Loading...

Qué es el smishing: definición, ejemplos y cómo detectarlo

Esta técnica consiste en el envío de un SMS por parte de un ciberdelincuente a un usuario simulando ser una entidad legítima con el objetivo de robar información o dinero

Alberto Rosa

La definición de smishing es el envío de un SMS por parte de un ciberdelincuente a un usuario simulando ser una entidad legítima / FREEPIK

En la era digital, la seguridad se ha convertido en una preocupación cada vez más importante. Los ciberdelincuentes están siempre al acecho, diseñando y ejecutando prácticas para hacer a caer en sus trampas digitales a millones de usuarios expuestos.

Una de esas tácticas es el smishing, con el que los delincuentes pueden robar dinero o información personal a sus víctimas a través de un simple SMS al teléfono móvil. Se trata de una de las técnicas más comunes y peligrosas en la era digital.

Qué es el smishing

El smishing es una técnica que consiste en el envío de un SMS por parte de un ciberdelincuente a un usuario simulando ser una entidad legítima -red social, banco, institución pública, etc. -con el objetivo de robarle información privada o realizarle un cargo económico.

Un chico sufre una estafa a través de smishing / FREEPIK

Al igual que los ataques de phishing basados en el correo electrónico, estos mensajes engañosos suelen parecer proceder de fuentes fiables y utilizan tácticas de ingeniería social para crear una sensación de urgencia, curiosidad o miedo con el fin de manipular al destinatario para que realice una acción no deseada.

Cómo funciona

Generalmente el mensaje invita a llamar a un número de tarificación especial o acceder a un enlace de una web falsa bajo un pretexto. La mayoría de los ataques smishing funcionan igual que el phishing por correo electrónico. Estos ataques utilizan una combinación de manipulación tecnológica y tácticas psicológicas para engañar a las víctimas.

Primero, los ciberdelincuentes seleccionan las víctimas, que puede ser de forma aleatoria o específica, dirigiéndose a individuos basándose en datos obtenidos de violaciones anteriores o información vendida en la dark web.

Elaboración del mensaje

Una vez se seleccionan las víctimas, elaboran el mensaje con un texto engañosos que invoca a una emoción o reacción específica como la urgencia, el miedo o la curiosidad. Acto seguido se envían los mensajes utilizando pasarles de SMS y herramientas de suplantación de identidad.

Una persona mira su móvil tras recibir un mensaje sospechoso que es una estafa / FREEPIK

Al recibir el mensaje, se solicita a la víctima que realice una acción. Esto puede ser hacer clic en un enlace proporcionado o responder con información personal. Los ciberdelincuentes recopilan los datos o despliegan el malware para utilizar después la información robada. Finalmente, para continuar sus operaciones sin ser detectados, los atacantes cambien frecuentemente de táctica utilizando distintos números de teléfono y empleando diversas técnicas para enmascarar su identidad y ubicación.

Ejemplos

Hay varios ejemplos de ataques de smishing. Pueden pretender ser parte de una entidad bancaria e informar a la víctima sobre una actualización de datos o un problema con su cuenta y enviarles un enlace para que ingresen información privada. En otras ocasiones también se puede suplantar al Gobierno o a una institución pública para robar datos personales como el número de seguridad social.

Otra estrategia común es pretender que se trata de un agente de atención al cliente de una empresa ampliamente conocida para informar de un reembolso a reclamar o un problema con la cuenta. También se suplanta frecuentemente a empresas de envíos de paquetes informando que hay un problema con algún envío y hay que ingresar una cuenta para verificar el problema.

Diferencia con el phishing

Por un lado, el phishing utiliza correos electrónicos aparentemente reales con un enlace que insta a introducir información como el nombre completo, número de seguridad social o el número de tarjeta de crédito.

Mientras, el smishing emplea mensajes de texto o aplicaciones de mensajería comunes, como WhatsApp, para contactar a individuos desprevenidos. Los mensajes suelen ir acompañados de un enlace o la URL de un sitio web en el que los estafadores solicitan datos personales y bancarios.

Cómo evitar que te estafen

Los mensajes de smishing son peligrosos solamente si el usuario objetivo emprende una acción, como hacer clic en el enlace o enviar datos privados al atacante. Para evitar ser víctima de esta táctica hay que tener en cuenta una serie de factores para identificarlos.

Un falso SMS que suplanta a la Agencia Tributaria / GUARDIA CIVIL

No hay que fiarse de mensajes de desconocidos por mucho que puedan tener apariencia de confianza. No se deben abrir enlaces a páginas web que vayan adjuntos a un mensaje. El banco nunca pedirá datos en un SMS o una llamada. No trates de responder a ese SMS o llamar, ya que la trampa también puede estar ahí y tener algún tipo de tarificación especial. Contacta siempre con la entidad que ha enviado el mensaje en caso de dudas, reporta el mensaje como SPAM y bloquea el número.

Qué hacer si se ha sido víctima (cómo denunciarlo)

Como norma general ante cualquier situación de ser víctima de estafa, lo primero que hay que hacer es denunciar ante la policía lo sucedido. De igual forma, se aconseja reportar el suceso a la entidad usurpada para que también se unan a la investigación. Reportarlo ante el banco es clave, haya sido la estafa con ellos o no, ya que si los delincuentes han accedido a la cuenta bancaria o tienen datos de la tarjeta, habrá que anular cualquier posible movimiento no autorizado, así como bloquear las tarjetas.

En el caso de que la estafa haya tenido que ver con alguna aplicación descargada, es aconsejable restaurar por completo el móvil y dejarlo en estado de fábrica. Esta es la forma más eficaz de asegurarse de que se eliminan todos los archivos infectados. Eso sí, antes de ello se recomienda hacer capturas de pantalla y recopilar toda la información clave que pueda solicitarte la policía para acometer la investigación.