Zpedia 

/ ¿Qué es el smishing (phishing por SMS)?

¿Qué es el smishing (phishing por SMS)?

El smishing es un tipo de ataque de ingeniería social que se lleva a cabo mediante mensajes de texto fraudulentos. Al igual que otros ataques de phishing, las estafas de smishing se aprovechan de la confianza o el miedo humanos para crear una sensación de urgencia y engañar a las víctimas para que divulguen información confidencial (por ejemplo, credenciales de inicio de sesión, números de tarjetas de crédito). El smishing es una táctica común utilizada en el robo de identidad.

Cómo detener los ataques de phishing con Zscaler

¿Cómo funcionan los ataques de smishing?

Como todas las modalidades de phishing, los ataques de smishing que tienen éxito consiguen dos cosas: ganarse la confianza de la víctima y luego aprovecharse de ella para obtener información privada o dinero. Entonces, ¿cómo lo hacen los estafadores?

Primero, veamos los vectores de ataque. El smishing, también llamado phishing por SMS, no tiene por qué realizarse a través de un mensaje de texto del servicio de mensajes cortos, ni siquiera necesariamente en un dispositivo móvil. También puede aparecer en aplicaciones de mensajería, foros o plataformas de redes sociales, como Facebook, X (Twitter) o Reddit.

Los remitentes a menudo se hacen pasar por entidades que sus víctimas “conocen” de alguna manera: instituciones financieras, minoristas, jefes del trabajo y agencias de servicio civil son ejemplos comunes. Esto hace que las víctimas bajen la guardia y no piensen críticamente sobre lo que los atacantes les piden que hagan.

Los mensajes de smishing eficaces convencen a las víctimas para que actúen de inmediato. Por lo general, plantean a la víctima un resultado negativo que debe evitar (el cierre de la cuenta, una comisión, medidas disciplinarias, etc.) o uno positivo que debe cobrar (una recompensa, una entrega, etc.). En cualquier caso, el mensaje solicita algo, como información privilegiada o un pago. Si la artimaña tiene éxito, el atacante se lleva su premio.

Recientemente, los "kits de phishing" prediseñados y las herramientas de IA generativa han facilitado a los malintencionados el lanzamiento rápido de ataques.

Testimonianza

"Los malintencionados están aprovechando los kits de phishing y las herramientas de inteligencia artificial para lanzar campañas de correo electrónico, smishing y vishing altamente efectivas a escala".

Deepen Desai, CISO global y jefe de seguridad, Zscaler

¿Por qué los atacantes realizan estafas de smishing?

La mayor parte del smishing, al igual que otras estafas de phishing, obedece a motivos económicos. Los ciberdelincuentes pueden buscar directamente información financiera para robar el dinero de las víctimas, o pueden intentar obtener información para venderla en el mercado negro, como datos personales valiosos o propiedad intelectual de una empresa. Con menor frecuencia, algunas campañas de smishing intentan engañar a las víctimas para que descarguen programas maliciosos.

Los ataques de smishing también se benefician de una falta general de capacitación, educación y concientización acerca de los objetivos, especialmente en relación con el phishing basado en el correo electrónico. Más allá de esto, hay muchas menos soluciones de seguridad diseñadas para detectar o bloquear el spam. Por si fuera poco, muchos servicios de voz sobre IP (VoIP) facilitan en gran medida el abuso del identificador de llamadas para mostrar números o nombres específicos.

También es fácil lanzar una amplia red con el smishing, lo que lo convierte en una gran herramienta para los posibles actores de ciberamenazas. Con más de 4600 millones de usuarios de teléfonos inteligentes en 2023 y previsiones de más de 5000 millones para 2027 (Statista), las víctimas potenciales son efectivamente ilimitadas.

Tipos de ataques de smishing

Una de las razones por las que el smishing y otros tipos de ataques de phishing son tan insidiosos es que existen muchas maneras de estructurar un ataque de smishing. Veamos algunos de los enfoques y marcos de trabajo habituales de los smishers.

