Smishing: cómo protegerse de los sms fraudulentos

Productos mencionados
SMS peligrosos

¿Sabes que, cada vez, son más las víctimas de smishing? El empleo de mensajes de texto engañosos por parte de los ciberdelincuentes para obtener información personal es, cada vez, más frecuente. Y es que, por desgracia, las personas sí están más atentas a los casos de fraude a través de correo electrónico. Sin embargo, depositan una mayor confianza en los mensajes cortos de texto.

Este auge no es de extrañar en un mundo marcado por nuestra dependencia de los teléfonos móviles. Según el Estudio sobre la Cibercriminalidad del Ministerio del Interior de España, en 2020 se contabilizaron más de 287.000 hechos delictivos. Una cifra que aumentó en un 31% con respecto al año anterior.

Pero, ¿qué es el smishing y para qué sirve? Y, aún más importante, ¿sabes cómo protegerte frente a una de las técnicas de los ataques a través de mensajes de texto?

¿Qué es el smishing?

El smishing es una técnica de ciberataque que consiste en el empleo de mensajes de texto para conseguir información personal de los usuarios y hacer un uso fraudulento de la misma.

Es decir, es una forma de phising que emplea el mensaje de texto como plataforma de ataque, bien sea por medio de mensajes SMS, por WhatsApp, Telegram o cualquier otra app de mensajería móvil.

El objetivo de estos mensajes es obtener información confidencial de los usuarios. Por ejemplo:

  • Contraseñas de diversas plataformas.
  • Datos bancarios.
  • Los números de la tarjeta de crédito de la víctima.
  • Información confidencial que podría emplearse a la hora de suplantar la identidad del usuario.

Smishing vs. phising. ¿En qué se diferencian?

Si bien ambas técnicas consisten en obtener información personal de los usuarios para realizar un uso fraudulento de la misma, la diferencia radica en el medio que se emplea para engañar a las personas.

Mientras que el phising se basa en el empleo del correo electrónico, el smishing obtiene esta información confidencial a través de mensajes de texto como canal.

Descubre todas las herramientas de seguridad web para proteger tu página y a tus clientes

Cómo funciona el smishing

Ahora ya conoces qué es el smishing pero, ¿cómo funciona?

El smishing se basa en la ingeniería social para conseguir que el usuario revele datos confidenciales.

La práctica es muy sencilla: se trata de enviar un mensaje de texto atractivo que comprometa a la persona a hacer clic en un enlace. Por ejemplo, prometiéndole un regalo en nombre de una empresa, el acceso a una oferta limitada o simplemente la necesidad de realizar una gestión a través de ese enlace con su entidad bancaria.

Una vez el usuario hace clic en el link, existen varias opciones para llevar a cabo el engaño:

  • El usuario es redirigido a un sitio web falso en el que debe incluir información personal. Por ejemplo, los datos bancarios, contraseñas, etcétera. Este caso es muy común cuando el hacker se hace pasar por una ONG, pidiendo que se realice una donación solidaria a través de una página web en la que el usuario debe incluir sus datos bancarios.
  • Se le pide al usuario o a la usuaria que llame a un número de teléfono para verificar un cargo poco habitual en su cuenta bancaria o similar. Generalmente, este número es de tarificación especial.
  • El atacante intenta que la persona instale un malware en su teléfono móvil, encubierto en forma de app. Esta recogerá información personal del usuario y la compartirá con terceros.
  • El usuario es redirigido a una página de venta en la que puede comprar productos inexistentes -previa introducción de su número de la tarjeta bancaria, claro está-.

Como ves, hay distintas formas de acometer este tipo de delito. Pero, ¿cómo evitarlo?

Cómo protegerse ante el smishing

Por norma general, ninguna entidad bancaria, estatal o compañía comercial te solicitará información confidencial a través de mensajes de texto del móvil.

De igual manera, si quieres prevenir un ataque de smishing, sigue los próximos pasos:

  • Lee con detenimiento el contenido del mensaje y desconfía de aquellos que envían promociones por tiempo muy limitado, que presentan faltas de ortografía o que parecen sacados del traductor de Google. Las empresas que realizan SMS marketing cuidan el copy y saben cómo dirigirse a sus destinatarios.
  • Sé una persona desconfiada a la hora de abrir un mensaje de texto si no conoces el remitente -es decir, que el contacto sea un conocido, un familiar o un amigo-. Si desconfías de que, detrás de dicho mensaje, exista una empresa real, siempre puedes ponerte en contacto con la entidad para preguntarles si dicha campaña es segura.
  • Si desconfías del remitente, no hagas clic en el enlace del mensaje bajo ningún concepto.
  • Emplea gestores de contraseñas seguros y no almacenes en tu teléfono información sensible que sea fácilmente accesible a los hackers. Por ejemplo, información bancaria en las notas del teléfono o como borrador en tu cuenta de correo electrónico.
  • Establece la autenticación en dos pasos en las apps de banca electrónica.
  • Crea contraseñas seguras y modifica las de plataformas sensibles cada 2 o 3 meses.

Pero, si no conocías estas precauciones o te han pillado en un despiste, ¿sabes cómo debes actuar si eres víctima de este tipo de ataques?

Qué hacer si eres víctima de smishing

Si crees que has podido ser víctima de esta forma de phising, sigue los próximos pasos:

  • Contacta con tu entidad bancaria para cancelar cualquier pago realizado con tu tarjeta que no haya sido autorizado. Así podrás bloquear la operación bancaria.
  • Cambia las contraseñas de las apps de banca electrónica o de cualquier cuenta en otra plataforma cuya seguridad haya podido ser vulnerada.
  • Denuncia el fraude ante las instituciones pertinentes, aportando tantas pruebas como te sea posible.

Además, no te olvides de borrar los archivos descargados y de escanear tu smartphone con un antivirus fiable.

Actúa con rapidez para evitar, en la medida de lo posible, graves consecuencias de este hackeo. Y, si tienes alguna duda, recuerda que puedes consultar la página web del Instituto Nacional de Ciberseguridad (INCIBE), donde podrás encontrar más información al respecto.

Estudió Comunicación Audiovisual, aunque poco después de acabar la carrera se dio cuenta de que lo suyo era el mundo del marketing. Se considera una apasionada de la fotografía, los podcast y todo lo que tiene que ver con el mundo startup. Leticia Calvo forma parte del equipo de GoDaddy España, donde escribe sobre redes sociales, estrategias de marketing, Wordpress ¡y mucho más.