2023, julio 27

Seguridad

10 min read

Matt S.

Explicación del Smishing: Entendiendo el SMS Phishing

El smishing es una actividad fraudulenta realizada a partir de SMS y se refiere a un ataque en el que se engaña a las personas para que proporcionen información sensible a través de mensajes de texto.

Es un poco gracioso pensar en el hecho de que probablemente hay decenas o incluso cientos de formas en las que los hackers, estafadores y ciberdelincuentes intentan engañarnos. Algunos son más sofisticados que otros y tienen como objetivo empresas de primer nivel. Otros se dirigen a personas normales y corrientes para obtener beneficios económicos o robar información personal. Uno de los métodos de pirateo que encajan en esta última categoría se denomina Smishing o SMS Phishing.

En esta guía le explicaremos qué es, cómo funciona, por qué puede estar en peligro, de dónde proceden estas estafas y mucho más. Esperamos que después de leer nuestra guía sea capaz de identificar un ataque de este tipo y protegerse mejor a sí mismo y a sus posesiones. Empecemos.

Smishing (suplantación de identidad por SMS) - 101 Generalidades

En primer lugar, veamos los aspectos básicos. Se trata de la definición, laanatomíao cómo funciona, y otras cosas que hay que saber sobre ella.

¿Qué es el Smishing?

Para responder a la pregunta "¿Qué es el Smishing?phishing. La palabraphishingdescribe una táctica de estafa cibernética. Suena similar apescaporque el hacker pone el cebo y espera a que elpescado(por ejemplo, víctima) para morder.

He aquí una ilustración básica que muestra cómo funciona.

Por lo general, el phishing de calidad requiere buenas habilidades de ingeniería social y conocimientos decentes de programación o acceso a un gran malware. Los phishers intentan hacerse pasar por organizaciones legítimas o personas serias y envían programas dañinos, enlaces fraudulentos y quieren que los usuarios desprevenidos realicen una acción que luego:

Infectar tu dispositivo con malware
Robarte información personal o dinero
Hacer todo lo anterior

Como puedes ver, no mucha gente lo sabe. Además, no se puede decir que el smishing no sea también algo serio. Cada año causa millones de dólares en daños a empresas y también a personas.

Entonces, Smishing, o su significado

es sólo phishing que se está haciendo a través de SMS.

¿Cómo funciona? Anatomía de los ataques de phishing por SMS

La anatomía o el proceso completo de un ataque Smishing tiene dos puntos de vista. Uno es el del hacker y el otro el de la víctima. Para que el ataque sea eficaz y alcance sus objetivos, tiene que ser convincente, estar bien colocado y bien ejecutado.

Fíjate en el siguiente ejemplo.

Un método popular de SMS Phishing se estaba ejecutando en todos los EE.UU. y especialmente en la UE. Se enviaban enlaces de inicio de sesión para pagar multas por infringir las restricciones impuestas por el coronavirus. En realidad, no había infracciones ni multas, pero la gente seguía cayendo en la trampa.

Pero veamos qué hace que este ataque destaque y qué separa una acción de phishing por SMS bien ejecutada de un intento infructuoso. Un ataque de smishing con éxito suele incluir varios componentes clave:

Suplantación del remitente

. Los ciberdelincuentes utilizan dispositivos, aplicaciones e ingeniería de redes móviles inteligentes para manipular la información del remitente que aparece en el teléfono del destinatario. A un atacante le gustaría hacerse pasar por alguien de confianza, por ejemplo, bancos, operadores de telefonía, instituciones sanitarias, inspectores de Hacienda, etc.

Contenido convincente del mensaje

. El contenido de los mensajes de smishing se elabora cuidadosamente para captar la atención del destinatario y crear una sensación de urgencia o curiosidad. Tiene que ser creíble. La información sobre un premio o una lotería de la nada ya no sirve. Los piratas informáticos necesitan pensar en algo ingenioso, así que mencionan cuestiones vagas para despertar la curiosidad: problemas con su cuenta bancaria, suspensiones de cuentas y servicios, etc. Fíjese en la siguiente imagen.

Enlaces maliciosos

. Los mensajes de smishing deben contener URL acortadas o enlaces directos que conduzcan a sitios web fraudulentos diseñados para recopilar información confidencial, instalar malware o llevar a cabo otras actividades maliciosas. De lo contrario, el ataque no funcionará. Todos los expertos en ciberseguridad desaconsejan abrir enlaces de mensajes maliciosos y estar muy atentos cuando se trata de mensajes de texto urgentes. Hay unagran lectura en Lookout.com si desea comprender mejor los riesgos de abrir un enlace de este tipo.

