Isla Cloud Solutions
Smishing, el SMS con el que no te quieres encontrar

 
Imagen decorativa - Smishing, el SMS con el que no te quieres encontrar
A menudo, los ciberataques empiezan con un clic en el lugar equivocado. Puede ser en un enlace que nos lleva a una web, un adjunto de un correo o por ejemplo en un SMS. En una época como la que vivimos, de comunicación global, convivimos en nuestro día a día con más tecnologías que nunca y la información se intercambia en apenas segundos. Sin embargo, los mensajes de texto siguen siendo un punto de entrada con el que los ciberdelincuentes tratan de engañarnos día tras día, técnica que se conoce como smishing. En este artículo, te explicaremos cómo se realiza este fraude y los consejos que deberías tener en cuenta para evitarlo.

En la actualidad, muchos de los ciberataques se basan en la ingeniería social. El smishing es una palabra compuesta que hace referencia a SMS y phishing, debido a su similitud con este ataque tan popular. A través de esta técnica, los ciberdelincuentes intentan obtener los datos personales y/o bancarios de la víctima, haciéndole creer que los está compartiendo con alguien conocido o con una entidad de confianza. Aunque, también se suele engañar a la víctima para descargar un malware, que se encargará de tomar el control del dispositivo y recopilar información sensible para enviársela a los ciberdelincuentes.

Por ello, debemos intentar estar siempre alerta y pendientes de los mensajes que recibimos para así evitar caer en estos tipos de fraudes, al contrario de lo que le sucedió a la madre de Ana con su cuenta bancaria.

¿Qué sucedió?

Nuestra protagonista se dio cuenta, después de confirmar sus sospechas, que había sido víctima de smishing. En este caso, recibió un SMS por parte de un ciberdelincuente simulando ser una entidad bancaria y con la finalidad de incitarla a pulsar en el enlace que aparecía en el mismo. El mensaje de texto decía “A partir de 00/00/0000 no podrá utilizar su tarjeta debido a cambios en la política de seguridad. Acceda al link para proceder con la activación [URL maliciosa]” Tras pulsarlo, fue redirigida a una web falsa que simulaba ser la propia web de la entidad, de modo que el ciberdelincuente consiguió que introdujera sus credenciales personales en una página fraudulenta.

Ejemplo de SMS fraudulento que suplanta a entidad bancaria

Ejemplo de web fraudulenta que suplanta a la de una entidad bancaria

Desde el momento en que los ciberdelincuentes tuvieron en su poder las claves de la madre de Ana, accedieron a la cuenta bancaria de nuestra protagonista, cambiaron la contraseña para realizar sus acciones sin ser detectados y con los datos de la cuenta bancaria, tenían acceso a toda la información crucial. Es más, con dichos datos se registraron en diferentes webs maliciosas gestionadas por ellos para reclamar cargos de suscripción haciendo que la cuenta realizara todo tipo de movimientos y transferencias a la plataforma maliciosa, que derivaría el dinero a cuentas monedero de tipo cripto para evitar ser rastreados, consiguiendo así vaciar por completo el fondo ahorrado para la universidad de Ana.

Tras percatarse de que algo no iba bien y alarmada con lo que estaba sucediendo, la madre de Ana pidió ayuda a través de la Línea de Ayuda de INCIBE y se puso en contacto con su entidad bancaria para así dar de baja la cuenta y bloquear todas las tarjetas asociadas. Lo siguiente que hizo fue poner una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado (FCSE).

¿Qué hace el ciberdelincuente para materializar este tipo de ataque?

El smishing es un tipo de estafa en la cual, por medio de mensajes SMS, se solicitan datos o se pide a la víctima que llame a un número, que entre a un sitio web o incluso que descargue una aplicación. Funciona de la siguiente forma:

  1. El sistema emisor de estos mensajes de texto, intentará suplantar la identidad de alguna persona conocida de entre nuestros contactos, o incluso a una empresa de confianza. Para este caso mostrado, por una entidad bancaria.
  2. Tratará de hacernos caer en el engaño enviando mensajes con textos alarmantes y que nos invitan a tomar una acción de manera rápida o urgente. Algunos ejemplos: nuestra tarjeta ha quedado bloqueada, hay un problema con nuestra cuenta online, debemos reactivar de manera inmediata nuestro acceso o de otro modo quedará invalidado y no podremos acceder, etc., siendo estos sólo algunos de los ‘ganchos’ o excusas utilizados por los ciberdelincuentes detrás de estas prácticas ilícitas.
  3. Facilitan en el SMS un enlace que lleva a la víctima a un sitio web fraudulento para que este introduzca sus datos personales, bancarios, contraseñas, etc. De esta forma, materializan el fraude.

