De hecho, en estas mismas líneas os vamos a hablar del smishing, una técnica de ataque cada vez más utilizada y común de la que seguro muchos de vosotros habéis sido víctimas sin daros cuenta. Como suele ser habitual, en este caso los atacantes lo que buscan es hacerse con datos privados para hacer un mal uso de los mismos, venderlos, o incluso robarnos dinero. A continuación, os vamos a explicar de qué se trata y cómo podréis evitar todo ello en la medida de lo posible.
-¿Qué es el smishing y cómo nos llega?
Lo primero que debemos tener en consideración es que en este caso concreto nos referimos a un tipo de ataque informático que en la mayoría de las ocasiones nos llega a través de un SMS al móvil. Por tanto, este tipo de dispositivos que llevamos en el bolsillo casi siempre, son los que se utilizan como vía de llegada para este tipo de malware. De hecho, podríamos decir que esta es un término que viene de la combinación de SMS y phishing.
Por tanto, podríamos afirmar que el smishing es un derivado de los conocidos ataques phishing centrados en los mensajes cortos que llegan en nuestro móvil. De esta manera los atacantes envían mensajes de texto engañosos con el fin de convencer de un modo u otro a las potenciales víctimas para compartir información personal y financiera. Precisamente por todo ello os decíamos antes que seguramente en más de una ocasión habéis sido víctimas, o al menos os han intentado engañar con esta técnica de ataque.
-¿Cuáles son los objetivos de estos ataques?
Evidentemente el mensaje de texto o SMS del que os hablamos no viene vacío. El mismo nos llega a través de un ciberdelincuente simulando ser una entidad legítima como una red social, nuestro banco, la compañía eléctrica, una institución pública, etc. Todo ello tiene como principal objetivo robarnos información privada que luego se vende o se usa para algún tipo de estafa.
En la mayoría de las ocasiones este mensaje incluye una web falsa donde se solicitan los datos personales que se desean robar, incluidos los bancarios. Aquí también se pueden incluir informaciones relacionadas con la acreditación en diferentes servicios online que posteriormente se envían al servidor del atacante. Así, al hacer clic en estos enlaces falsos, es cuando se descarga software o aplicaciones dañinas al terminal.
Y es que al igual que los ataques phishing basados en el correo electrónico, estos SMS engañosos parece que vienen de fuentes fiables. Además, utilizan técnicas de urgencia, curiosidad o miedo para manipular a la víctima y que así proporcione los datos personales casi sin darse cuenta. Aquí se incluyen documentos oficiales como el DNI o el permiso de conducir, credenciales de acceso a plataformas, nuestro número de la Seguridad Social, o incluso datos bancarios.
No solo eso, en ciertas ocasiones el mensaje de texto que os comentamos del ataque tipo smishing, nos invita a llamar a un número de teléfono. Ya sea por el miedo o la urgencia que intenta hacernos sentir el SMS, no nos damos cuenta de que se trata de un número de tarificación especial.
-Tipos habituales de smishing
Este es un tipo de ataque que lleva varios años entre nosotros intentando engañar a millones de víctimas de todo el mundo. De ahí que haya varios formatos para intentar convencer a las potenciales víctimas de que compartan sus datos privados, y son los siguientes:
- Verificación de cuentas: En este caso la potencial víctima recibe un mensaje donde la empresa supuestamente de confianza nos advierte sobre actividades no autorizadas y nos insta a verificar los datos personales de la cuenta.
- Premios: También nos puede llegar un SMS falso en el que nos notifican que hemos ganado un premio y para reclamarlo debemos proporcionar datos personales. A veces incluso nos piden una pequeña cantidad de dinero para cobrar luego el total.
- Soporte técnico: Aquí los usuarios reciben un mensaje advirtiéndoles de un problema con el dispositivo y nos hacen llamar a un número de asistencia técnica.
- Fraude bancario: En principio aquí recibimos un mensaje de nuestro banco advirtiendo sobre transacciones no autorizadas o sospechosas y nos solicitan las correspondientes credenciales de acceso a nuestra cuenta.
Estafas fiscales. En las fechas en las que hacemos en la declaración de la renta se convierten en habituales los SMS supuestamente de la Agencia Tributaria. Estos amenazan con sanciones e invitan a los usuarios a proporcionar datos personales o financieros para evitarlas.
-Así evitas las estafas de este tipo
Cada vez estamos más acostumbrados a este tipo de ataques, pero sigue habiendo víctimas engañadas por los atacantes. De ahí que sea preferible que tomemos algunas medidas para así evitar el smishing del que os hemos hablado en estas líneas. Lo primero es no entrar en pánico cuando recibimos un mensaje de texto de estas características. En caso de duda siempre es recomendable ponernos en contacto con la entidad que supuestamente nos lo envía para confirmar la procedencia del mismo. Por ejemplo, esto lo podemos hacer a través del teléfono oficial de la entidad.
Además, es importante saber que la Agencia Tributaria, nuestra compañía eléctrica o el banco, nunca nos pedirá credenciales de acceso por esta vía ni por ninguna otra. A su vez nunca deberíamos proporcionar nuestros datos bancarios ni cuando la entidad nos los pida vía mensaje de texto o correo electrónico. Es más, generalmente si nos fijamos en las direcciones de Internet adjuntas a estos SMS, enseguida nos daremos cuenta de que no son legítimas. Basta con que mantengamos la calma y comprobemos la URL con detenimiento.