¿Qué es el suplantación de identidad o smishing por SMS?

La suplantación de identidad por SMS, comúnmente denominada «Smishing», es un tipo de ciberataque que utiliza SMS (servicio de mensajes cortos) o mensajes de texto para engañar a las personas para que divulguen información confidencial.

El término combina «SMS» con «suplantación de identidad», lo que refleja su naturaleza como ataque de suplantación de identidad llevado a cabo mediante mensajes de texto o SMS enviados por empresas. El smishing es particularmente insidioso porque explota la naturaleza personal y directa de los mensajes de texto. Los ciberdelincuentes envían mensajes de texto aparentemente legítimos, a menudo haciéndose pasar por entidades de confianza, para incitar a las víctimas a compartir información personal y financiera, a hacer clic en enlaces malintencionados o a descargar software dañino.

Esto es muy común en el caso de uso de SMS OTP como Servicios de verificación por SMS son utilizados por casi todas las empresas de todos los sectores y regiones geográficas.

Cómo funciona Smishing:

1. Selección de objetivos: Los atacantes eligen sus objetivos al azar o basándose en datos específicos, como detalles de infracciones anteriores. ‍
2. Elaboración del mensaje: El texto engañoso se crea para provocar una respuesta emocional (urgencia, miedo, curiosidad) y, por lo general, incluye una llamada a la acción. El SMS no permite la participación de ningún medio en su composición, por lo que no hay ninguno en estos ataques. Eso también está cambiando con el RCS, por el que a veces recibimos enviado como SMS a través del servidor como recibos leídos. ‍
3. Entrega de mensajes: Mediante el uso de diversas tecnologías, el mensaje de smishing se envía a las personas objetivo. ‍
4. Interacción: La víctima interactúa con el mensaje, lo que puede provocar la recopilación de datos o el despliegue de malware. ‍
5. Uso de información robada: Los datos adquiridos se utilizan con fines malintencionados o para otros ataques dirigidos.

Tipos de ataques de Smishing:

1. Estafas de verificación de cuentas: Alertas fraudulentas de bancos o proveedores de servicios que solicitan verificar los detalles de la cuenta. Por lo general, esto se hace enviando un MEJORES SMS. ‍
2. Estafas de premios o loterías: Mensajes en los que se afirma que la víctima ha ganado un premio, lo que a menudo conduce al robo de información o dinero. ‍
3. Estafas de soporte técnico: Advertencias falsas sobre problemas con el dispositivo o la cuenta, que pueden provocar robos de datos o cargos. ‍
4. Alertas de fraude bancario: Alertas falsas de los bancos sobre transacciones no autorizadas o actividades sospechosas. ‍
5. Estafas tributarias: Mensajes sobre la temporada de impuestos que dicen provenir de agencias tributarias, que a menudo implican reembolsos o multas. ‍
6. Cancelación del servicio: Reclamaciones de cancelaciones de servicios o suscripciones por problemas de pago, que dirigen a los usuarios a páginas de suplantación de identidad. ‍
7. Descargas de aplicaciones malintencionadas: Promociones de aplicaciones que conducen a la instalación de software malintencionado.

Smishing contra suplantación de identidad y vishing:

1. Smishing: Utiliza mensajes SMS o de texto enviados por empresas que utilizan API de SMS.

2. Phishing: Utiliza principalmente correo electrónico y sitios web maliciosos.

3. Vishing (suplantación de identidad por voz): Emplea llamadas de voz para engañar a las personas para que revelen información confidencial

Ejemplos de ataques de Smishing:‍

Los ataques de Smishing pueden variar mucho, pero suelen implicar atraer a las víctimas con promesas de dinero, alarmarlas con alertas de seguridad fraudulentas o hacerse pasar por organizaciones legítimas. Un mensaje típico puede incitar a los usuarios a verificar una transacción bancaria o a reclamar un premio haciendo clic en un enlace malintencionado o proporcionando información personal. Los atacantes utilizan técnicas de ingeniería social para hacer que estos mensajes parezcan creíbles y urgentes.

Un ataque similar en el contexto de las empresas es Bombeo SMS donde muchos mensajes se envían automáticamente, lo que se suma a las facturas de SMS. Lo mismo se puede identificar con patrones inusuales en Tableros de SMS.

Cómo identificar y prevenir los ataques de Smishing

Consejos de detección:

1. Desconfíe de los mensajes que ofrecen dinero rápido o solicitan información confidencial.
2. Evite responder a números desconocidos o sospechosos.
3. Utilice los servicios de telecomunicaciones para denunciar y bloquear los mensajes de spam.

Estrategias de prevención:

1. Soluciones tecnológicas: Utilice herramientas de filtrado de SMS, autenticación multifactorial y antisuplantación de identidad. ‍
2. Soluciones organizacionales: Realizar capacitaciones periódicas sobre ciberseguridad, establecer mecanismos de denuncia y realizar pruebas simuladas de intrusión.
3. YOSoluciones individuales: Evite hacer clic en enlaces sospechosos, verifique las fuentes de forma independiente y manténgase actualizado sobre las tácticas de smishing más recientes.

El papel de las empresas de ciberseguridad:

Empresas de ciberseguridad ofrecen soluciones avanzadas para protegerse contra el smishing y otras ciberamenazas. Proporcionan una protección unificada en el correo electrónico, las redes sociales y los canales móviles, emplean inteligencia avanzada sobre amenazas y ofrecen análisis de riesgos y recomendaciones personalizadas para mitigarlos. Sus herramientas están diseñadas para detectar y contrarrestar una amplia gama de ciberamenazas, garantizando una defensa integral contra los ciberataques relacionados con la falsificación de información.

Conclusión

El smishing es una amenaza generalizada y en constante evolución que se dirige a las personas a través de sus canales de comunicación más personales. Comprender cómo funcionan estos ataques, reconocer los tipos más comunes y emplear estrategias de detección y prevención son fundamentales para proteger la información personal y financiera.

A medida que las ciberamenazas siguen aumentando en sofisticación, mantenerse informado y vigilante es más importante que nunca. Ya sea como individuos o como organizaciones, adoptar una estrategia de defensa de varios niveles y promover la conciencia sobre la ciberseguridad puede mitigar significativamente los riesgos asociados con la piratería y garantizar un entorno digital más seguro para todos.