Aumentan las campañas de smishing, un tipo de fraude electrónico que debe su nombre a la combinación de los términos SMS y phishing.
Más concretamente, y según señala la compañía de ciberseguridad Sophos, el smishing es una técnica de ingeniería social por la cual los ciberdelincuentes atacan de forma masiva y dirigida a muchos usuarios mediante un SMS en el que simulan ser un destinatario legítimo como un banco, una red social, un organismo público o una aplicación de uso extendido. Asimismo, apunta que el objetivo de este tipo de ataques es robar información privada o realizar cargos económicos en las cuentas de la víctima, instando al usuario a acceder a un enlace web falso o a introducir sus credenciales para confirmar su cuenta.
"Lo que hace tan peligroso este tipo de ciberataques es la falta de costumbre y prevención por parte de los usuarios", advierte la compañía.
En este sentido, Sophos también indica que mientras que los ataques de phishing o spam son muy habituales en los correos electrónicos, los SMS siguen siendo considerados por los usuarios como envíos legítimos, ya que suelen utilizarse para comunicación personal, notificaciones del banco, líneas áreas o códigos de un solo uso para validar operaciones o accesos.
"Los atacantes utilizan los SMS porque son baratos, es fácil obtener listados de teléfono y se pueden programar para enviar de forma masiva. Además, tienen un punto a su favor por encima de los emails fraudulentos, lo poco acostumbrados que estamos a ellos. Con el tiempo los SMS se han abaratado, es más, no sería descabellado pensar que los cibercriminales hubiesen conseguido acceder a pasarelas de SMS vulneradas para su envío de forma gratuita", señala Alberto R. Rodas, Director de Ingeniería de Sophos para España y Portugal.
Consejos para no ser víctima de un ciberataque de smishing
Recientemente, los expertos de ciberseguridad de Sophos han detectado varios ejemplos de smishing. "Entre ellos, bancos y empresas de mensajería son los principales 'ganchos' pero también se utilizan para el robo de cuentas de WhatsApp u otras redes sociales en las que se solicita que el usuario responda con el código que acaba de recibir para la verificación de la cuenta", precisa la compañía.
Ante el aumento de la vulnerabilidad y con el fin de ayudar a los usuarios a no sufrir un ciberataque de smishing, Sophos ha ofrecido estas recomendaciones:
- No te fíes del remitente. El remitente de un SMS puede ser modificado para poner lo que los cibercriminales quieran, como, por ejemplo: "01Correos". Si bien hay algún avance para evitar esto, todavía no está en vigor, así qué, ante la duda, no confíes en lo que ponga en el remitente.
- Si te piden hacer algo, sospecha. Todo SMS que nos pida realizar una acción deber ser considerado sospechoso. Una cosa es un SMS de notificación ("su paquete ha sido enviado") y otra muy distinta es que soliciten realizar una acción con algún tipo de amenaza como la cancelación del pedido, de una tarjeta o de una cuenta.
- La urgencia es una señal de alarma. Una técnica muy habitual en ingeniería social, además de utilizar la autoridad haciéndose pasar por un servicio con verosimilitud (correos, el banco, etc.) es la urgencia. En los ataques de smishing nos apremian a realizar una acción de forma inmediata, reduciendo nuestro tiempo para pensar o realizar las oportunas verificaciones.
- Protege tu móvil. Disponer de un sistema de protección para móviles permite a los usuarios contar con una capa extra de seguridad para bloquear este tipo de ataques.