¿Qué es el smishing?

El smishing es una forma de phishing en la que se utilizan teléfonos móviles como la plataforma de ataque. El delincuente realiza el ataque con un intento de obtener información personal, incluidos los números de la tarjeta de crédito o de la seguridad social. El smishing se realiza mediante mensajes de texto o SMS, lo que le da el nombre de «SMiShing».

Smishing

Los ataques de smishing utilizan un servicio de mensajes cortos o SMS, comúnmente conocidos como mensajes de texto. Esta forma de ataque se ha convertido cada vez más popular debido a que las personas tienden a confiar más en un mensaje que llega a través de una aplicación de mensajería en su teléfono que en un mensaje que llega por email.

A pesar de que muchas víctimas no relacionan las estafas de phishing con mensajes de texto personales, lo cierto es que es mucho más fácil para los agentes de amenazas encontrar su número de teléfono que encontrar su email. Existe un número limitado de opciones con números de teléfono, en EE. UU. un número de teléfono consta de 10 dígitos.

En comparación con una dirección de email, la cual no tiene limitación de tamaño, aunque hay un número razonable de caracteres posibles, los emails pueden incluir números, letras y símbolos como !, # y %, entre otros. Es mucho más fácil combinar diez dígitos aleatorios para contactar con una víctima que llegar a ella a través de una dirección de email.

El hacker sencillamente puede enviar mensajes a cualquier combinación de dígitos que sea del mismo tamaño que un número de teléfono. Pueden intentar con todas las combinaciones de dígitos sin causar daños. Gartner informa que el 98 % de los mensajes de texto se leen y un 45 % se responden. Esto hace que los mensajes de texto constituyan un medio lógico para que los hackers lo utilicen como un vector de ataque, especialmente cuando, según informa Gartner, solo el 6 % de los emails recibe una respuesta.

Phishing de texto

Con un mensaje de texto, los hackers pueden intentar conseguir muchas cosas distintas. Esto incluye el robo de sus datos personales haciéndose pasar por un representante de su banco. Podrían intentar que haga clic en un enlace del mensaje de texto para conectarse con el sitio web de su banco y verificar un cargo reciente sospechoso. Podrían pedirle que llame al número de atención al cliente, que se incluye convenientemente en el mensaje de texto, para que hable con ellos sobre un cargo reciente sospechoso o de una cuenta comprometida.

Los hackers también intentan utilizar métodos relacionados con la solidaridad para recopilar información sensible. Un ejemplo incluye mensajes relacionados con ayudas para los destrozos causados por un huracán, donde los agentes de amenazas le solicitan una donación de caridad. El hacker le pide que haga clic en el enlace incluido y que introduzca la información de su tarjeta de crédito, dirección e incluso, su número de seguridad social. Una vez que el hacker obtiene su número de tarjeta de crédito, el delincuente puede incluso realizar cargos en ella de forma mensual para evitar ser descubierto.

Phishing de teléfono móvil

Otro ejemplo de ataque de smishing es una oferta procedente de su proveedor en la que le ofrecen un descuento por un servicio o una actualización de teléfono. El mensaje le urge a que haga clic en el enlace proporcionado para activar la oferta. Una vez que está en el sitio web falso que se parece al sitio web oficial de su proveedor, la página le pide que confirme el número de su tarjeta de crédito, dirección e incluso su número de seguridad social. Recuerde, si suena demasiado bien o demasiado bueno para ser verdad, es que probablemente lo sea.

Phishing de mensajería instantánea

El phishing que utiliza freewares de mensajería instantánea como Facebook Messenger o WhatsApp no es técnicamente smishing, pero está muy relacionado. El hacker se aprovecha del creciente nivel de comodidad que tienen los usuarios con los mensajes abiertos y las respuestas que realizan a extraños a través de las plataformas de redes sociales.

Al igual que los esquemas de phishing, el objetivo del ataque es que proporcione datos personales, incluidas contraseñas y/o números de tarjeta de crédito, al agente de amenazas. Para obtener dicha información, el atacante puede ofrecerle una gran oferta o algo de valor. Habitualmente en tales ofertas se incluyen enlaces para hacer clic.

Si bien un mensaje procedente de un extraño en busca de información es un buen indicador de un posible esquema de phishing de mensajería instantánea, estos ataques pueden parecer que proceden de personas que usted conoce y con las que ya está conectado. Esto a menudo ocurre cuando se ha hackeado o suplantado la cuenta de un contacto de las redes sociales.