Zpedia 

/ ¿Qué es el smishing (phishing por SMS)?

¿Qué es el smishing (phishing por SMS)?

El smishing es un tipo de ataque de ingeniería social que se lleva a cabo mediante mensajes de texto fraudulentos. Al igual que otros ataques de phishing, las estafas de smishing se aprovechan de la confianza o el miedo humanos para crear una sensación de urgencia y engañar a las víctimas para que divulguen información confidencial (por ejemplo, credenciales de inicio de sesión, números de tarjetas de crédito). El smishing es una táctica común utilizada en el robo de identidad.

Cómo detener los ataques de phishing con Zscaler

¿Cómo funcionan los ataques de smishing?

Como todas las formas de phishing, los ataques de smishing exitosos hacen dos cosas: ganarse la confianza de la víctima y luego explotarla para defraudarla y robarle información privada o dinero. Entonces, ¿cómo lo hacen los estafadores?

Primero, veamos los vectores de ataque. El smishing, también llamado phishing por SMS, no tiene por qué realizarse necesariamente a través de un mensaje de texto del Servicio de Mensajes Cortos (SMS), ni siquiera necesariamente en un dispositivo móvil. También puede aparecer en aplicaciones de mensajería, foros o plataformas de redes sociales, como Facebook, X (Twitter) o Reddit.

Los remitentes a menudo se hacen pasar por entidades que sus víctimas “conocen” de alguna manera: instituciones financieras, minoristas, superiores laborales y agencias de servicio civil son ejemplos comunes. Esto hace que las víctimas bajen la guardia y no piensen de manera crítica sobre lo que los atacantes les piden que hagan.

Los mensajes de smishing efectivos convencen a las víctimas a tomar medidas inmediatas. Por lo general, presentan a la víctima un resultado negativo que debe evitar (cierre de cuenta, una tarifa, acción disciplinaria, etc.) o uno positivo que debe reclamar (una recompensa, una entrega, etc.). En cualquier caso, el mensaje solicita algo, como información privilegiada o un pago. Si la artimaña tiene éxito, el atacante escapa con su premio.

Recientemente, los “kits de phishing” preempaquetados y las herramientas de inteligencia artificial generativa han facilitado que los ciberdelincuentes lancen ataques rápidamente.

Cita

"Los autores de amenazas están aprovechando los kits de phishing y las herramientas de inteligencia artificial para lanzar campañas de correo electrónico, smishing y vishing altamente efectivas a escala".

Deepen Desai, CISO global y jefe de seguridad, Zscaler

¿Por qué los atacantes realizan estafas mediante smishing?

La mayoría de los ataques de smishing, al igual que otras estafas de phishing, tienen motivaciones económicas. Los cibercriminales pueden ir directamente a por información financiera para robar el dinero de las víctimas, o pueden buscar información para venderla en el mercado negro, como datos personales valiosos o propiedad intelectual corporativa. Con menos frecuencia, algunas campañas de smishing intentan engañar a las víctimas para que descarguen malware.

Los ataques de smishing también se benefician de una falta general de capacitación, formación y concientización entre los objetivos, especialmente en relación con el phishing basado en correo electrónico. Además de eso, hay muchas menos soluciones de seguridad diseñadas para detectar o bloquear el spam de smishing. Para colmo, muchos servicios de voz sobre IP (VoIP) hacen que sea tremendamente fácil abusar del identificador de llamadas para mostrar números o nombres específicos.

También es fácil lanzar una red amplia con smishing, lo que lo convierte en una apuesta segura para los posibles autores de ciberamenazas. Con más de 4600 millones de usuarios de teléfonos inteligentes en 2023 y proyecciones de más de 5000 millones para 2027 (Statista), existen efectivamente víctimas potenciales ilimitadas.

Tipos de ataques de smishing

Una razón por la que el smishing y otros tipos de ataques de phishing son tan insidiosos es que hay muchas formas de formular un ataque de smishing. Veamos algunos de los enfoques y marcos de trabajo más comunes de los smishers.