¿Cómo se detectan estos tipos de ataques?

Sabemos que en ocasiones la curiosidad y el miedo puede ser nuestra primera reacción, pero siempre debemos pensar antes de actuar, por lo que recomendamos no abrir ninguna página web que nos envíen en un mensaje de texto, así como tampoco llamar al ‘número’ que señalan, y mucho menos responder al mensaje de texto.

Son ataques comunes y existen algunas señales a las que podemos prestar atención para tratar de identificar este tipo situaciones de estafa.

  • Enlaces sospechosos. Debemos revisar el enlace que acompaña al SMS, ya que muchas veces la clave está en buscar el dominio de la página oficial de la entidad y compararlo con el recibido, si no coinciden, es mejor no hacer clic en él.
  • Mensaje urgente del banco. Lo más probable es que el banco llame personalmente si se ha producido algún error o si se trata de algo urgente. En este caso, el banco también suele verificar su información por teléfono. Si recibes un SMS urgente de tu banco, llama primero para verificarlo antes de pulsar ningún enlace. También puedes acudir a la sucursal más cercana para contrastar la información.
  • Errores ortográficos y gramaticales. Las organizaciones legítimas contratan a editores y redactores profesionales. Observa si el SMS contiene errores ortográficos y gramaticales, de ser así, es casi seguro que se trata de una estafa.
  • Mensaje enviado a una hora poco habitual. La mayoría de las empresas funcionan de lunes a viernes en horario laboral entre las 8 de la mañana y las 6 de la tarde, es decir, si recibes mensajes de una organización ‘legítima’ durante la noche o incluso muy temprano por la mañana o en fines de semana, deberías reconsiderar la veracidad de éste.

Si aun siguiendo las anteriores pautas tienes dudas y estás interesado en saber qué está pasando, siempre va a ser mejor comunicarse directamente con la entidad.

¿Qué debemos hacer para protegernos?

La buena noticia es que como usuarios podemos protegernos de este tipo de ataques, y al igual que ocurre con el phishing de correo electrónico, la protección contra el smishing depende de nuestra capacidad para identificar aquellos mensajes SMS que potencialmente podrían ser un ataque, de manera que ignoremos y/o procedamos a informar acerca del mensaje SMS que hemos recibido.

A continuación, indicamos una serie de recomendaciones para evitar caer en el fraude del smishing:

  • Desconfía de los mensajes de remitentes desconocidos.
  • Nunca facilites la información que pide el mensaje, especialmente cuando se trata de datos personales o bancarios.
  • No pinches en los enlaces.
  • No descargues archivos adjuntos.
  • Bloquea los mensajes de texto que consideres spam, así no volverás a recibirlos más.
  • Verifica el remitente, muchas veces suplantan la identidad de un contacto o empresa conocida.
  • Evita guardar sin cifrar claves o información bancaria en el teléfono, como en un contacto o en la aplicación de notas.
  • Personaliza las opciones de seguridad, con contraseñas seguras y sistemas de doble verificación, tanto del móvil como de la banca electrónica.
  • Recuerda que el banco nunca te pedirá por SMS que facilites tus claves de acceso, ni tampoco los datos de tu tarjeta.

Si has recibido un mensaje fraudulento de estas características, puedes reportarlo a nuestro centro de respuesta a incidentes de seguridad. Encuentra más información sobre cómo hacerlo en: https://www.incibe-cert.es/respuesta-incidentes.

¿Conocías este fraude? ¿Crees que has podido ser víctima de uno similar? Te recordamos que ponemos a tu disposición la línea gratuita de ayuda en ciberseguridad de INCIBE: 017 y nuestros canales de mensajería instantánea WhatsApp 900 116 117 y Telegram @INCIBE017.


