El robo de datos llega a los SMS: ¡Cuidado con el 'Smishing'!

Smishing es una palabra compuesta que hace referencia a SMS (los mensajes cortos de texto que se pueden enviar entre teléfonos móviles) y phishing, el término para designar a la estafa de enviar correos electrónicos suplantando la identidad de otra persona, empresa o institución para engañarnos con el objetivo de que facilitemos información sensible sobre nosotros. Se trata de una vuelta de tuerca más en la creciente tendencia de los ciberdelincuentes para sustraer información sensible a los usuarios de internet, en concreto datos personales y bancarios.

Si en el phishing los delincuentes utilizan generalmente correos electrónicos supuestamente enviados por nuestra entidad bancaria, alguna plataforma de pago en la que tengamos una cuenta o servicios como la Agencia Tributaria, Google Drive, Correos y Telégrafos, etcétera, en el caso del smishing se utilizan mensajes de texto en forma de SMS o a través de las distintas aplicaciones de mensajería instantánea. El objetivo continúa siendo el mismo: engañarnos y conseguir que compartamos información personal, realicemos un pago, hagamos clic en un enlace malicioso o se nos descargue un archivo adjunto.

Según la Oficina de Seguridad del Internauta (@osiseguridad), el mayor riesgo de este tipo de ciberataques es el desconocimiento de los usuarios, ya que “no esperan ser engañados a través de un mensaje de texto”. Así, los expertos avisan que, “mientras que la mayoría de nosotros estamos concienciados sobre los riesgos de navegar por Internet, el spam y los correos electrónicos maliciosos, no percibimos el mismo nivel de amenaza cuando se trata de un mensaje de texto que nos notifica una actividad sospechosa. Nos propone una promoción única en la vida o nos informa sobre algún tema importante, todo ello simplemente accediendo a un enlace”.

Modus operandi

La OSI ha hecho públicos unos ejemplos de cómo funcionan los ataques para robar datos a través de SMS. En el primero de ellos se muestra un mensaje SMS enviado por los delincuentes informando a la potencial víctima de una supuesta ayuda económica del Estado para hacer frente al COVID-19, la cual es mentira. “Si nos lo creemos y accedemos al enlace, llegaremos a un sitio web malicioso que nos solicitará todo tipo de datos personales, como la tarjeta de crédito, nombre y apellidos, correo electrónico, DNI, etc., para usarlos de una manera fraudulenta”, alertan desde la oficina:

En este segundo ejemplo destaca el hecho de que “en ningún momento nos encontramos en una web segura (https), por lo que nuestros intercambios de información tampoco serán seguros”. Esto podemos comprobarlo antes de hacer clic en el enlace, pasando el cursor por encima o, en el caso de los dispositivos móviles, dejando pulsado el enlace unos segundos:

En definitiva, el smishing utiliza la ingeniería social para enviarnos mensajes de texto maliciosos a nuestros dispositivos móviles. Conviene estar atentos y desconfiar de remitentes desconocidos si no queremos ser víctimas de este tipo de fraude.