  • Las estafas con premios y paquetes se aprovechan del entusiasmo de las víctimas por algo que les hacen creer que han ganado (una tarjeta de regalo, dinero de lotería, etc.) o un artículo que espera ser entregado. Los atacantes a menudo se hacen pasar por una importante empresa minorista o de mensajería, como Amazon, Costco, FedEx o UPS, y solicitan una corrección de dirección, información de tarjeta de crédito, una tarifa de envío o algo similar. Por lo general, dirigen a las víctimas a un enlace malicioso diseñado para ayudar a robar esa información.
  • Las estafas bancarias y financieras se aprovechan de la sensibilidad financiera para provocar reacciones fuertes y rápidas. Los atacantes se harán pasar por una empresa bancaria o, para amplificar el elemento de miedo, una organización como Hacienda, e informarán a la víctima de un problema con la cuenta bancaria, un reembolso pendiente, un pago vencido, una investigación o algo similar como pretexto para robar credenciales de inicio de sesión, números de Seguridad Social, números de tarjetas de crédito u otra información bancaria.
  • Las estafas de inversión, como el popular esquema de “pit butchering" (o matanza de cerdos), manipulan a las víctimas (los “cerdos”) para que inviertan en criptomonedas, a menudo prometiéndoles altos retornos. Los estafadores instan a las víctimas a crear cuentas en plataformas de comercio financiero o de criptomonedas falsas, y a menudo ofrecen inicialmente ganancias para fomentar una falsa sensación de legitimidad. Una vez que el estafador obtiene acceso no autorizado a la cuenta de la víctima, realiza transacciones fraudulentas, retirando de la cuenta todos los fondos.
  • Las estafas de verificación de cuentas y contraseñas incitan a las víctimas a comprometer sus cuentas, a menudo, paradójicamente, haciéndoles creer que sus cuentas han sido comprometidas. Esto puede ir de la mano con la suplantación de URL para crear portales de inicio de sesión falsos y convincentes. En algunos ataques complejos de robo de cuentas, los piratas informáticos pueden solicitar respuestas a preguntas de seguridad o códigos de autenticación multifactor (MFA), lo que les permite eludir medidas de ciberseguridad adicionales.
  • Las estafas oportunistas y de actualidad se aprovechan de los miedos, las esperanzas o el sentido de responsabilidad social de las víctimas en torno a los acontecimientos o tendencias actuales para defraudarlas y robarles dinero o datos personales. Algunos ejemplos comunes de los últimos años incluyen fraudes en citas para vacunas contra el COVID-19, organizaciones benéficas falsas relacionadas con guerras y desastres naturales, estafas económicas relacionadas con préstamos estudiantiles, impuestos, pagos de estímulo y oportunidades laborales, y más.

Ejemplos de estafas de smishing

Ahora, veamos algunos ejemplos de intentos reales de smishing, así como algunas de las señales de alerta en estos ataques que pueden ayudarle a identificarlos como ciberataques.

Ejemplo 1: Smishing en paquete de USPS

Image

Este mensaje está lleno de señales de alerta que hacen que sea fácil identificarlo como smishing. Tenga en cuenta la falta de detalles específicos, como un nombre o la ubicación de un "almacén", el espaciado extraño y el extraño "7cng.vip". cadena en la URL proporcionada. 

Además, según el Servicio de Inspección Postal de los Estados Unidos: “USPS no enviará mensajes de texto ni correos electrónicos a los clientes sin que el cliente primero solicite el servicio con un número de seguimiento, y NO contendrá un enlace”.

Ejemplo 2: Encuesta de Costco sobre smishing

Image

Este texto smishing es un poco más difícil de identificar, pero aún tiene muchos signos reveladores. En primer lugar, Costco Wholesale Corporation no se autodenomina “CostcoUSA”. Al igual que el mensaje falso de USPS, la redacción es un poco forzada y artificial. La señal más reveladora de smishing es la URL, ya que las comunicaciones legítimas de Costco siempre provienen de un dominio de Costco.

Los smishers pueden ser extremadamente inteligentes, pero si se sabe qué buscar, a menudo hay formas sutiles y no tan sutiles de detectar sus intentos.

Cómo defenderse de los ataques de Smishing

Es difícil evitar por completo el smishing, pero afortunadamente hay muchas formas efectivas de defenderse antes de que pueda causar algún daño:

  • Simplemente ignórelo: si recibe un mensaje smishing, todo lo que tiene que hacer es no hacer nada. Una vez que haya determinado que un mensaje que ha recibido no es legítimo, puede simplemente eliminarlo sin más consecuencias. El smishing no funciona si la víctima no muerde el anzuelo.
  • Piense de forma crítica: una de las mejores maneras de identificar un intento de smishing es detenerse y pensar exactamente qué esperan los atacantes que las víctimas no hagan. Si recibe un mensaje de texto sospechoso, dé un paso atrás y considere las circunstancias. ¿Esperaba recibir noticias del supuesto remitente? ¿Se identificó claramente el remitente? ¿Es razonable la solicitud?
  • Busque señales de alerta: examine los detalles. ¿El mensaje procede de un número de teléfono sospechosamente similar al suyo? Si es así, eso podría indicar una “suplantación de identidad del vecino”. ¿Contiene direcciones de correo electrónico o enlaces? Asegúrese de que coincidan con la información de contacto real o los canales oficiales que espera del remitente. ¿Hay detalles vagos o errores? La mayoría de los mensajes comerciales legítimos se revisan cuidadosamente para detectar errores.
  • Verifique primero: si aún no está seguro de si un mensaje es legítimo o no, puede verificarlo con el remitente por separado a través de un canal oficial. Por ejemplo, puede buscar un número de atención al cliente o chatear con un representante en el sitio web de su banco.
  • Bloquee y notifíquelo: puede reducir su propio riesgo, así como disminuir la probabilidad de que otros sean atacados, bloqueando y denunciando los intentos de smishing. La mayoría de las aplicaciones de mensajería privada, así como los sistemas operativos Apple iOS y Android, tienen funciones de bloqueo e informes integradas que también ayudarán a marcar mensajes sospechosos cuando otros usuarios los reciban.

Qué hacer si es usted víctima de smishing

Si se da cuenta, o incluso si tiene sospechas firmes, de que has sido víctima de smishing, aún puede actuar para limitar el daño de un ataque exitoso.

  1. Informe el ataque a las autoridades correspondientes. La mayoría de los bancos cuentan con potentes marcos de gestión de fraude, e incluso pueden ayudarle a recuperar los fondos perdidos. En el caso de un fraude o robo de identidad más grave, puede considerar presentar una denuncia ante la policía o comunicarse con una agencia gubernamental como la Oficina Federal de Investigaciones (FBI) o la Comisión Federal de Comercio (FTC).
  2. Actualice las credenciales comprometidas. Si un atacante tiene los datos de su cuenta, no hay forma de saber cuándo los usará. Cambie inmediatamente las contraseñas, PIN y otros elementos afectados. Si recibe un correo electrónico legítimo que confirma un cambio de contraseña que no solicitó, comuníquese con el remitente de inmediato.
  3. Manténgase alerta ante cualquier actividad maliciosa. Una vez que haya hecho lo anterior, esté atento a indicios de otros compromisos en las áreas afectadas. Puede solicitar que se coloquen alertas de fraude en muchas cuentas para ayudar a identificar actividad sospechosa.

Protección contra ataques Smishing Zscaler

Dado que se basa en la explotación de la naturaleza humana para tener éxito, la vulneración de los usuarios es uno de los desafíos de seguridad más difíciles de superar. Para detectar infracciones activas y minimizar el daño que pueden causar las infracciones exitosas, es necesario implementar controles efectivos de prevención de phishing como parte de una estrategia zero trust más amplia.

La plataforma Zscaler Zero Trust Exchange™, construida sobre una arquitectura integral zero trust para minimizar la superficie de ataque, prevenir el compromiso, eliminar el movimiento lateral y detener la pérdida de datos, protege contra ataques de smishing y otras ciberamenazas al:

  • Prevenir vulneraciones: funciones como la inspección TLS/SSl completa, el aislamiento del navegador, el filtrado de URL y la detección de sitios de phishing (incluidos enlaces en SMS y dispositivos móviles), el control de acceso basado en políticas y la inteligencia de amenazas en tiempo real protegen a los usuarios de sitios web maliciosos.
  • Eliminar el movimiento lateral: una vez en su red, los atacantes pueden propagarse y causar aún más daño. Con Zero Trust Exchange, los usuarios se conectan directamente a las aplicaciones, no a su red, lo que limita el radio de explosión de un ataque. Los señuelos engañosos ayudan a confundir a los atacantes y a detectar movimientos laterales. 
  • Detener amenazas internas: nuestra arquitectura de proxy en la nube detiene los intentos de explotación de aplicaciones privadas con una inspección en línea completa y detecta incluso las técnicas de ataque más sofisticadas con tácticas de engaño avanzadas.
  • Detener la pérdida de datos: Zero Trust Exchange inspecciona los datos en movimiento y en reposo para evitar el posible robo de datos por parte de un atacante activo.
promotional background

Proteja su organización frente al smishing y otros ataques de phishing con el poder de una arquitectura completa de confianza cero.

Recursos sugeridos

¿Qué es el phishing?
Lea el artículo
El informe de phishing 2023 desvela un aumento del 47,2 % en ataques de phishing
Leer el blog
Las estafas por SMS engañan a los clientes bancarios indios para que instalen aplicaciones maliciosas
Leer el blog
Estafas y smishing mientras se compra
Leer el blog
SMiShing con Punycode
Leer el blog
01 / 03
Preguntas frecuentes