En la actualidad, muchos de los ciberataques se basan en la ingeniería social. El smishing es una palabra compuesta que hace referencia a SMS y phishing, debido a su similitud con este ataque tan popular. A través de esta técnica, los ciberdelincuentes intentan obtener los datos personales y/o bancarios de la víctima, haciéndole creer que los está compartiendo con alguien conocido o con una entidad de confianza. Aunque, también se suele engañar a la víctima para descargar un malware, que se encargará de tomar el control del dispositivo y recopilar información sensible para enviársela a los ciberdelincuentes.

Por ello, debemos intentar estar siempre alerta y pendientes de los mensajes que recibimos para así evitar caer en estos tipos de fraudes, al contrario de lo que le sucedió a la madre de Ana con su cuenta bancaria.

¿Qué sucedió?

Nuestra protagonista se dio cuenta, después de confirmar sus sospechas, que había sido víctima de smishing. En este caso, recibió un SMS por parte de un ciberdelincuente simulando ser una entidad bancaria y con la finalidad de incitarla a pulsar en el enlace que aparecía en el mismo. El mensaje de texto decía “A partir de 00/00/0000 no podrá utilizar su tarjeta debido a cambios en la política de seguridad. Acceda al link para proceder con la activación [URL maliciosa]” Tras pulsarlo, fue redirigida a una web falsa que simulaba ser la propia web de la entidad, de modo que el ciberdelincuente consiguió que introdujera sus credenciales personales en una página fraudulenta.

Desde el momento en que los ciberdelincuentes tuvieron en su poder las claves de la madre de Ana, accedieron a la cuenta bancaria de nuestra protagonista, cambiaron la contraseña para realizar sus acciones sin ser detectados y con los datos de la cuenta bancaria, tenían acceso a toda la información crucial. Es más, con dichos datos se registraron en diferentes webs maliciosas gestionadas por ellos para reclamar cargos de suscripción haciendo que la cuenta realizara todo tipo de movimientos y transferencias a la plataforma maliciosa, que derivaría el dinero a cuentas monedero de tipo cripto para evitar ser rastreados, consiguiendo así vaciar por completo el fondo ahorrado para la universidad de Ana.

Tras percatarse de que algo no iba bien y alarmada con lo que estaba sucediendo, la madre de Ana pidió ayuda a través de la Línea de Ayuda de INCIBE y se puso en contacto con su entidad bancaria para así dar de baja la cuenta y bloquear todas las tarjetas asociadas. Lo siguiente que hizo fue poner una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado (FCSE).

¿Qué hace el ciberdelincuente para materializar este tipo de ataque?

El smishing es un tipo de estafa en la cual, por medio de mensajes SMS, se solicitan datos o se pide a la víctima que llame a un número, que entre a un sitio web o incluso que descargue una aplicación. Funciona de la siguiente forma:

1. El sistema emisor de estos mensajes de texto, intentará suplantar la identidad de alguna persona conocida de entre nuestros contactos, o incluso a una empresa de confianza. Para este caso mostrado, por una entidad bancaria.
2. Tratará de hacernos caer en el engaño enviando mensajes con textos alarmantes y que nos invitan a tomar una acción de manera rápida o urgente. Algunos ejemplos: nuestra tarjeta ha quedado bloqueada, hay un problema con nuestra cuenta online, debemos reactivar de manera inmediata nuestro acceso o de otro modo quedará invalidado y no podremos acceder, etc., siendo estos sólo algunos de los ‘ganchos’ o excusas utilizados por los ciberdelincuentes detrás de estas prácticas ilícitas.
3. Facilitan en el SMS un enlace que lleva a la víctima a un sitio web fraudulento para que este introduzca sus datos personales, bancarios, contraseñas, etc. De esta forma, materializan el fraude.

¿Cómo se detectan estos tipos de ataques?

Sabemos que en ocasiones la curiosidad y el miedo puede ser nuestra primera reacción, pero siempre debemos pensar antes de actuar, por lo que recomendamos no abrir ninguna página web que nos envíen en un mensaje de texto, así como tampoco llamar al ‘número’ que señalan, y mucho menos responder al mensaje de texto.

Son ataques comunes y existen algunas señales a las que podemos prestar atención para tratar de identificar este tipo situaciones de estafa.

• Enlaces sospechosos. Debemos revisar el enlace que acompaña al SMS, ya que muchas veces la clave está en buscar el dominio de la página oficial de la entidad y compararlo con el recibido, si no coinciden, es mejor no hacer clic en él.
• Mensaje urgente del banco. Lo más probable es que el banco llame personalmente si se ha producido algún error o si se trata de algo urgente. En este caso, el banco también suele verificar su información por teléfono. Si recibes un SMS urgente de tu banco, llama primero para verificarlo antes de pulsar ningún enlace. También puedes acudir a la sucursal más cercana para contrastar la información.
• Errores ortográficos y gramaticales. Las organizaciones legítimas contratan a editores y redactores profesionales. Observa si el SMS contiene errores ortográficos y gramaticales, de ser así, es casi seguro que se trata de una estafa.
• Mensaje enviado a una hora poco habitual. La mayoría de las empresas funcionan de lunes a viernes en horario laboral entre las 8 de la mañana y las 6 de la tarde, es decir, si recibes mensajes de una organización ‘legítima’ durante la noche o incluso muy temprano por la mañana o en fines de semana, deberías reconsiderar la veracidad de éste.

Si aun siguiendo las anteriores pautas tienes dudas y estás interesado en saber qué está pasando, siempre va a ser mejor comunicarse directamente con la entidad.

¿Qué debemos hacer para protegernos?

La buena noticia es que como usuarios podemos protegernos de este tipo de ataques, y al igual que ocurre con el phishing de correo electrónico, la protección contra el smishing depende de nuestra capacidad para identificar aquellos mensajes SMS que potencialmente podrían ser un ataque, de manera que ignoremos y/o procedamos a informar acerca del mensaje SMS que hemos recibido.

A continuación, indicamos una serie de recomendaciones para evitar caer en el fraude del smishing:

• Desconfía de los mensajes de remitentes desconocidos.
• Nunca facilites la información que pide el mensaje, especialmente cuando se trata de datos personales o bancarios.
• No pinches en los enlaces.
• No descargues archivos adjuntos.
• Bloquea los mensajes de texto que consideres spam, así no volverás a recibirlos más.
• Verifica el remitente, muchas veces suplantan la identidad de un contacto o empresa conocida.
• Evita guardar sin cifrar claves o información bancaria en el teléfono, como en un contacto o en la aplicación de notas.
• Personaliza las opciones de seguridad, con contraseñas seguras y sistemas de doble verificación, tanto del móvil como de la banca electrónica.
• Recuerda que el banco nunca te pedirá por SMS que facilites tus claves de acceso, ni tampoco los datos de tu tarjeta.

Si has recibido un mensaje fraudulento de estas características, puedes reportarlo a nuestro centro de respuesta a incidentes de seguridad. Encuentra más información sobre cómo hacerlo en: https://www.incibe-cert.es/respuesta-incidentes.

¿Conocías este fraude? ¿Crees que has podido ser víctima de uno similar? Te recordamos que ponemos a tu disposición la línea gratuita de ayuda en ciberseguridad de INCIBE: 017 y nuestros canales de mensajería instantánea WhatsApp 900 116 117 y Telegram @INCIBE017.