¡Síguenos! ThumbsUp
info@seon.io+44 20 3997 6090
Smishing

¿Qué es smishing?

El smishing es un tipo de fraude en las telecomunicaciones en el que los ciberdelincuentes utilizan mensajes de texto para engañar a las víctimas y hacerles hacer clic en un enlace. Ese enlace puede instalar malware en el teléfono de la persona o dirigir a la víctima a un sitio web falso en el que introduce sus datos personales, creyendo que el sitio es auténtico. Obtener esa información personal es el objetivo de los estafadores.

La palabra «smishing» proviene de la combinación de «SMS» y «phishing», ya que smishing es la forma de phishing por mensaje de texto (al igual que vishing es la forma de phishing por llamada de voz y mensaje de voz).

El smishing es una forma de fraude en rápido crecimiento. Los destinatarios de SMS abren el 98% de los mensajes de texto que reciben, mientras que los destinatarios de correo electrónico solo abren el 20% de sus mensajes. Esta elevada tasa de apertura de los mensajes de texto hace que el smishing resulte muy atractivo para los estafadores, al igual que sus posibles beneficios. Según la Asociación para el Control del Fraude en las Comunicaciones, el sector mundial de las telecomunicaciones perdió en 2021 unos 39.890 millones de dólares en fraudes.

¿Cómo funciona el smishing? 

El smishing funciona mediante mensajes de texto que engañan a la víctima para que haga clic en un enlace. Los estafadores suelen utilizar tácticas para asustar y presionar para que el destinatario haga clic rápidamente en el enlace, antes de que tenga tiempo de pensar si es auténtico o no.

Hacer clic en el enlace es el primer paso del proceso. Puede dar lugar a una serie de cosas, ninguna de ellas buena.

Instalación de malwareLa mayoría de las personas son conscientes de la necesidad de una seguridad robusta en sus computadoras, pero son menos las que tienden a pensar en ello cuando se trata de sus teléfonos. Sin embargo, el malware para SMS es una grave amenaza. Lo único que necesitan los estafadores es que la víctima haga clic en un enlace para instalarlo. Una vez pulsado, el malware puede hacerse pasar por una aplicación de una empresa auténtica. La víctima introduce sus datos en la aplicación, que los envía a los ciberdelincuentes.
Sitio web falsoAlgunos intentos de smishing llevan al objetivo a un sitio web falso. Está diseñado para parecerse al sitio de una empresa auténtica, lo que hace creer a la víctima que está introduciendo sus datos en un sitio seguro y legítimo. Sin embargo, en realidad el sitio está enviando sus datos a los estafadores.

Ejemplos de smishing 

Existen muchos ejemplos de smishing, todos ellos diseñados para engañar a las víctimas para que compartan sus datos. A continuación se detallan algunos de los más comunes.

Smishing bancario y de tarjetas de crédito 

Este ejemplo de smishing se basa en el deseo de la víctima de resolver cualquier asunto bancario lo antes posible. Los estafadores envían un mensaje de texto haciéndose pasar por un banco o una empresa de tarjetas de crédito e indicando que hay un problema urgente que la víctima debe resolver, cuyo primer paso consiste en hacer clic en el enlace del mensaje de texto.

Mensajes de paquetería

Los mensajes de correo electrónico de empresas de mensajería son una forma muy conocida de phishing. Los estafadores también utilizan esta artimaña para el smishing. Envían mensajes de texto sobre una entrega retrasada o perdida, con un enlace que parece proceder de una empresa de paquetería auténtica.

Servicios informáticos 

Otra estafa común del smishing es cuando los estafadores envían mensajes en los que afirman que la contraseña de la víctima para un determinado sitio web ha sido comprometida y necesita ser restablecida. Si los estafadores disponen también de la dirección de correo electrónico de la víctima, pueden utilizarla junto con su número de teléfono para engañarla y obligarla a entregar su contraseña y el código de autenticación de doble factor necesario para restablecerla.