Técnicas de ingeniería social

. Los ciberdelincuentes utilizan tácticas psicológicas para persuadir a los destinatarios a actuar sin cuestionar la autenticidad del mensaje. Esto puede incluir el temor a pérdidas económicas, la reclamación de recompensas o premios, o incluso apelaciones emocionales. Esta parte está vinculada a lacontenido de mensaje convincenteque hemos mencionado antes.

Recogida de datos

. Una vez que las víctimas caen en el ataque smishing e introducen su información personal en un sitio web falso, o una vez instalado el malware, esos datos son recopilados por el atacante y potencialmente utilizados con fines fraudulentos.

¿Quiénes corren más riesgo de sufrir ataques de suplantación de identidad?

La Oficina Nacional de Estadística del Reino Unido concluyó una investigación sobre la amenaza de los ataques de phishing. Llegaron a la conclusión de que, en el Reino Unido, las personas de entre 25 y 44 años son las que corren más riesgo. Una estafa en particular que va en aumento, está relacionada con las empresas de reparto.

Este gráfico de Kaspersky muestra la distribución de lo que los phishers intentan suplantar. Las empresas de mensajería, las tiendas online, los sistemas de pago y los bancos encabezan la lista.

Otro estudio del Infosec Institute encuestó a 300 empresas para conocer sus experiencias desde dentro. Descubrieron que los ejecutivos de nivel C son el blanco más frecuente. Alrededor del 27 % de los directores generales fueron objeto de al menos un ataque.

smishing

o ataque de phishing, siendo los directores financieros el segundo cargo más atacado, con una frecuencia del 17 %.

Además, si trabajas en determinados sectores, puedes esperar ser un objetivo más codiciado por los ataques de phishing que intentan acceder a tu sistema desde dentro o instalar ransomware. Por tanto, si trabaja en uno de estos nichos, debe ser consciente de los riesgos potenciales. Para las personas que trabajan en instituciones financieras, empresas SaaS y proveedores de servicios de medios sociales, el riesgo parece ser el más alto.

El gráfico de Statista muestra cuáles fueron los sectores en línea más afectados por los ataques de phishing en el tercer trimestre de 2022.

¿De dónde proceden la mayoría de los ataques de smishing?

También es útil saber de dónde suelen proceder estos ataques. Si eres de esos países, pasas tiempo allí o tienes contactos en ellos, es más probable que estés expuesto a riesgos. Con el phishing por correo electrónico, las fronteras de los países no afectan tanto al alcance, pero para el phishing por SMS, la localidad es superimportante debido al aspecto de ingeniería social mucho más relevante. Por lo tanto, el hacker podría beneficiarse de conocer y/o comprender ciertos eventos y temas de tendencia en su país.

Consulte el mapa siguiente para ver de dónde proceden la mayoría de los remitentes de phishing.

El mapa de Barracuda muestra que los dos países con más remitentes de phishing (per cápita) proceden de Nigeria, Uzbekistán, los países bálticos, Ucrania, Irán, Yemen, Colombia y algunos más. La región donde está más extendido parece ser la actual CEI y la región donde existía la antigua URSS. La misma investigación donde se publicó el mapa, mostró que un número significativo de estos ataques se originan en proveedores legítimos de la nube. Especulan que los hackers pueden comprometer servidores legítimos o alojamiento de correo electrónico e infiltrarse en los sistemas.

¿A qué países se dirigen más los ataques de phishing por SMS?

Saber de dónde proceden estos ataques es una cosa. Saber cuándo es más probable convertirse en objetivo es otra. Podemos fijarnos en los datos que Kaspersky, uno de los mayores desarrolladores de software antivirus, recopiló para 2021. El siguiente mapa ilustra los casos de ataques de phishing (smishing incluido) en todo el mundo. Enmás rojoel país está en el mapa, más probable es que un usuario se convierta en objetivo de estafas de phishing.

Este mapa indica la probabilidad de que un usuario pulse un enlace enviado por el phisher. La clasificación es la siguiente:

La probabilidad de que un usuario siga un enlace de phishing a través de SMS, correo electrónico, etc. *Esta lista muestra el porcentaje de usuarios que han sufrido phishing con respecto al número total de usuarios de Kaspersky en ese país/territorio,

Brasil - 12,39
Francia - 12,21
Portugal - 11,40
Mongolia - 10,98
Reunión Francesa - 10,97
Brunei - 10,89
Madagascar - 10,87
Andorra - 10,79
Australia - 10,74
Ecuador - 10,73

Si se encuentra en uno de estos países, extreme las precauciones al pulsar cualquier enlace. Los expertos en ciberseguridad recomiendan resolver cualquier problema relacionado con cuentas y/o bancos directamente con la empresa (por ejemplo, por teléfono o en su oficina). Esto lleva un poco más de tiempo, pero elimina riesgos innecesarios.

