¿Qué es el smishing (phishing por SMS)?

¿Cómo funcionan los ataques de smishing?

Como todas las formas de phishing, los ataques de smishing exitosos hacen dos cosas: ganarse la confianza de la víctima y luego explotarla para defraudarla con información privada o dinero. Entonces, ¿cómo lo hacen los estafadores?

Primero, veamos los vectores de ataque. El smishing, también llamado phishing por SMS, no tiene que realizarse a través de un mensaje de texto del servicio de mensajes cortos, ni necesariamente en un dispositivo móvil. También puede aparecer en aplicaciones de mensajería, foros o plataformas de redes sociales, como Facebook, X (Twitter) o Reddit.

Los remitentes a menudo se hacen pasar por entidades que sus víctimas “conocen” de alguna manera; instituciones financieras, minoristas, superiores laborales y agencias de la administración pública son ejemplos comunes. Esto hace que las víctimas bajen la guardia y no analicen lo que los atacantes les piden que hagan.

Los mensajes smishing eficaces convencen a las víctimas a tomar medidas inmediatas. Generalmente, presentan a la víctima un resultado negativo que debe evitar (cierre de cuenta, una tarifa, acción disciplinaria, etc.) o uno positivo que reclamar (una recompensa, una entrega, etc.). En cualquier caso, el mensaje solicita algo, como información privilegiada o un pago. Si la artimaña tiene éxito, el atacante se lleva su premio.

Recientemente, los “kits de phishing” preempaquetados y las herramientas de inteligencia artificial generativa han facilitado que los autores de amenazas lancen ataques rápidamente.

¿Por qué los atacantes realizan estafas de smishing?

La mayoría del smishing, al igual que otras estafas de phishing, tiene motivaciones financieras. Los ciberdelincuentes pueden buscar directamente información financiera para robar el dinero de las víctimas, o pueden buscar información para venderla en el mercado negro, como datos personales valiosos o propiedad intelectual corporativa. Con menos frecuencia, algunas campañas de smishing intentan engañar a las víctimas para que descarguen malware.

Los ataques de smishing también se benefician de una falta general de capacitación, educación y conciencia entre los objetivos, especialmente en relación con el phishing basado en correo electrónico. Además de eso, hay muchas menos soluciones de seguridad diseñadas para detectar o bloquear spam. Para colmo, muchos servicios de voz sobre IP (VoIP) hacen que sea extremadamente fácil abusar del identificador de llamadas para mostrar números o nombres específicos.

También es fácil lanzar una amplia red con smishing, lo que lo convierte en una apuesta fuerte para los posibles autores de ciberamenazas. Con más de 4600 millones de usuarios de teléfonos inteligentes en 2023 y proyecciones de más de 5000 millones para 2027 (Statista), en la práctica existen ilimitadas víctimas potenciales.

Tipos de ataques de smishing

Una de las razones por las que el smishing y otros tipos de ataques de phishing son tan perniciosos es que hay muchas maneras de formular un ataque de smishing. Veamos algunos de los enfoques y marcos comunes de los smishers.