  • Las estafas de premios y paquetes se aprovechan de la emoción de las víctimas por algo que se les hace creer que han ganado (una tarjeta regalo, dinero de la lotería, etc.) o un artículo que está a la espera de ser entregado. Los atacantes a menudo se hacen pasar por una importante empresa minorista o de entrega de paquetes, como Amazon, Costco, FedEx o UPS, y solicitan una corrección de dirección, información de tarjeta de crédito, una tarifa de envío o algo similar. Normalmente, dirigen a las víctimas a un enlace malicioso diseñado para ayudar a robar esa información.
  • Las estafas bancarias y financieras se aprovechan de la sensibilidad financiera para provocar reacciones fuertes y rápidas. Los atacantes se hacen pasar por una empresa bancaria (o, para aumentar el miedo, por una organización como la Secretaría de Hacienda y Crédito Público) e informan a la víctima de un problema con su cuenta bancaria, un reembolso pendiente, un pago atrasado, una investigación o algo similar como pretexto para robar sus credenciales de acceso, números de la Seguridad Social, números de tarjetas de crédito u otra información bancaria.
  • Estafas de inversión como el popular “pig butchering” (matanza de cerdos) manipulan a las víctimas (los "cerdos") para que inviertan en criptomoneda, a menudo prometiendo altos rendimientos. Los estafadores instan a las víctimas a crear cuentas en plataformas falsas de criptomonedas o de comercio financiero, a menudo ofreciendo inicialmente rendimientos para fomentar una falsa sensación de legitimidad. Una vez que el estafador obtiene acceso no autorizado a la cuenta de la víctima, realiza transacciones fraudulentas, vaciando la cuenta de todos los fondos ("matando a los cerdos").
  • Las estafas de verificación de cuentas y contraseñas incitan a las víctimas a comprometer sus cuentas, a menudo, paradójicamente, haciéndoles creer que sus cuentas han sido comprometidas. Esto puede ir de la mano con la suplantación de URL para crear portales de inicio de sesión falsos y convincentes. En algunos ataques complejos de robo de cuentas, los hackers pueden solicitar las respuestas a preguntas de seguridad o códigos de autenticación multifactor (MFA), lo que les permite eludir medidas de ciberseguridad adicionales.
  • Las estafas oportunistas y tópicas se aprovechan de los miedos, esperanzas o sentido de la responsabilidad social de las víctimas en torno a acontecimientos o tendencias actuales para robarles dinero y datos personales. Entre los ejemplos más comunes de los últimos años se encuentran el fraude en las citas para la vacuna contral el COVID-19; las falsas obras benéficas relacionadas con guerras y desastres naturales; las estafas económicas relacionadas con préstamos estudiantiles, impuestos, pagos de estímulo y oportunidades de empleo; y mucho más.

Ejemplos de estafas de smishing

Veamos ahora algunos ejemplos de intentos reales de smishing, así como algunas de las señales de alerta de estos ataques que pueden ayudarle a identificarlos.

Ejemplo 1: Smishing de paquetes de USPS

Image

Este mensaje tiene muchas señales de alerta que hacen que sea fácil identificarlo como smishing. Observe la falta de detalles específicos, como un nombre o la ubicación de un "almacén", el extraño espaciado y la extraña secuencia "7cng.vip" en la URL proporcionada. 

Además, según el Servicio de Inspección Postal de los Estados Unidos: “USPS no enviará mensajes de texto ni correos electrónicos a los clientes sin que el cliente primero solicite el servicio con un número de seguimiento, y NO contendrá un enlace”.

Ejemplo 2: Encuesta de Costco sobre smishing

Image

Este texto de smishing es un poco más difícil de identificar, pero aún así presenta muchos signos reveladores. En primer lugar, Costco Wholesale Corporation no se autodenomina “CostcoUSA”. Al igual que el mensaje falso de USPS, la redacción es un poco forzada y artificial. La señal más reveladora de smishing es la URL, ya que las comunicaciones legítimas de Costco siempre provienen de un dominio de Costco.

Los estafadores pueden ser muy astutos, pero si sabe qué buscar, a menudo hay formas sutiles y no tan sutiles de detectar sus intentos.

Cómo defenderse de los ataques de Smishing

Es difícil evitar por completo el smishing, pero afortunadamente hay muchas maneras efectivas de defenderse antes de que pueda causar algún daño:

