Lupa
Button toggle Button toggle
Inicio Flecha a la derecha Categorías ... Flecha a la derecha ... Flecha a la derecha Smishing: cómo se detecta y evitarlo en tu empresa Comunicar los...
Botón de scroll

Smishing: cómo se detecta y evitarlo en tu empresa

Rectangules
26 de mayo de 2022

NUESTROS EXPERTOS:

Tiempo de lectura
5 minutos

Edición editorial:

Juan F.Samaniego

Los ciberataques casi siempre empiezan con un clic en el lugar equivocado. Puede ser en un enlace que nos lleva a una web de descarga, en un adjunto de un correo electrónico fraudulento o, también, en un SMS. En una época marcada por la revolución digital y móvil, en que convivimos con más tecnologías que nunca, los mensajes de texto siguen siendo una puerta de entrada abierta para los ciberdelincuentes. Es lo que se conoce como smishing.

Smishing, ¿qué es?

El smishing es, en realidad, un tipo de phishing. Los ciberdelincuentes se hacen pasar por alguien, una persona o una entidad, de apariencia confiable para lograr sus fines fraudulentos. En el caso del smishing, lo hacen utilizando un SMS aparentemente inofensivo. De acuerdo con el Instituto Nacional de Ciberseguridad (INCIBE), el smishing “es una técnica que consiste en el envío de un SMS por parte de un ciberdelincuente a un usuario simulando ser una entidad legítima con el objetivo de robarle información privada o realizarle un cargo económico”.

Estos fraudes suplantan la identidad de todo tipo de entidades o personas con el objetivo de que los usuarios que reciben el SMS hagan clic en un enlace hacia una web falsa. En esta continúa la suplantación de identidad y se intenta que el usuario descargue un archivo, haga una transferencia o incluso llame a un teléfono de tarificación especial. De acuerdo con la Oficina de Seguridad del Internauta (OSI), existen una serie de claves para reconocer un intento de smishing:

  • El remitente del mensaje no coincide con el nombre de la empresa o entidad real que supuestamente está enviando el SMS.
  • El enlace nos lleva a una web no segura, es decir, que no usa el protocolo HTTPS. Rara vez una entidad de confianza pedirá a un usuario hacer clic en un enlace. Pero si lo hace, este llevará a una web segura.
  • Es probable que el mensaje contenga errores gramaticales y ortográficos o incluso fallos en la traducción.

¿Qué daños puede ocasionar esta técnica?

Un intento de smishing no persigue objetivos muy distintos a los de otros tipos de ciberataques. Tal como señala la compañía de ciberseguridad Kaspersky, el objetivo suele ser el robo de datos personales o de dinero. En el caso de una empresa, las consecuencias podrían ser mayores porque podría implicar el robo de datos de clientes o de cantidades económicas más abultadas. Para hacerlo, el SMS fraudulento suele tener tres objetivos principales:

  • Engañar al usuario para que revele credenciales que permitan a los ciberdelincuentes acceder a información privada y/o sensible.
  • Lograr que el usuario descargue un archivo de malware o ransomware con el que tomar el control del sistema.
  • Conseguir el envío de dinero. En este caso, el mensaje suele ir ligado a una causa emotiva y aparentemente urgente, que hace que el usuario no reflexione mucho antes de hacer la transferencia.

Para no sufrir un ataque de smishing en la empresa es fundamental que los empleados estén al día de estas técnicas y mantengan una serie de buenas prácticas.

 

¿Cómo proteger a mi empresa de smishing?

El smishing, como el phishing, es una técnica de ingeniería social. Es decir, busca obtener información confidencial a través de la manipulación de usuarios legítimos. En este sentido, la protección frente al smishing no se consigue con complicados sistemas de seguridad ni costosas soluciones tecnológicas. La primera línea defensa, y la más importante, es el factor humano. Para no sufrir un ataque de smishing en la empresa y gestionar los ciberriesgos de forma adecuada es fundamental que los empleados estén al día de estas técnicas y mantengan una serie de buenas prácticas que impidan que los ciberdelincuentes tengan éxito.

Para ello, es clave saber reconocer el smishing mediante los tres rasgos señalados en el primer apartado de este artículo. Además, todo usuario debe tener en cuenta los siguientes consejos que recoge la OSI:

  • Desconfiar de remitentes desconocidos, en especial, de los que nos pidan algo a cambio.
  • Desconfiar de promociones, premios, cupones o concursos. Estos son los anzuelos más habituales.
  • No facilitar nunca información personal. Nuestro banco, la Agencia Tributaria o nuestra compañía telefónica ya tienen nuestros datos. Nunca nos pedirán información personal mediante un SMS.
  • Nunca hacer clic en los enlaces. Lo mejor es contrastar primero la información, por ejemplo, consultando la web de la empresa que supuestamente se ha puesto en contacto.
  • No descargar archivos adjuntos desconocidos bajo ningún concepto.
  • Proteger todas las cuentas mediante contraseñas robustas.

Smishing: ejemplos de casos de smishing y cómo se solucionaron

Los intentos de fraude mediante smishing son bastante comunes. Entre los anzuelos más habituales destacan el SMS urgente del banco que asegura que nuestra cuenta ha sido bloqueada y necesita información para que vuelva a funcionar o el mensaje de una cadena comercial asegurando que hemos ganado un premio económico. Los siguientes son dos casos de smishing recientes detectados en España.

Sea cual sea el nivel de sofisticación empleado por los delincuentes, al final el smishing no deja de ser un simple engaño.

El fraude de la Agencia Tributaria

Cada año, coincidiendo con la campaña de la renta, se produce el mismo tipo de ataque, según alerta el INCIBE. El objetivo del SMS, que parece llegar de la Agencia Tributaria, es que el receptor acceda a una página fraudulenta en la que se intentan sustraer los datos bancarios.

La solución más efectiva es la prevención: no hacer clic en enlaces sospechosos. Aun así, si se cae en el anzuelo, es importante ponerse en contacto inmediatamente con el banco para anticiparse a posibles operaciones.

El paquete que no llega

Este es otro de los ataques habituales. De acuerdo con el INCIBE, son varias las compañías de paquetería cuya identidad ha sido suplantadas en diferentes intentos de smishing. En este caso, el SMS suele pedir al usuario que pague los gastos de envío para recibir un paquete que, de otro modo, no podrá ser entregado. Teniendo en cuenta el alto volumen de compras online que existen en la actualidad, los ciberatacantes esperan que alguien acabe mordiendo el anzuelo.

La solución, de nuevo, vuelve a pasar por la prevención. Basta con no hacer clic en el enlace del mensaje y eliminar el SMS. Aun así, si se accede a la web y se facilita la información bancaria, es importante ponerse en contacto con el banco para que estén al corriente de la situación y bloqueen la tarjeta.

Sea cual sea el nivel de sofisticación empleado por los delincuentes, al final el smishing no deja de ser un simple engaño. Así, la medida de mitigación de riesgos más efectiva es estar al corriente de estas prácticas y no caer en la trampa de los cibercriminales.

Descarga nuestro informe Ransomware: extorsión, filtraciones y el papel de los seguros.


Deja un comentario

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Tranquil@, tu dirección de email no se publicará

Edición editorial: Juan F.Samaniego

Todo lo que WTW puede ofrecer a tu empresa

Gestión de ciberriesgos

Pide información

Riesgos financieros, ejecutivos y profesionales (Finex)

Pide información

El seguro D&O: protección para directivos y administradores

Pide información

Quizás te interese

Previous Next