El smishing es un ataque de ingeniería social que utiliza mensajes de texto falsos para engañar a los usuarios con el fin de que descarguen malware, compartan información confidencial o envíen dinero a los ciberdelincuentes. El término "smishing" es una combinación de "SMS" (o "servicio de mensajes cortos", la tecnología detrás de los mensajes de texto) y "phishing".
Smishing es una forma cada vez más popular de ciberdelito. Según el informe Estado del phishing de 2023 de Proofpoint (enlace externo a ibm.com), El 76% de las organizaciones experimentaron ataques de smishing en 2022.
Varios factores han contribuido al incremento del smishing. Por un lado, los piratas informáticos que perpetran estos ataques, a veces denominados "smishers", saben que es más probable que las víctimas hagan clic en los mensajes de texto que en otros enlaces. Al mismo tiempo, los avances en los filtros de spam han dificultado que otras formas de phishing, como los correos electrónicos y las llamadas telefónicas, lleguen a sus objetivos.
El aumento de las modalidades de "traiga su propio dispositivo" (BYOD) y el trabajo remoto también han llevado a que más personas utilicen sus dispositivos móviles en el trabajo, lo que ha facilitado a los ciberdelincuentes el acceso a las redes de la empresa a través de los teléfonos móviles de los empleados.
Obtenga información para prepararse y responder a los ciberataques con mayor velocidad y eficacia con el índice IBM Security X-Force Threat Intelligence.
Regístrese para recibir el informe "Coste de una filtración de datos"
Los ataques de smishing son similares a otros tipos de ataques de phishing, en los que los estafadores utilizan mensajes falsos y enlaces maliciosos para engañar a las personas para que comprometan sus teléfonos móviles, cuentas bancarias o datos personales. La única diferencia principal es el medio. En los ataques de smishing, los estafadores utilizan SMS o aplicaciones de mensajería para llevar a cabo sus delitos cibernéticos en lugar de correos electrónicos o llamadas telefónicas.
Los estafadores eligen el smishing frente a otros tipos de ataques de phishing por varias razones. Quizás lo más importante es que las investigaciones muestran que es más probable que las personas hagan clic en los enlaces de los mensajes de texto. Klaviyo informa que las tasas de clics por SMS pasan el cursor entre el 8,9% y el 14,5 por ciento (enlace externo a ibm.com). Por comparación, los correos electrónicos tienen una tasa de clics promedio de solo el 1,33 por ciento, según Constant Contact (enlace externo a ibm.com).
Además, los estafadores pueden ocultar cada vez más los orígenes de los mensajes smishing utilizando tácticas como suplantar números de teléfono con teléfonos quemadores o utilizar software para enviar mensajes de texto por correo electrónico. También es más difícil detectar enlaces peligrosos en los teléfonos celulares. Por ejemplo, en una computadora, los usuarios pueden pasar el cursor sobre un enlace para ver a dónde conduce, pero en los teléfonos inteligentes, no tienen esa opción. La gente también está acostumbrada a que los bancos y las marcas se comuniquen con ellos a través de SMS y reciban URL abreviadas en mensajes de texto.
En 2020, la Comisión Federal de Comunicaciones (FCC) exigió que las empresas de telecomunicaciones adoptaran el protocolo STIR/SHAKEN (enlace externo a ibm.com), que autentifica las llamadas telefónicas y es la razón por la que algunos teléfonos móviles muestran ahora mensajes de "probable estafa" o "probable spam" cuando llaman números sospechosos.Pero aunque STIR/SHAKEN hizo que las llamadas fraudulentas fueran más fáciles de detectar, no tuvo el mismo efecto en los mensajes de texto, lo que llevó a muchos estafadores a centrarse en los ataques de smishing.
Al igual que otras formas de ingeniería social, la mayoría de los ataques de smishing se basan en pretextos, que consisten en utilizar historias falsas para manipular las emociones de las víctimas y engañarlas para que cumplan las órdenes del estafador.
Los estafadores pueden hacerse pasar por el banco de la víctima para alertarle de un problema con su cuenta, a menudo a través de una notificación falsa. Si la víctima hace clic en el enlace, accede a un sitio web o una aplicación falsos que roban información financiera confidencial, como PIN, credenciales de acceso, contraseñas e información sobre cuentas bancarias o tarjetas de crédito. En 2018, un grupo de estafadores (enlace externo a ibm.com) utilizó este método para robar 100.000 de dólares de los clientes de Fifth Third Bank.
