El smishing, una forma de phishing que utiliza SMS, está en auge y aprovecha técnicas de ingeniería social para engañar a sus víctimas. Descubrí cómo protegerte de estos ataques, que afectan tanto a personas como a empresas, y qué señales tener en cuenta para no caer en la trampa.
Smishing, la nueva modalidad de ciberataque que combina mensajes de texto SMS (Short Message Service) y phishing, involucra también técnicas de persuasión a través del uso de ingeniería social. La persona que realiza esta tarea es conocida como “smisher” o “smishermen” e intenta lograr una proximidad con la víctima se presupone que trabaja como soporte técnico, entidad gubernamental, algún banco u otra organización financiera.
Desde IBM.com informaron que según el “State of the Phish Report”, el 75% de las organizaciones experimentaron ataques de smishing en 2023. A raíz de la pandemia por Covid-19, el “usa tu propio dispositivo” (“bring your own device”) y el trabajo remoto, facilitaron el acceso de intrusas a las redes de las empresas y los dispositivos móviles de sus empleadas, lo que las volvió más vulnerables al phishing, vishing (confirmación de datos obtenidos por ingeniería social a través de llamados por teléfono) y smishing.
Cuando leemos un mail lo hacemos con otra predisposición y prejuicios que un SMS, es en este punto en que el smisher focaliza para tomar ventaja y logra que la destinataria le de mayor credibilidad para luego obtener la información deseada.
Así funciona el smishing
Pero ¿cómo funciona la persuasión? La smisher da un número cualquiera que genera en el imaginario la sensación de familiaridad o legitimidad, algo que no ocurre con un mail. A través de los mensajes se invita a la usuaria a loguearse a través de un link, con lo que de primera mano obtiene sus credenciales e información privada, y a través de ese método consigue instalar en el celular un software malicioso que roba el resto de los datos.
Muchas creen que el phishing es una modalidad nueva sin embargo ya en 2002 una de las integrantes de Tribuna Hacker había logrado cosechar más de 8.000.000 de contraseñas con esta técnica, años más tarde, en 2006 la compañía de internet AOL había “sufrido” este tipo de ataque por lo que su departamento de anti-phishing demandó por 18 millones de dólares a tres grupos de ciberatacantes que habían logrado con creatividad y grandes recursos suplantar a la empresa o CompuServe. Entre las demadadas, no hubo ninguna integrante de Tribuna Hacker, obviamente. Por esa época, ya el Anti Phishing Working Group detectó alrededor de 50.000 sitios web identificados con ese tipo de fraude.
En 2023 cerca de 5.56 billones de personas en el mundo ya eran usuarias de telefonía móvil, es decir que, como explica security.org, “en qué hacer o no click forma parte de las decisiones diarias” de ellas.
Se estima que quienes muerden el anzuelo se encuentran entre los 18 y 23 años, con mayor frecuencia, las técnicas suelen desarrollarse mayormente por hombres que por mujeres, y según el departamento IT de la Universidad de Stanford, los motivos para caer en la treta pueden ser: “urgencia, curiosidad, deseo de complacer”.
Según phishing.stanford.edu hay que prestar atención a detalles como errores gramaticales, desde qué dirección se envía y premios o información que es “demasiado buena para ser cierta”.
Otra de las razones por las que la atacada no sospecha de la smisher es que ésta ya cuenta previamente con su número de teléfono. Y como se ha mencionado, el deseo de la promesa de una recompensa es más fuerte que la duda. Entre las ventajas con las que cuenta la atacante es que el tamaño del dispositivo móvil, su pantalla, a veces oculta la dirección completa del link lo que impide verificar correctamente su origen o por lo menos, sospechar de él.
Las ciberatacantes obtienen los números telefónicos a través de brechas de datos de internet: cuando alguien se loguea en una web con datos privados, las atacantes acceden a ellos y los venden, y luego tu información circula alrededor del mundo.
La ventaja que tienen las scammers es que los SMS no cuentan con verificación previa ni tampoco van a parar a carpeta de spam como los e-mail por lo que el link que envían en su cuerpo termina clickeado por error o por urgencia.
Las diferentes tácticas de smishing a las que recurren estas personas son: ataque por malware, SMS falsos de compañías reales, táctica de falsos link, smishing vinculado a las redes sociales, notificaciones de que ganaste un premio, información de solicitud de asistencia técnica, SMS urgente sobre tu tarjeta de crédito o cuenta bancaria.
¿Cómo prevenir el smishing?
Evitar responder o clickear mensajes con lenguaje o gramática extraña, no responder SMS que se presentan como “del gobierno”, no hacer click en enlaces que vengan por SMS, no descargar software a través de un mensaje de texto, en su lugar, descargar sólo de la tienda de Apple o Google Play; descuentos, promociones o premios son alertas de intento de ataque; nunca tratar de contactar el número telefónico desde el que enviaron el SMS, en caso de mencionar que se contactan de una entidad financiera comunicarse inmediatamente por la vía telefónica con la entidad de la que sos clienta.