  • Simplemente ignórelo: Si recibe un mensaje de smishing, simplemente no haga nada. Una vez que haya determinado que un mensaje que ha recibido no es auténtico, puede eliminarlo sin más consecuencias. El smishing no funciona si la víctima no muerde el anzuelo.
  • Piense de manera crítica: Una de las mejores maneras de identificar un intento de smishing es detenerse y pensar, que es exactamente lo que los atacantes no esperan de las víctimas. Si recibe un mensaje de texto sospechoso, tómese un respiro y considere las circunstancias. ¿Esperaba recibir noticias del supuesto remitente? ¿Se identificó claramente el remitente? ¿Es razonable la solicitud?
  • Busque señales de alerta: Examine los detalles. ¿El mensaje vino de un número de teléfono sospechosamente similar al suyo? Si es así, eso podría indicar una “suplantación de identidad del vecino”. ¿Contiene direcciones de correo electrónico o enlaces? Asegúrese de que coincidan con la información de contacto real o los canales oficiales que espera del remitente. ¿Hay detalles imprecisos o errores? La mayoría de los mensajes comerciales legítimos se revisan cuidadosamente para detectar errores.
  • Verifique primero: Si aún no está seguro de si un mensaje es auténtico o no, puede verificarlo con el remitente por separado a través de un canal oficial. Por ejemplo, puede buscar un número de atención al cliente o chatear con un representante en el sitio web de su banco.
  • Bloquéelo o denúncielo: Puede reducir su propio riesgo así como disminuir la probabilidad de que otros sean víctimas de smishing bloqueando y denunciando los intentos de smishing. La mayoría de las aplicaciones de mensajería privada, así como los sistemas operativos Apple iOS y Android, tienen funciones integradas de bloqueo e informes que también ayudarán a marcar mensajes sospechosos cuando otros usuarios los reciban.

Qué debe hacer si es víctima de Smishing

Si se da cuenta, o tiene fuertes sospechas, de que ha sido víctima de smishing, aún puede actuar para limitar los daños de un ataque exitoso.

  1. Informe del ataque a las autoridades competentes. La mayoría de los bancos cuentan con marcos de gestión del fraude sólidos, e incluso es posible que puedan ayudarle a recuperar los fondos perdidos. En el caso de un fraude más grave o de un robo de identidad, puede considerar presentar una denuncia policial o ponerse en contacto con una agencia gubernamental como la Oficina Federal de Investigación (FBI) o la Comisión Federal de Comercio (FTC).
  2. Actualice las credenciales comprometidas. Si un atacante tiene los datos de tu cuenta, no hay manera de saber cuándo los usará. Cambie inmediatamente las contraseñas, PIN y similares afectados. Si recibe un correo electrónico auténtico confirmando un cambio de contraseña que no ha solicitado, póngase en contacto con el remitente de inmediato.
  3. Esté atento a la actividad maliciosa. Una vez que haya hecho lo anterior, esté atento a indicios de otros compromisos en las áreas afectadas. Puede solicitar que se coloquen alertas de fraude en muchas cuentas para ayudar a identificar actividad sospechosa.

Protección contra ataques de Smishing de Zscaler

Debido a que se basa en explotar la naturaleza humana para lograr el éxito, el compromiso del usuario es uno de los retos de seguridad más difíciles de superar. Para detectar las violaciones activas y minimizar el daño que pueden causar las violaciones exitosas, necesita implementar controles eficaces de prevención del phishing como parte de una estrategia Zero Trust más amplia.

La plataforma Zscaler Zero Trust Exchange™, construida sobre una arquitectura Zero Trust integral para minimizar la superficie de ataque, evitar el compromiso, eliminar el movimiento lateral y detener la pérdida de datos, protege contra los ataques de smishing y otras ciberamenazas mediante:

  • Prevención de riesgos: Funciones como la inspección completa TLS/SSL, el aislamiento del navegador, el filtrado de URL y la detección de sitios de phishing (incluidos los enlaces en SMS y en dispositivos móviles), el control de acceso basado en políticas y la inteligencia sobre amenazas en tiempo real protegen a los usuarios de sitios web maliciosos.
  • Eliminación del movimiento lateral: Una vez en su red, los atacantes pueden propagarse y causar aún más daño. Con Zero Trust Exchange, los usuarios se conectan directamente a las aplicaciones, no a su red, lo que limita el radio de alcance de un ataque. Los señuelos engañosos ayudan a confundir a los atacantes y a detectar el movimiento lateral.
  • Detención de amenazas internas: Nuestra arquitectura de proxy en la nube detiene los intentos de explotación de aplicaciones privadas con una inspección en línea completa y detecta incluso las técnicas de ataque más sofisticadas con tácticas de engaño avanzadas.
  • Detener la pérdida de datos: Zero Trust Exchange inspecciona los datos en movimiento y en reposo para evitar el posible robo de datos por parte de un atacante activo.

Proteja a su organización del smishing y otros ataques de phishing con la potencia de una arquitectura Zero Trust completa.

Recursos sugeridos

¿Qué es el phishing?
Leer el artículo
El informe sobre phishing 2023 revela un aumento del 47.2 % en los ataques de phishing
Leer el blog
Las estafas de SMS engañan a los clientes de la banca india para que instalen aplicaciones maliciosas
Leer el blog
Estafas y Smishing al comprar
Leer el blog
Smishing con Punycode
Leer el blog

01 / 03

Preguntas frecuentes