Fraude por SMS: qué es smishing y cómo prevenirlo
Latinoamérica, 7 de junio de 2024.- Las cifras son contundentes. Con más de 286 millones de intentos de ataques de phishing en 2023, Latinoamérica sigue siendo puntera en fraudes a través de SMS y WhatsApp. De acuerdo a datos de State of the Phish 2024 de Proofpoint, el 74% de las organizaciones experimentaron ataques de smishing en 2023.
Sin ir más lejos, en 2023, un caso resonante fue el del Banco de Valetta en Malta, que fue considerado responsable de una estafa de smishing que llevó a sus clientes a perder dinero, unos 13 millones de euros.
Esto demuestra que el smishing es una de las mayores amenazas para la industria móvil en la actualidad. Es esencial entender qué es el smishing y cómo funciona, pero es igualmente importante saber cómo prevenirlo.
Desde Infobip, empresa de comunicaciones omnicanal, informan que el smishing se ha hecho cada vez más popular entre los ciberdelincuentes principalmente por dos razones: los SMS y los correos electrónicos.
En el caso de los mensajes SMS, pueden tener tasas de apertura de hasta el 98% y de respuesta del 45%. Los hackers aprovechan esta tendencia a confiar en los SMS para engañar a los usuarios para que realicen acciones que comprometen la seguridad.
Por otro lado, las bandejas de entrada del correo electrónico se han inundado de ofertas promocionales y spam, haciendo que la gente desconfíe más de los e-mails, lo que a su vez los convierte en un medio menos eficaz para los estafadores.
Cómo funciona el smishing y cuál es el modus operandi
El smishing, similar al phishing por correo electrónico, es un tipo de fraude por SMS en el que los estafadores envían mensajes SMS a posibles víctimas, haciéndose pasar por empresas legítimas, en un intento de robar información personal o propagar programas maliciosos.
Los ataques de smishing eficaces se basan en que el destinatario realice una acción, como hacer clic en un enlace de un mensaje SMS que le lleva a una página de destino falsa o enviar información privada a vuelta de SMS.
Entre las tácticas de estafa más populares se incluyen la suplantación de marcas de confianza o el uso de tácticas de ingeniería social en varias fases que explotan los datos o la información recopilada, que puede ser cualquier cosa, desde un nombre y una dirección hasta un número de cuenta.
A los estafadores también se les da muy bien adaptarse, utilizando sin escrúpulos acontecimientos actuales como la guerra en Ucrania o una caída de las criptomonedas para legitimar sus estafas.
Según un relevamiento de Infobip en cuanto a los delitos de fraude por SMS, las principales metodologías que se utilizan para estafar a los consumidores son:
1. Copycat Marketing
Consiste en que las empresas se acercan, fingen o sugieren que son una marca conocida en la que la víctima ya confía (también conocido como «brandjacking»). La víctima es engañada para que vea un producto u oferta que de otro modo no habría considerado. Aunque es ilegal hacerse pasar directamente por una marca registrada, algunas empresas se saltan la ley utilizando la marca y los mensajes como si fueran empresas establecidas.
2. Ataques de malware
Este tipo de ataque es malicioso pero tiene una sofisticación limitada. Se engaña a los destinatarios haciéndoles creer que el mensaje procede de una fuente legítima, pero el enlace en el que se les anima a hacer clic descargará malware en su dispositivo. Este malware puede infectar el dispositivo y distribuirse automáticamente a través de la lista de contactos del teléfono. Un ejemplo fue Flubot, dirigido a dispositivos Android y diseñado para robar datos bancarios en línea y otros datos privados.
3. Páginas Landing Page falsas
Esta es la forma más descarada, sofisticada y costosa de smishing. Los estafadores imitan los mensajes de empresas legítimas a sus clientes, animándoles a visitar una página de destino falsa en la que se les pide que introduzcan información personal y credenciales de inicio de sesión. A continuación, los delincuentes roban estos datos y los utilizan para acceder a las cuentas reales. Estas páginas de destino utilizan URL únicas o de muy corta duración, lo que las hace casi imposibles de rastrear.
Lo único que tienen en común todos los ataques de smishing es que incitan al destinatario a actuar con rapidez. Por lo general, ofrecen algo atractivo o alertan al destinatario de algo malo que podría costar mucho o causar vergüenza si no se hace pronto. La sensación de urgencia anima a las víctimas a actuar inmediatamente sin pensárselo mucho.
Con el acceso a datos personales o bancarios, los delincuentes tienen una ventana de oportunidad para acceder y transferir dinero de la cuenta antes de que la víctima se dé cuenta.
Muchos bancos se están dando cuenta de esta táctica e incorporan comprobaciones 2FA cuando se accede a una cuenta desde un nuevo dispositivo, o cuando la cantidad solicitada supera un determinado umbral.
Recomendaciones para usuarios de móviles: manténgase alerta
Borre los mensajes sospechosos: Los mensajes de texto que parezcan dudosos deben borrarse inmediatamente.
Actualice su dispositivo: Asegúrese de que el sistema operativo y las aplicaciones de seguridad de su dispositivo inteligente estén siempre actualizados a la versión más reciente.
Piense en un software antimalware: Para una capa adicional de seguridad, piense en instalar software antimalware en su dispositivo.
Utilice la autenticación multifactor: Implemente la autenticación multifactor para proteger la información personal confidencial, como cuentas bancarias, registros de salud y cuentas de redes sociales.
Evite enlaces y números desconocidos: No haga clic en enlaces, no responda a mensajes de texto ni llame a números que no conozca.
Ignore las peticiones de detener los mensajes: Aunque un mensaje le pida «STOP» para dejar de recibir mensajes, lo mejor es no responder.