• Las estafas de premios y paquetes explotan el entusiasmo de las víctimas por algo que les hacen creer que han ganado (una tarjeta de regalo, dinero de lotería, etc.) o un artículo que espera ser entregado. Los atacantes a menudo se hacen pasar por una importante empresa minorista o de entrega de paquetes (como Amazon, Costco, FedEx o UPS) y solicitan una corrección de dirección, información de tarjeta de crédito, una tarifa de envío o algo similar. Normalmente, dirigen a las víctimas a un enlace malicioso diseñado para ayudar a robar esa información.
• Las estafas bancarias y financieras se aprovechan de la confidencialidad financiera para provocar reacciones fuertes y rápidas. Los atacantes se harán pasar por una empresa bancaria (o, para amplificar el elemento de miedo, una organización como el IRS) e informarán a la víctima sobre un problema con una cuenta bancaria, un reembolso pendiente, un pago atrasado, una investigación o algo similar como pretexto para robar credenciales de inicio de sesión, números de Seguridad Social, números de tarjetas de crédito u otra información bancaria.
• Las estafas de inversión como el popular plan de “matanza de cerdos” manipulan a las víctimas (los “cerdos”) para que inviertan en criptomonedas, prometiendo a menudo altos rendimientos. Los estafadores instan a las víctimas a crear cuentas en plataformas de comercio financiero o criptográficas falsas, y a menudo inicialmente ofrecen retornos para fomentar una falsa sensación de legitimidad. Una vez que el estafador obtiene acceso no autorizado a la cuenta de la víctima, lleva a cabo transacciones fraudulentas, extrayendo todos los fondos de la cuenta.
• Las estafas de verificación de cuentas y contraseñas incitan a las víctimas a comprometer sus cuentas, a menudo, paradójicamente, haciéndoles creer que sus cuentas han sido comprometidas. Esto se puede producir al mismo tiempo que la suplantación de URL para crear portales de inicio de sesión falsos y convincentes. En algunos ataques complejos de robo de cuentas, los piratas informáticos pueden solicitar respuestas a preguntas de seguridad o códigos de autenticación multifactor (MFA), lo que les permite eludir medidas de ciberseguridad adicionales.
• Las estafas oportunistas y de actualidad se aprovechan de los miedos, las esperanzas o el sentido de responsabilidad social de las víctimas en torno a acontecimientos o tendencias actuales para defraudarlas con dinero y/o detalles personales. Algunos ejemplos comunes en los últimos años incluyen el fraude en las citas para la vacuna COVID-19, organizaciones benéficas falsas relacionadas con guerras y desastres naturales, estafas económicas relacionadas con préstamos estudiantiles, impuestos, pagos de incentivos, oportunidades laborales, etc.

Ejemplos de estafas de smishing

Ahora, veamos algunos ejemplos de intentos reales de smishing, así como algunas de las señales de alerta en estos ataques que pueden ayudarlo a identificarlos como ciberataques.

Ejemplo 1: Smishing de paquetes de USPS

Este mensaje está lleno de señales de alerta que facilitan su identificación como smishing. Tenga en cuenta la falta de detalles específicos, como un nombre o una ubicación de "almacén", el espaciado extraño y la extraña cadena "7cng.vip" en la URL proporcionada. 

Además, según el Servicio de Inspección Postal de los Estados Unidos: "USPS no enviará a los clientes mensajes de texto o correos electrónicos sin que el cliente primero solicite el servicio con un número de seguimiento, y NO contendrá un enlace".

Ejemplo 2

Este texto smishing es un poco más difícil de identificar, pero aún tiene muchos signos reveladores. En primer lugar, Costco Wholesale Corporation no se refiere a sí misma como "CostcoUSA". Al igual que el mensaje falso de USPS, la redacción es un poco forzada y artificial. La señal más reveladora de smishing es la URL, ya que las comunicaciones legítimas de Costco siempre provienen de un dominio de Costco.

Los smishers pueden ser extremadamente inteligentes, pero si sabe qué buscar, a menudo hay formas sutiles y no tan sutiles de detectar sus intentos.

Cómo defenderse de los ataques de Smishing

El smishing es difícil de evitar por completo, pero afortunadamente, existen muchas formas efectivas de defenderse contra él antes de que pueda causar algún daño:

