El smishing es una forma de phishing en la que se utilizan teléfonos móviles como la plataforma de ataque. El delincuente realiza el ataque con un intento de obtener información personal, incluidos los números de la tarjeta de crédito o de la seguridad social. El smishing se realiza mediante mensajes de texto o SMS, lo que le da el nombre de «SMiShing».
Los ataques de smishing utilizan un servicio de mensajes cortos o SMS, comúnmente conocidos como mensajes de texto. Esta forma de ataque se ha convertido cada vez más popular debido a que las personas tienden a confiar más en un mensaje que llega a través de una aplicación de mensajería en su teléfono que en un mensaje que llega por email.
A pesar de que muchas víctimas no relacionan las estafas de phishing con mensajes de texto personales, lo cierto es que es mucho más fácil para los agentes de amenazas encontrar su número de teléfono que encontrar su email. Existe un número limitado de opciones con números de teléfono, en EE. UU. un número de teléfono consta de 10 dígitos.
En comparación con una dirección de email, la cual no tiene limitación de tamaño, aunque hay un número razonable de caracteres posibles, los emails pueden incluir números, letras y símbolos como !, # y %, entre otros. Es mucho más fácil combinar diez dígitos aleatorios para contactar con una víctima que llegar a ella a través de una dirección de email.
El hacker sencillamente puede enviar mensajes a cualquier combinación de dígitos que sea del mismo tamaño que un número de teléfono. Pueden intentar con todas las combinaciones de dígitos sin causar daños. Gartner informa que el 98 % de los mensajes de texto se leen y un 45 % se responden. Esto hace que los mensajes de texto constituyan un medio lógico para que los hackers lo utilicen como un vector de ataque, especialmente cuando, según informa Gartner, solo el 6 % de los emails recibe una respuesta.
Con un mensaje de texto, los hackers pueden intentar conseguir muchas cosas distintas. Esto incluye el robo de sus datos personales haciéndose pasar por un representante de su banco. Podrían intentar que haga clic en un enlace del mensaje de texto para conectarse con el sitio web de su banco y verificar un cargo reciente sospechoso. Podrían pedirle que llame al número de atención al cliente, que se incluye convenientemente en el mensaje de texto, para que hable con ellos sobre un cargo reciente sospechoso o de una cuenta comprometida.
Los hackers también intentan utilizar métodos relacionados con la solidaridad para recopilar información sensible. Un ejemplo incluye mensajes relacionados con ayudas para los destrozos causados por un huracán, donde los agentes de amenazas le solicitan una donación de caridad. El hacker le pide que haga clic en el enlace incluido y que introduzca la información de su tarjeta de crédito, dirección e incluso, su número de seguridad social. Una vez que el hacker obtiene su número de tarjeta de crédito, el delincuente puede incluso realizar cargos en ella de forma mensual para evitar ser descubierto.
Otro ejemplo de ataque de smishing es una oferta procedente de su proveedor en la que le ofrecen un descuento por un servicio o una actualización de teléfono. El mensaje le urge a que haga clic en el enlace proporcionado para activar la oferta. Una vez que está en el sitio web falso que se parece al sitio web oficial de su proveedor, la página le pide que confirme el número de su tarjeta de crédito, dirección e incluso su número de seguridad social. Recuerde, si suena demasiado bien o demasiado bueno para ser verdad, es que probablemente lo sea.
El phishing que utiliza freewares de mensajería instantánea como Facebook Messenger o WhatsApp no es técnicamente smishing, pero está muy relacionado. El hacker se aprovecha del creciente nivel de comodidad que tienen los usuarios con los mensajes abiertos y las respuestas que realizan a extraños a través de las plataformas de redes sociales.
Al igual que los esquemas de phishing, el objetivo del ataque es que proporcione datos personales, incluidas contraseñas y/o números de tarjeta de crédito, al agente de amenazas. Para obtener dicha información, el atacante puede ofrecerle una gran oferta o algo de valor. Habitualmente en tales ofertas se incluyen enlaces para hacer clic.
Si bien un mensaje procedente de un extraño en busca de información es un buen indicador de un posible esquema de phishing de mensajería instantánea, estos ataques pueden parecer que proceden de personas que usted conoce y con las que ya está conectado. Esto a menudo ocurre cuando se ha hackeado o suplantado la cuenta de un contacto de las redes sociales.
Los hackers le enviarán mensajes de texto que parecen provenir de su banco, le advertirán sobre actividades sospechosas o le pedirán que verifique los detalles de la cuenta. Si la víctima hace clic en el enlace de la alerta, se le llevará a un sitio web fraudulento diseñado para robar sus credenciales de inicio de sesión, contraseñas e información financiera.
En estas estafas, los cibercriminales fingen ser agencias gubernamentales, como el IRS o las fuerzas de seguridad locales. Pueden afirmar que el destinatario debe pagar multas o impuestos, indicándole que haga clic en un enlace o proporcione datos personales para evitar sanciones.
Los atacantes a menudo se hacen pasar por empresas de transporte como FedEx o UPS, informando a las víctimas de problemas con la entrega de un paquete. Se pide a las víctimas que paguen una tasa o proporcionen datos de inicio de sesión para resolver el problema, lo que conduce al robo de información personal o de pago.
Ejemplo de estafa de «entrega fallida».
En este tipo de smishing, los estafadores se hacen pasar por agentes de atención al cliente de empresas conocidas como Amazon o Microsoft. Afirman que hay un problema con la cuenta de la víctima u ofrecen recompensas falsas, dirigiendo a las víctimas a sitios web de phishing para robar datos personales o financieros.
Los hackers pretenderán haberle enviado por error un texto destinado a otra persona. Una vez que responda, se involucran en una conversación, generando lentamente confianza antes de intentar engañarlo para que comparta información personal o envíe dinero.
Esta estafa intenta que haga clic en un enlace que conduce a un sitio web peligroso alegando que su puntuación de crédito ha bajado.
Ejemplo de estafa de «crédito cancelado».
Explore la necesidad de ir más allá de la seguridad integrada de Microsoft 365 y Google Workspace™ basándose en las amenazas de correo electrónico detectadas en 2023.
Explore las últimas tendencias en phishing y las mejores prácticas de seguridad del correo electrónico para mejorar la seguridad de su correo electrónico y reducir los riesgos cibernéticos.
Artículos relacionados
Investigaciones relacionadas