Smishing: el ciberataque que entra por el teléfono móvil

    Acepto y he leído la política de privacidad.Ver política.
    Responsable tratamiento: ESCUDA SGSI, S.L.
    Finalidad: venta de bienes, servicios y comunicación comercial.
    Derechos: entre otros, acceso, rectificación, supresión a escuda@escuda.es

    Acepto recibir información con fines publicitarios y de prospección comercial, incluido el envío de boletines y noticias (email, SMS y cualquier otro medio electrónico) sobre promociones y novedades de ESCUDA SGSI S.L. relacionados con servicios informáticos y ciberseguridad.

    Smishing: el ciberataque que entra por el teléfono móvil

    En el blog de ESCUDA hemos hablado anteriormente del phishing, una práctica englobada en la llamada ingeniería social. Este tipo de ciberataque suplanta la identidad de personas y empresas enviando mensajes falsos. Asociamos estos mensajes al correo electrónico, aunque también pueden llegar por móvil, en un SMS: Cuando esto ocurre nos encontramos ante el smishing. En las empresas, como para las personas, los teléfonos móviles son una herramienta muy usada, por esta razón el smishing también puede ser la puerta de entrada de un ciberataque.

    Smishing ciberataque teléfono móbil

    ¿Qué es el smishing?

    La palabra smishing es la combinación de dos palabras, SMS y phishing ya que es una variante de este tipo de ciberataque. Los ataques de phishing llegan por correo electrónico y nos piden clicar a enlaces maliciosos o bajarnos archivos que contienen malware. En el caso del smishing se trata de un mensaje SMS en el teléfono móvil, aunque también puede ser un mensaje de whatsapp.

    Igual que con el phishing, los mensajes de smishing utilizan la ingeniería social creando una identidad falsa, sea de una persona o de una empresa. El contenido suele ser un texto en el que se pide información sensible, por ejemplo, un banco que pide la clave de acceso a una cuenta. Otro tipo de mensaje de smishing puede solicitar la descarga de una aplicación cuando, en realidad, se trata de un malware que se instala el teléfono. Esta aplicación falsa puede pedir datos confidenciales personales o de la empresa. Finalmente, los mensajes de smishing también nos pueden pedir dirigirnos a una web falsa donde se piden datos sensibles.

    Sea cual sea el tipo de mensaje de smishing la finalidad siempre es la misma, llevar a cabo acciones perjudiciales contra el usuario o la organización en la que trabaja.

    Casos reales de smishing

    Consultando la hemeroteca reciente podemos informarnos de casos reales de smishing que nos ayudan a entender este tipo de ciberataque. En enero de 2021 se detectó una campaña de smishing suplantando al banco BBVA. El mensaje falso afirmaba que debido a una actualización se había suspendido la cuenta de cliente, para recuperarla había que entrar en un enlace e introducir el usuario y contraseña. Con la introducción de estos datos los hackers conseguían el acceso a la cuenta y podían robar dinero a la víctima.

    En la siguiente imagen se puede ver el mensaje utilizado en esta campaña de smishing. Si nos fijamos el enlace adjuntado intenta parecerse al dominio de la página web del BBVA pero no lo es. Además, hay una contradicción de género, afirma “para desbloquearlo” en masculino cuando la palabra cuenta es femenina.

    ejemplo smishing bbva
    Ejemplo de smishing: Un SMS engañoso que suplanta al banco BBVA

    Otra noticia relacionada con el smishing fue la desarticulación en marzo de una banda especializada que envió hasta 71.000 SMS fraudulentos. El grupo enviaba mensajes suplantando a bancos, operadoras telefónicas, empresas de logística y aseguradoras. La estafa empezaba con un SMS advirtiendo que las contraseñas que utilizaban para acceder al servicio serian canceladas si no accedían al enlace indicado. Si los hackers conseguían las credenciales deseadas creaban un duplicado de la tarjeta SIM de la línea móvil de la víctima. Con esta operación querían acceder a los códigos de validación que envían los bancos y podían operar sin que la víctima se diera cuenta. Con este sistema hacían transferencias bancarias y compras con las tarjetas bancarias de las víctimas.

    ¿Como prevenir el smishing?

    • No responder mensajes de texto a desconocidos
    • No clicar mensajes o números de teléfono que nos parezcan sospechosos
    • Evitar guardar datos o contraseñas bancarias en nuestro teléfono móvil
    • Ninguna institución financiera te va a pedir tus datos bancarios, si recibes un mensaje con esta petición no respondas y advierte al banco
    • Desconfía de alertas de seguridad urgentes, ofertas o canjeo de cupones que requieran una actuación rápida
    • No facilitar ninguna información personal a través de SMS
    • Ante cualquier mensaje sospechoso, contactar con la empresa o entidad que supuestamente lo ha enviado para verificar su autenticidad
    • Verificar la composición de los enlaces, si son fraudulentos no concordaran con la web de la empresa que afirma enviarlos
    • Tener en cuenta si está bien escrito el mensaje, los errores ortográficos son una señal de que el mensaje es fraudulento.

    Todas las empresas, sean PYMES o grandes empresas, utilizan en mayor o menor medida teléfonos móviles de empresa. La posibilidad de recibir un ataque por este flanco es muy real y por esta razón también hay que tomar medidas de prevención en este ámbito. El error humano es una de las principales entradas de los ciberataques en las empresas. Las herramientas tecnológicas, pero especialmente la formación y la concienciación en ciberseguridad de los trabajadores es la mejor defensa para prevenir ataques.

    En ESCUDA como especialistas en seguridad informática, ofrecemos las herramientas tecnológicas necesarias y la formación para concienciar a los trabajadores ante los peligros de la red. Si tu empresa necesita asesoramiento en ciberseguridad no dudes en contactarnos, llamando al 931 931 848 o rellenando este formulario.

    Fuentes: GenBeta324 y Kaspersky

    Más información:

    Concienciación en ciberseguridad de los empleados: un tema pendiente

    ¿Cuáles son las brechas de seguridad más comunes?

    10 terminos de ciberseguridad para las empresas ¿Los conóces?

    #escuda #smishing #IngenieríaSocial #ciberataque #SMS #malware #TeléfonosMóviles

    Puede que estos artículos te gusten

    ¿Te ha gustado este artículo?

    Comparte esta publicación con quien tú quieras