• Simplemente ignórelo: si recibe un mensaje de smishing, todo lo que realmente tiene que hacer es no hacer nada. Una vez que haya determinado que un mensaje que recibió no es legítimo, simplemente puede eliminarlo sin más consecuencias. El smishing no funciona si la víctima no muerde el anzuelo.
• Piense críticamente: una de las mejores maneras de identificar un intento de smishing es detenerse y pensar, exactamente lo que los atacantes cuentan con que las víctimas no hagan. Si recibe un mensaje de texto sospechoso, dé un paso atrás y considere las circunstancias. ¿Esperaba tener noticias del supuesto remitente? ¿El remitente se identificó claramente? ¿Es razonable la solicitud?
• Busque señales de alerta: examine los detalles. ¿El mensaje procede de un número de teléfono sospechosamente similar al suyo? Si es así, eso podría indicar "suplantación de identidad de un vecino". ¿Contiene direcciones de correo electrónico o enlaces? Asegúrese de que coincidan con la información de contacto real o los canales oficiales que espera del remitente. ¿Hay detalles vagos o errores? La mayoría de los mensajes comerciales legítimos se revisan cuidadosamente para detectar errores.
• Verifique primero: si aún no está seguro de que un mensaje sea legítimo o no, puede verificar con el remitente por separado a través de un canal oficial. Por ejemplo, puede buscar un número de atención al cliente o chatear con un representante en el sitio web de su banco.
• Bloquéelo y/o notifíquelo: puede reducir su propio riesgo y la probabilidad de que otros sean atacados bloqueando y notificando intentos de ataque. La mayoría de las aplicaciones de mensajería privada, así como los sistemas operativos Apple iOS y Android, tienen funciones integradas de bloqueo y generación de informes que también ayudarán a detectar mensajes sospechosos cuando otros usuarios los reciban.

Qué hacer si es usted víctima de smishing

Si se da cuenta, o incluso tiene sospechas fundadas, que ha sido víctima de smishing, aún puedes actuar para limitar el daño de un ataque exitoso.

1. Informe el ataque a las autoridades correspondientes. La mayoría de los bancos cuentan con marcos sólidos de gestión del fraude e incluso pueden ayudarle a recuperar los fondos perdidos. En el caso de un fraude o robo de identidad más grave, puede considerar presentar un informe policial o comunicarse con una agencia gubernamental como la Oficina Federal de Investigaciones (FBI) o la Comisión Federal de Comercio (FTC).
2. Actualice las credenciales comprometidas. Si un atacante tiene los datos de su cuenta, no se sabe cuándo los utilizará. Cambie las contraseñas, PIN y similares afectados inmediatamente. Si recibe un correo electrónico legítimo confirmando un cambio de contraseña que no solicitó, póngase en contacto con el remitente de inmediato.
3. Esté atento a actividades maliciosas. Una vez que haya hecho lo anterior, esté atento a indicios de mayores compromisos en las áreas afectadas. Puede solicitar que se coloquen alertas de fraude en muchas cuentas para ayudar a identificar actividades sospechosas.

Protección contra ataques Smishing Zscaler

Debido a que se basa en explotar la naturaleza humana para tener éxito, el compromiso del usuario es uno de los desafíos de seguridad más difíciles de superar. Para detectar infracciones activas y minimizar el daño que pueden causar las infracciones exitosas, es necesario implementar controles efectivos de prevención de phishing como parte de una estrategia más amplia de confianza cero .

La plataforma Zscaler Zero Trust Exchange™ , construida sobre una arquitectura integral de confianza cero para minimizar la superficie de ataque, evitar compromisos, eliminar el movimiento lateral y detener la pérdida de datos, protege contra ataques de smishing y otras ciberamenazas al:

• Prevenir compromisos: características como inspección TLS/SSL completa, aislamiento del navegador, filtrado de URL y detección de sitios de phishing (incluidos enlaces en SMS y en dispositivos móviles), el control de acceso basado en políticas y la inteligencia sobre amenazas en tiempo real protegen a los usuarios de sitios web maliciosos.
• Eliminar el movimiento lateral: una vez en su red, los atacantes pueden propagarse y causar aún más daño. Con Zero Trust Exchange, los usuarios se conectan directamente a las aplicaciones, no a su red, lo que limita el radio de explosión de un ataque. Los señuelos de engaño ayudan a engañar a los atacantes y detectar movimientos laterales. 
• Detener las amenazas internas: nuestra arquitectura de proxy en la nube detiene los intentos de explotación de aplicaciones privadas con una inspección completa en línea y detecta incluso las técnicas de ataque más sofisticadas con tácticas de engaño avanzadas.
• Detener la pérdida de datos: Zero Trust Exchange inspecciona los datos en movimiento y en reposo para evitar un posible robo de datos por parte de un atacante activo.