Smishing vs. Phishing: cómo mantenerse seguro

Los estafadores han mejorado su uso de mensajes SMS para obtener información de tarjetas bancarias y contraseñas de banca en línea.

En vista de que el smishing está en su apogeo, los medios en Estados Unidos, Italia e Brasil han estado publicando historias alarmantes sobre estafas nuevas. La policía alemana incluso emitió una advertencia oficial sobre una de estas campañas.

Este fenómeno ha cosechado sumas enormes, como lo demuestra su popularidad en las búsquedas. Entonces, ¿qué es smishing?

Aumento de la popularidad del “smishing” en Google en los últimos años

 

¿Qué es smishing y cómo funciona?

Smishing es phishing que se esparce mediante mensajes de texto (SMS) en lugar de correo electrónico; de ahí el término smishing (SMS + phishing). Algunas clasificaciones incluyen al phishing por aplicaciones de mensajería como parte del smishing, pero nosotros lo consideramos como una categoría independiente, por lo que no lo analizaremos hoy.

El objetivo, así como con otros intentos de phishing, es engañar a los destinatarios para que divulguen información confidencial, generalmente su contraseña de banca en línea o información de tarjeta bancaria. Para este fin, los estafadores envían mensajes de texto, casi siempre sobre un problema ficticio (un problema de entrega, una factura no pagada o una cuenta bloqueada, por ejemplo), que el destinatario puede resolver al hacer clic en un enlace. Después de esto, puede pasar una de dos cosas:

  • En el escenario 1, la víctima se infecta con malware disfrazado de una solicitud legítima, pero cuyo objetivo real es solicitar información importante.
  • En el escenario 2, la víctima ingresa a una página web disfrazada de un sitio web legítimo, pero cuyo objetivo real es solicitar información importante.

La elección de escenario depende de la zona de confort del estafador: malware o sitios web falsos. El resultado para la víctima es el mismo de cualquier manera. Estafas similares han resultado en el robo de miles de dólares, euros, y libras. ¿Por qué el phishing por SMS se ha vuelto tan popular, y por qué es más peligroso que el phishing típico?

¿Por qué el smishing es más peligroso que el phishing típico?

La mayoría de nosotros ya estamos más o menos acostumbrados al phishing, y, en general, la gente sabe cómo reconocerlo y evitarlo. Los mensajes de texto son un canal más inesperado para estafas, de manera que es menos probable que las personas piensen que un mensaje corto podría ser una estafa.

Más allá de esto, si bien la gente confía más en los mensajes de texto, estos tienden a ser menos seguros que el correo electrónico. En la actualidad, cualquier servicio de correo electrónico de mediana calidad tiene un filtro de spam inteligente. Los filtros no son perfectos, pero los estafadores necesitan seguir inventando nuevas maniobras para burlarlos. Desafortunadamente, la flexibilidad y precisión de los filtros de spam de los operadores móviles dejan mucho que desear.

Además, generalmente las personas leen sus mensaje de texto sobre la marcha, o entre tareas. Esto, en combinación con bajas expectativas de peligro en los mensaje de texto, significa que prestan menos atención a los mensaje de texto, por lo que sería más probable que el ataque tuviera éxito. En otras palabras, cuando las personas reciben un mensaje, es probable que olviden verificar las señales de alerta y hagan clic sin pensar.

Finalmente, los mensaje SMS muestran menos señales que ayudarían a reconocer una estafa. Cuando recibes un correo electrónico, puedes ver la dirección del remitente, evaluar el diseño y la configuración, y considerar qué tan factible es el mensaje en general; es decir, puedes buscar las señales de alerta.

Con los textos, incluso los mensajes legítimos se parecen mucho entre ellos: los mensajes cortos con frecuencia emplean lenguaje no estándar y no tienen diseño. Además, los estafadores cuentan con las habilidades técnicas para falsificar de manera realista la información del remitente al reemplazar el número real de éste con uno falso.

Cómo puedes protegerte del smishing

Así como con el phishing, tienes a tu alcance defensas fuertes contra el smishing,

  • No hagas clic en enlaces o compartas tu información en una cadena de texto. Como regla general, mientras menos actividad, mejor.
  • Utiliza autenticación de dos factores siempre que puedas. De esta manera, incluso si roban tu contraseña, los criminales no podrán saquear tu cuenta.
  • Comunícate con tu banco de inmediato si sospechas que los criminales han accedido a tu cuenta. El banco puede congelar tu tarjeta, cambiar tus contraseñas y aconsejarte sobre qué hacer después.

Para cerrar, dejamos algunas preguntas frecuentes para aclarar cualquier duda restante.

¿Debería responder a mensajes fraudulentos solo para que me eliminen de su lista de correos?

No lo hagas. Responder solo confirma que tu número telefónico está activo. Anular la suscripción podría ser difícil, incluso con empresas legítimas; no esperes un trato justo de las personas que violan la ley.

¿Y si no es smishing sino un mensaje importante de mi banco?

Si tienes dudas, ponte en contacto directamente con tu banco. Es poco probable que te hayan enviado ese mensaje, pero cuando te pongas en contacto con ellos, asegúrate de que obtengas el número de teléfono de una fuente oficial, como su sitio web. Sea cual sea la decisión que tomes, no utilices ninguna información de contacto de mensajes sospechosos.

¿Hay una manera de filtrar automáticamente el phishing mediante mensajes SMS?

¡Claro que la hay! Desde hace mucho tiempo, múltiples soluciones de seguridad han utilizado filtros integrados para detectar enlaces sospechosos en mensajes de texto y aplicaciones de mensajería, advertirte sobre estos y asegurarse de que no pierdas dinero solo porque bajaste la guardia un segundo. Por ejemplo, te beneficiarías de estos filtros en Kaspersky Internet Security for Android.

Consejos