario y su disposición a ayudar.
   Es esencial educar y proteger a sus familiares o amigos mayores que pueden ser más susceptibles a este tipo de estafas. Fomente la comunicación abierta sobre cualquier mensaje de texto en el que se solicite dinero o ayuda de fuentes desconocidas.

Cómo identificar y prevenir los ataques de Smishing

Para protegerse de los ataques de robo, hay varias medidas proactivas que puede tomar para minimizar el riesgo de ser víctima de estas estafas.

1. Sé consciente
   Comprender los riesgos asociados con los mensajes de texto malintencionados es el primer paso para protegerse. Mantente informado sobre las tácticas de espionaje más recientes, los ataques de ingeniería social y otras estafas, como Fraude por SMS OTP.
   Considere la posibilidad de invertir en formación sobre seguridad para usted y su organización a fin de crear una cultura de concienciación sobre la ciberseguridad.
2. No actúes
   La mejor defensa contra los ataques de smishing es actuar con cautela y no hacer nada si algo parece sospechoso. Confíe en sus instintos y evite interactuar con mensajes de texto que generen señales de alerta.
   Los mensajes legítimos de agencias gubernamentales, instituciones financieras u otras organizaciones acreditadas llegarán a través de canales oficiales como Mensajes de WhatsApp si hay un problema real que requiere su atención.
3. Manténgase informado y genere conciencia
   Comunícate regularmente con tus empleados, amigos y familiares sobre los ataques de robo de información. Haga hincapié en la importancia de la lectura mensajes de texto cuidadosamente y anímelos a denunciar cualquier mensaje sospechoso. Realice simulaciones de concienciación en materia de seguridad para evaluar la resiliencia de las personas frente a los ataques de piratas informáticos e imparta formación mediante módulos de gamificación y microaprendizaje cuando sea necesario.
4. Instalación del software de seguridad
   Proteja sus dispositivos móviles instalando software antivirus y protección contra el malware de buena reputación, especialmente si utiliza una política de traer su propio dispositivo (BYOD) en su organización. Actualiza periódicamente el software de tus dispositivos para asegurarte de que dispones de los parches de seguridad más recientes.
5. Habilitar la autenticación de dos factores
   Siempre que sea posible, habilita la autenticación de dos factores (2FA) para tus cuentas. Sin embargo, ten cuidado al recibir la autenticación de dos factores o MFA códigos por mensaje de texto. Evite compartir estos códigos con nadie, ya que los proveedores de servicios legítimos no los pedirán.
6. Verifique las solicitudes de forma independiente
   Si recibes un mensaje de texto en el que se solicita información confidencial o una acción inmediata, verifica la solicitud de forma independiente antes de tomar cualquier medida. Ponte en contacto directamente con la organización utilizando su información de contacto oficial, en lugar de confiar en la información proporcionada en el mensaje de texto.
7. Tenga en cuenta la información personal
   Evite compartir información personal o financiera a través de mensajes de texto, especialmente si la solicitud parece sospechosa. Las organizaciones legítimas no solicitarán información confidencial, como números de cuentas o contraseñas, a través de mensajes de texto.