Ataques de smishing más conocidos de la historia (Ejemplos de smishing)

En la última década, con el rápido aumento del uso de teléfonos inteligentes, la gente está empezando a conocer

qué es el smishing

y cómo puede afectarle. Sin embargo, como las estafas son cada vez más sofisticadas y la gente todavía no reconoce que las amenazas son reales y generalizadas, todavía se dan situaciones en las que no decenas, ni cientos, sino miles de personas son víctimas de estafas de Smishing. Veamos algunos ejemplos de la historia.

Fuga de Twilio

En agosto de 2022, Twilio, un proveedor líder de soluciones de API y comunicaciones en la nube que da soporte a más de 150 mil empresas en todo el mundo, confirmó que había sufrido una enorme violación de datos.

Los datos comprometidos incluían PII: nombres, números de teléfono, direcciones de correo electrónico y, en ocasiones, incluso detalles financieros. Los phishers de SMS utilizaron ingeniería social y mensajes fraudulentos para engañar a los empleados de Twilio y acceder a su base de datos. Fue un ataque muy bien organizado que causó daños masivos y no pudo ser rastreado hasta los actores maliciosos, pero finalmente fue cerrado.

Más información.

Falso investigador de fraudes en Ohio

Para una residente de Ohio, un día empezó con normalidad, pero recibió un mensaje que le causó un pánico casi instantáneo. Esto es lo que decía.

"Chase, ¿Intentaste una transferencia por un monto de $7500? Responda Y si es reconocido, O NO para detener el fraude".

Una cosa llevó a la otra y un hombre que se hizo pasar por un investigador de fraudes de Chase Bank acabó robándole 15.000 dólares de sus cuentas bancarias. No es la única, ya que los estadounidenses pierden más de 326 millones de dólares al año sólo por estafas de smishing. Otra fuente (CBS News) afirma que la pérdida media de un estadounidense ronda los 1.000 dólares. ¡Vaya!

Más información.

Estafas al SNS

En el Reino Unido, especialmente durante y después de la pandemia, aumentan las estafas por SMS. Ha llegado a ser tan grave que el NHS publicó documentos separados para ayudar a la gente a evitar estos ataques. La siguiente imagen ilustra los ataques más comunes a los que se enfrentan los ciudadanos británicos y norirlandeses.

Guía para identificar un ataque de phishing por SMS

Así que, como saben

Definición de Smishing

y el

Significado

de la palabra, así como algunos ejemplos de ataques en el mundo real, es hora de dar algunos consejos para identificar este ataque. Aunque los hackers siempre están encontrando nuevas formas de explotar los sistemas para su beneficio, algunas cosas pueden delatar que no es legítimo y que se trata de una estafa. Como mínimo, si tienes al menos un 0,00001 % de sospecha, dedica un poco más de tiempo a ponerte en contacto directamente con la fuente oficial para obtener confirmación. Más vale prevenir que curar y 1000 USD menos de riqueza, ¿verdad?

Una lista de 6 señales de que el SMS podría ser un ataque de Smishing:

Es de su proveedor de servicios financieros (esté siempre alerta)
Le insta a responder o a actuar
Contiene un enlace (la mayoría de los proveedores de servicios sólo le instan a iniciar sesión por separado a través de la aplicación o el sitio web, pero no envían ningún enlace directo).
Tiene errores gramaticales y/o peticiones extrañas
Ya eres un cliente frecuente pero la información del remitente del mensaje parece diferente y/o aparece como una nueva conversación
Es vago y de la nada.

¿Cómo enviar mensajes de forma segura y evitar el Smishing?

Si quieres protegerte de los riesgos del smishing, te recomendamos cambiar los SMS normales por servicios de mensajería cifrada E2E como Skyda. Sólo recibirás mensajes de contactos que conozcas, aceptes y en los que confíes. Los archivos se envían P2P, y nadie puede interceptar el contenido de tus comunicaciones.

Si hace clic en archivos y enlaces de fuentes en las que confía, puede proteger mucho mejor su dispositivo y sus datos personales frente al smishing.

Conclusiones

Así pues, esperamos que este artículo te haya ayudado a familiarizarte con el concepto, los riesgos y la anatomía de los ataques de phishing por SMS. Conociendo la historia, los orígenes, los ejemplos reales y los datos geográficos podrás ignorar las estafas y ser mucho más consciente de los riesgos que entrañan. Si estás deseando saber más sobre privacidad digital, ciberseguridad y temas relacionados, echa un vistazo a algunos de nuestros otrosblogs¡!