 

28 de Octubre de 2022

Horario

Oficina:
De Lunes a Jueves: 08:00–18:30
Viernes : 08:00–15:00
Sábados, Domingos y Festivos : Cerrado
Dpto. Administración Avanzada - Soporte : 24x7

Telefono & Email

Tfno. : +34 91 088 96 13
Whatsapp y Telegram : + 34 625 133 286
Información generalinfo@islacloudsolutions.com
Soporte técnico : soporte@islacloudsolutions.com
Administración/Contabilidad : administracion@islacloudsolutions.com

Esta página web usa cookies

Las cookies de este sitio web se usan para personalizar el contenido y los anuncios, ofrecer funciones de redes sociales y analizar el tráfico. Además, compartimos información sobre el uso que haga del sitio web con nuestros partners de redes sociales, publicidad y análisis web, quienes pueden combinarla con otra información que les haya proporcionado o que hayan recopilado a partir del uso que haya hecho de sus servicios

Esenciales Preferencias Estadistica Marketing
Las cookies necesarias ayudan a hacer una página web utilizable activando funciones básicas como la navegación en la página y el acceso a áreas seguras de la página web. La página web no puede funcionar adecuadamente sin estas cookies.
Nombre Proveedor Proposito Caducidad Tipo
PHPSESSID Este sitio web Cookies generadas por las aplicaciones basadas en el lenguaje PHP. Se trata de un identificador de propósito general usado para mantener las variables de sesión de usuario. Normalmente es un número generado al azar, cómo se utiliza puede ser específica para el sitio, pero un buen ejemplo es el mantenimiento de una sesión iniciada en el estado de un usuario entre las páginas. Sesion HTTP
Idioma Este sitio web Idioma en el que mostrar los textos de la web. 4 meses HTTP
consentcookies_Esenciales Este sitio web Esta cookie es usada para guardar la preferencia de consentimiento 1 año HTTP
consentcookies_Preferencias Este sitio web Esta cookie es usada para guardar la preferencia de consentimiento 1 año HTTP
consentcookies_Estadisticas Este sitio web Esta cookie es usada para guardar la preferencia de consentimiento 1 año HTTP
consentcookies_Marketing Este sitio web Esta cookie es usada para guardar la preferencia de consentimiento 1 año HTTP
Las cookies de preferencias permiten a la página web recordar información que cambia la forma en que la página se comporta o el aspecto que tiene.
Nombre Proveedor Proposito Caducidad Tipo
CONSENT Google Rastreador de consentimiento de cookies de Google. 17 años http
PREF Google Maps Visualización de mapas mediante Google Maps. 2 años http
Las cookies estadísticas ayudan a los propietarios de páginas web a comprender cómo interactúan los visitantes con las páginas web reuniendo y proporcionando información de forma anónima.
Nombre Proveedor Proposito Caducidad Tipo
YSC Youtube Registra una identificación única para mantener estadísticas de qué videos de YouTube ha visto el usuario. Sesión http
Las cookies de marketing se utilizan para rastrear a los visitantes en las páginas web. La intención es mostrar anuncios relevantes y atractivos para el usuario individual, y por lo tanto, más valiosos para los editores y terceros anunciantes.
Nombre Proveedor Proposito Caducidad Tipo
VISITOR_INFO1_LIVE YouTube Intenta calcular el ancho de banda del usuario en páginas con vídeos de YouTube integrados. en 4 meses http

Las cookies son pequeños archivos de texto que las páginas web pueden utilizar para hacer más eficiente la experiencia del usuario.

La ley afirma que podemos almacenar cookies en su dispositivo si son estrictamente necesarias para el funcionamiento de esta página. Para todos los demás tipos de cookies necesitamos su permiso.

Esta página utiliza tipos diferentes de cookies. Algunas cookies son colocadas por servicios de terceros que aparecen en nuestras páginas.

En cualquier momento puede cambiar o retirar su consentimiento desde la Declaración de cookies en nuestro sitio web.

Obtenga más información sobre quiénes somos, cómo puede contactarnos y cómo procesamos los datos personales en nuestra Política de privacidad.