Treo Blog

En este espacio puedes explorar las últimas tendencias y noticias en tecnología, seguridad informática e infraestructura TI.

  • Isabela Garcia Salazar

Smishing vs. Phishing: Cómo mantenerse seguro

Los estafadores han mejorado el uso de mensajes SMS para obtener información de tarjetas bancarias y contraseñas de banca online.


Bibliografia: Alexey Ferapontov

¿Qué es el smishing y cómo funciona?

El smishing es un tipo de phishing que se esparce mediante mensajes de texto en lugar de correo electrónico; de ahí el término smishing (SMS + phishing). Algunas clasificaciones incluyen al phishing por aplicaciones de mensajería como parte del smishing, pero nosotros lo consideramos como una categoría independiente, por lo que no lo analizaremos hoy.

El objetivo, así como con otros intentos de phishing, es engañar a los destinatarios para que divulguen información confidencial, generalmente la contraseña de su cuenta bancaria online o información de la tarjeta de crédito. Para este fin, los estafadores envían mensajes de texto, casi siempre sobre un problema ficticio (un problema de entrega, una factura no pagada o una cuenta bloqueada, por ejemplo), que el destinatario puede resolver al hacer clic en un enlace. Después de esto, pueden pasar una de estas dos cosas:

  • En la opción 1, la víctima se infecta con malware disfrazado de una solicitud legítima, pero cuyo objetivo real es solicitar información importante.

  • En la opción 2, la víctima accede a una página web disfrazada de un sitio web legítimo, pero cuyo objetivo real es solicitar información importante.

La elección depende de la zona de confort del estafador: malware o sitios web falsos. Igualmente, el resultado para la víctima es el mismo. Estafas similares han dado lugar al robo de miles de dólares, euros y libras. ¿Por qué el phishing por SMS se ha vuelto tan popular y por qué es más peligroso que el típico phishing?


¿Por qué el smishing es más peligroso que el típico phishing?

La mayoría de nosotros ya estamos más o menos acostumbrados al phishing y, en general, la gente sabe cómo reconocerlo y evitarlo. Los mensajes de texto son un canal más inesperado para estafas, por lo que es menos probable que las personas piensen que un mensaje corto podría ser una estafa.

Más allá de esto, aunque la gente confía más en los mensajes de texto, estos tienden a ser menos seguros que el correo electrónico. En la actualidad, cualquier servicio de correo electrónico de mediana calidad tiene un filtro de spam inteligente. Los filtros no son perfectos, pero los estafadores necesitan seguir inventando nuevas maniobras para burlarlos. Desafortunadamente, la flexibilidad y precisión de los filtros de spam de los operadores móviles dejan mucho que desear.

Además, generalmente las personas leen sus mensajes de texto sobre la marcha o entre tareas. Esto, en combinación con las bajas expectativas de peligro en los mensajes de texto, implica una menor atención a los mensajes de texto, por lo que sería más probable que el ataque tuviera éxito. En otras palabras, cuando las personas reciben un mensaje, es probable que olviden comprobar las señales de alerta y hagan clic sin pensar.

Finalmente, los mensajes SMS muestran son menos reveladores a la hora de reconocer una estafa. Cuando recibes un correo electrónico, puedes ver la dirección del remitente, evaluar el diseño y la configuración y considerar la veracidad del mensaje en general; es decir, puedes buscar las señales de alerta.

Con los textos, incluso los mensajes legítimos se parecen mucho entre ellos: los mensajes cortos con frecuencia emplean lenguaje no estándar y no tienen diseño. Además, los estafadores cuentan con las habilidades técnicas para falsificar de una forma realista la información del remitente al reemplazar el número real de este con uno falso.


Cómo puedes protegerte del smishing

Así como con el phishing, tienes a tu alcance una serie de defensas fuertes contra el smishing.

  • No hagas clic en enlaces o compartas tu información en una cadena de texto. Como regla general, cuanta menos actividad, mejor.

  • Utiliza la autentificación en dos pasos siempre que puedas. De esta forma, aunque roben tu contraseña, los delincuentes no podrán saquear tu cuenta.

  • Ponte en contacto con tu banco de inmediato si sospechas que los delincuentes han accedido a tu cuenta. El banco puede congelar tu tarjeta, cambiar tus contraseñas y aconsejarte sobre los siguientes pasos.

Para concluir, aquí dejamos algunas preguntas frecuentes que pueden aclarar cualquier duda restante.

¿Debería responder a los mensajes fraudulentos solo para que me eliminen de su lista de correo?

No lo hagas. Responder solo confirma que tu número telefónico está activo. Anular la suscripción podría ser difícil, incluso con empresas legítimas; no esperes un trato justo de las personas que violan la ley.

¿Y si no es smishing sino un mensaje importante de mi banco?

Si tienes dudas, ponte en contacto directamente con tu banco. Es poco probable que te hayan enviado ese mensaje, pero cuando te pongas en contacto con ellos, asegúrate de que obtienes el número de teléfono de una fuente oficial, como su sitio web. Sea cual sea la decisión que tomes, no utilices ninguna información de contacto de mensajes sospechosos.

¿Hay alguna forma de esquivar automáticamente el phishing en los mensajes SMS?

¡Claro que la hay! Desde hace mucho tiempo, múltiples soluciones de seguridad han utilizado filtros integrados para detectar enlaces sospechosos en mensajes de texto y aplicaciones de mensajería, infórmate y asegúrate de no perder dinero solo por bajar la guardia un segundo. Por ejemplo, podrías utilizar los filtros de Kaspersky Internet Security for Android.


Bibliografia: https://www.kaspersky.es/blog/how-to-protect-from-smishing/25146/