Smishing de COVID-19 

Los estafadores no tardaron en aprovechar el potencial que les brindaba la pandemia. Esto llevó a algunos a hacerse pasar por organismos sanitarios o departamentos gubernamentales, con mensajes relativos a vacunaciones, ayudas económicas y otros asuntos relacionados con la pandemia. Esta forma de smishing añadía a la mezcla los temores de las personas sobre su salud o sus finanzas (o ambas cosas).

Fraude del CEO 

El smishing también puede utilizarse como parte de un intento de spear-phishing. En este caso, los estafadores se dirigen a un empleado de la empresa haciéndose pasar por el director general y enviándole un mensaje de texto sobre un asunto urgente que debe resolver. El objetivo es engañar al empleado para que revele datos confidenciales de la empresa mediante tácticas de miedo y presión de tiempo, así como aprovechando el respeto de la persona por la autoridad de su director general.

Hay muchos otros ejemplos de estafas de smishing, desde falsos premios hasta estafas fiscales. Todas ellas utilizan este tipo de presiones para intentar que la víctima actúe con rapidez.

¿Porque el smishing es tan eficaz?

La razón por la que las estafas de smishing funcionan con tanta eficacia es que presionan al objetivo para que actúe con rapidez. También suelen implicar un enfoque que es probable que asuste a la víctima, como que los estafadores se hagan pasar por un banco o una empresa de tarjetas de crédito y envíen un mensaje sobre una factura adeudada o un problema de pago. Esta combinación de tácticas para asustar y presionar a la víctima para que actúe con rapidez puede inducirla a hacer algo, como hacer clic en un enlace e introducir datos personales, sin pensar detenidamente en la situación.

Los estafadores de smishing han evolucionado rápidamente en los últimos años. Han aprovechado el potencial de la automatización, utilizando programas informáticos para comprobar que los números de destino corresponden a móviles y no a teléfonos fijos. Algunos también han creado tiendas automáticas a través de las cuales venden los datos que han robado mediante el smishing. Otros proporcionan servicios de hosting (para sitios de phishing o mercados), mientras que algunos también venden smishing como parte de una oferta de fraude como servicio.

¿Cómo se propaga el smishing? 

El smishing se ha extendido de los servicios de texto SMS a otros servicios de mensajería, ya que estos han proliferado en los últimos años con el aumento del uso de smartphones (de hecho, DataReportal afirma que en enero de 2023 ya había 5.440 millones de usuarios de teléfonos móviles en el mundo). La sofisticación de las operaciones de smishing de los estafadores, combinada con la eficacia del smishing como forma de fraude, ha hecho que su uso se haya extendido por todas partes.

En su búsqueda sobre cómo prevenir el smishing, muchos países han puesto en marcha procedimientos de denuncia, muchos de ellos automatizados para que las empresas puedan reportar de forma rápida y sencilla los números que envían textos de smishing. Denunciar los intentos de smishing puede ayudar a frenar la propagación de esta forma de fraude. 

Cómo prevenir el smishing 

La protección contra el smishing empieza por la concienciación. Según Proofpoint, menos del 35% de la población estadounidense sabe qué es el smishing y cómo protegerse contra él. Entre los mayores de 55 años, esa cifra desciende al 23%. Por ello, las empresas deben incluir detalles sobre qué es el smishing y cómo detectarlo en su formación sobre ciberseguridad.

La clave para prevenir el smishing es verificar el número del que procede cualquier mensaje de texto. Si alguien recibe un mensaje que supuestamente procede de una empresa de tarjetas de crédito, por ejemplo, puede verificar rápidamente si el mensaje es auténtico llamando a la empresa para comprobarlo. Y hasta que no se haya confirmado que el mensaje es auténtico, el destinatario no debe hacer clic en ningún enlace que aparezca en él.

Las aplicaciones antivirus y de protección web para móviles también pueden ayudar a protegerse contra el smishing, ya que muchas incluyen protección contra el malware.

Términos relacionados

Artículos relacionados

Fuentes

Contàctanos para una demo

No dudes en contactarnos para una demo!