Ir al contenido principal
¿Podemos ayudarte a buscar algo?
main content, press tab to continue
Artículo

Smishing: cómo se detecta y evitarlo en tu empresa

Mayo 26, 2022

Los ciberataques casi siempre empiezan con un clic en el lugar equivocado.
Cyber Risk Management
N/A

Los ciberataques casi siempre empiezan con un clic en el lugar equivocado. Puede ser en un enlace que nos lleva a una web de descarga, en un adjunto de un correo electrónico fraudulento o, también, en un SMS. En una época marcada por la revolución digital y móvil, en que convivimos con más tecnologías que nunca, los mensajes de texto siguen siendo una puerta de entrada abierta para los ciberdelincuentes. Es lo que se conoce como smishing.

Smishing, ¿qué es?

El smishing es, en realidad, un tipo de phishing. Los ciberdelincuentes se hacen pasar por alguien, una persona o una entidad, de apariencia confiable para lograr sus fines fraudulentos. En el caso del smishing, lo hacen utilizando un SMS aparentemente inofensivo. De acuerdo con el Instituto Nacional de Ciberseguridad (INCIBE), el smishing “es una técnica que consiste en el envío de un SMS por parte de un ciberdelincuente a un usuario simulando ser una entidad legítima con el objetivo de robarle información privada o realizarle un cargo económico”.

Estos fraudes suplantan la identidad de todo tipo de entidades o personas con el objetivo de que los usuarios que reciben el SMS hagan clic en un enlace hacia una web falsa. En esta continúa la suplantación de identidad y se intenta que el usuario descargue un archivo, haga una transferencia o incluso llame a un teléfono de tarificación especial. De acuerdo con la Oficina de Seguridad del Internauta (OSI), existen una serie de claves para reconocer un intento de smishing:

  • El remitente del mensaje no coincide con el nombre de la empresa o entidad real que supuestamente está enviando el SMS.
  • El enlace nos lleva a una web no segura, es decir, que no usa el protocolo HTTPS. Rara vez una entidad de confianza pedirá a un usuario hacer clic en un enlace. Pero si lo hace, este llevará a una web segura.
  • Es probable que el mensaje contenga errores gramaticales y ortográficos o incluso fallos en la traducción.

¿Qué daños puede ocasionar esta técnica?

Un intento de smishing no persigue objetivos muy distintos a los de otros tipos de ciberataques. Tal como señala la compañía de ciberseguridad Kaspersky, el objetivo suele ser el robo de datos personales o de dinero. En el caso de una empresa, las consecuencias podrían ser mayores porque podría implicar el robo de datos de clientes o de cantidades económicas más abultadas. Para hacerlo, el SMS fraudulento suele tener tres objetivos principales:

  • Engañar al usuario para que revele credenciales que permitan a los ciberdelincuentes acceder a información privada y/o sensible.
  • Lograr que el usuario descargue un archivo de malware o ransomware con el que tomar el control del sistema.
  • Conseguir el envío de dinero. En este caso, el mensaje suele ir ligado a una causa emotiva y aparentemente urgente, que hace que el usuario no reflexione mucho antes de hacer la transferencia.

¿Cómo proteger a mi empresa de smishing?

El smishing, como el phishing, es una técnica de ingeniería social. Es decir, busca obtener información confidencial a través de la manipulación de usuarios legítimos. En este sentido, la protección frente al smishing no se consigue con complicados sistemas de seguridad ni costosas soluciones tecnológicas. La primera línea defensa, y la más importante, es el factor humano. Para no sufrir un ataque de smishing en la empresa y gestionar los ciberriesgos de forma adecuada es fundamental que los empleados estén al día de estas técnicas y mantengan una serie de buenas prácticas que impidan que los ciberdelincuentes tengan éxito.

Para ello, es clave saber reconocer el smishing mediante los tres rasgos señalados en el primer apartado de este artículo. Además, todo usuario debe tener en cuenta los siguientes consejos que recoge la OSI:

  • Desconfiar de remitentes desconocidos, en especial, de los que nos pidan algo a cambio.
  • Desconfiar de promociones, premios, cupones o concursos. Estos son los anzuelos más habituales.
  • No facilitar nunca información personal. Nuestro banco, la Agencia Tributaria o nuestra compañía telefónica ya tienen nuestros datos. Nunca nos pedirán información personal mediante un SMS.
  • Nunca hacer clic en los enlaces. Lo mejor es contrastar primero la información, por ejemplo, consultando la web de la empresa que supuestamente se ha puesto en contacto.
  • No descargar archivos adjuntos desconocidos bajo ningún concepto.
  • Proteger todas las cuentas mediante contraseñas robustas.

Smishing: ejemplos de casos de smishing y cómo se solucionaron

Los intentos de fraude mediante smishing son bastante comunes. Entre los anzuelos más habituales destacan el SMS urgente del banco que asegura que nuestra cuenta ha sido bloqueada y necesita información para que vuelva a funcionar o el mensaje de una cadena comercial asegurando que hemos ganado un premio económico. Los siguientes son dos casos de smishing recientes detectados en España.

El fraude de la Agencia Tributaria

Cada año, coincidiendo con la campaña de la renta, se produce el mismo tipo de ataque, según alerta el INCIBE. El objetivo del SMS, que parece llegar de la Agencia Tributaria, es que el receptor acceda a una página fraudulenta en la que se intentan sustraer los datos bancarios.

La solución más efectiva es la prevención: no hacer clic en enlaces sospechosos. Aun así, si se cae en el anzuelo, es importante ponerse en contacto inmediatamente con el banco para anticiparse a posibles operaciones.

El paquete que no llega

Este es otro de los ataques habituales. De acuerdo con el INCIBE, son varias las compañías de paquetería cuya identidad ha sido suplantadas en diferentes intentos de smishing. En este caso, el SMS suele pedir al usuario que pague los gastos de envío para recibir un paquete que, de otro modo, no podrá ser entregado. Teniendo en cuenta el alto volumen de compras online que existen en la actualidad, los ciberatacantes esperan que alguien acabe mordiendo el anzuelo.

La solución, de nuevo, vuelve a pasar por la prevención. Basta con no hacer clic en el enlace del mensaje y eliminar el SMS. Aun así, si se accede a la web y se facilita la información bancaria, es importante ponerse en contacto con el banco para que estén al corriente de la situación y bloqueen la tarjeta.

Sea cual sea el nivel de sofisticación empleado por los delincuentes, al final el smishing no deja de ser un simple engaño. Así, la medida de mitigación de riesgos más efectiva es estar al corriente de estas prácticas y no caer en la trampa de los cibercriminales.

Related content tags, list of links Artículo Gestión de ciberriesgos España

CIBERRIESGOS

¿Quieres saber más sobre nuestras soluciones de ciberriesgo?

Descubre cómo la gestión estratégica del ciberriesgo facilita la consecución de los objetivos de tu empresa.

Capacidades relacionadas

Gestión de ciberriesgos
Riesgos financieros, ejecutivos y profesionales (Finex)
El seguro D&O: protección para directivos y administradores

Contenidos relacionados

Ver todas las publicaciones
Artículo
6 diferencias entre un bróker y un agente de seguros
Informe de encuesta
Informe de riesgos de la cadena de suministro de alimentos, bebidas y agricultura de 2023
Artículo
Seguros de Crimen y seguros de ciberriesgos: ¿cuáles son las diferencias?
Informe de encuesta
Informe global de riesgos de la cadena de suministro 2023
Informe de encuesta
Informe de encuesta sobre responsabilidad civil de administradores y directivos 2023
Podcast
Podcast Riesgos 360º
Contact us