Los estafadores pueden hacerse pasar por agentes de policía, representantes de Hacienda u otros funcionarios públicos. Estos mensajes de smishing suelen afirmar que la víctima debe una multa o debe actuar para reclamar un beneficio gubernamental. Por ejemplo, en plena pandemia de COVID-19, la Comisión Federal de Comercio (FTC) advirtió de ataques de smishing (enlace externo a ibm.com) que ofrecían desgravaciones fiscales, pruebas gratuitas de COVID y servicios similares. Cuando las víctimas accedían a los enlaces de estos textos, los estafadores les robaban sus números de la seguridad social y otros datos que podían utilizar para cometer robos de identidad.
Los atacantes se hacen pasar por agentes de atención al cliente de marcas y minoristas de confianza como Amazon, Microsoft o incluso el proveedor de servicios inalámbricos de la víctima. Suelen decir que hay un problema con la cuenta de la víctima o una recompensa o reembolso no reclamados. Por lo general, estos textos envían a la víctima a un sitio web falso que roba sus números de tarjeta de crédito o información bancaria.
Estos mensajes de suplantación de identidad afirman proceder de una empresa de transporte como FedEx, UPS o el Servicio Postal de Estados Unidos. Le dicen a la víctima que ha habido un problema con la entrega de un paquete y le piden que pague una "tasa de entrega" o que acceda a su cuenta para corregir el problema. Entonces los estafadores cogen el dinero o la información de la cuenta y huyen. Estas estafas son habituales durante las fiestas, cuando mucha gente espera paquetes.
En el compromiso de texto empresarial (similar al compromiso de correo electrónico empresarial, excepto por mensaje SMS), los hackers fingen ser un jefe, compañero de trabajo o colega, proveedor o abogado que necesita ayuda con una tarea urgente. Estas estafas suelen solicitar una acción inmediata y terminan con el envío de dinero de la víctima a los piratas informáticos.
Los estafadores envían un mensaje de texto que parece dirigido a alguien que no es la víctima. Cuando la víctima corrige el "error" del estafador, este entabla una conversación con la víctima. Estas estafas con números erróneos suelen ser a largo plazo, ya que el estafador intenta ganarse la amistad y la confianza de la víctima mediante contactos repetidos durante meses o incluso años. El estafador puede incluso fingir desarrollar sentimientos románticos por la víctima. El objetivo es eventualmente robar el dinero de la víctima a través de una oportunidad de inversión falsa, una solicitud de préstamo o una historia similar.
En esta estafa, denominada fraude de autenticación multifactor (MFA), un pirata informático que ya tiene el nombre de usuario y la contraseña de la víctima intenta robar el código de verificación o la contraseña de un solo uso necesarios para acceder a la cuenta de la víctima. El hacker podría hacerse pasar por uno de los amigos de la víctima, afirmar que ha sido bloqueado de su cuenta de Instagram o Facebook y pedir a la víctima que reciba un código para ellos. La víctima obtiene un código MFA, que en realidad es para su propia cuenta, y se lo da al hacker.
Algunas estafas de smishing engañan a las víctimas para que descarguen aplicaciones aparentemente legítimas (por ejemplo, gestores de archivos, aplicaciones de pago digital, incluso aplicaciones antivirus) que en realidad son malware o ransomware.
El phishing es un término amplio para los ciberataques que utilizan la ingeniería social para engañar a las víctimas para pagar dinero, entregar información confidencial o descargar malware. Smishing y vishing son solo dos tipos de ataques de phishing que los hackers pueden usar en sus víctimas.
La principal diferencia entre los diferentes tipos de ataques de phishing es el medio utilizado para llevar a cabo los ataques. En los ataques de smishing, los hackers se dirigen a sus víctimas exclusivamente mediante mensajes de texto o SMS, mientras que en los ataques de vishing (abreviatura de "phishing de voz"), los hackers utilizan la comunicación de voz, como llamadas telefónicas y mensajes de voz, para hacerse pasar por organizaciones legítimas y manipular a las víctimas.
Muchos expertos en ciberseguridad creen que el smishing se volverá más común en los próximos años. Lucia Milică, CISO de Proofpoint (enlace externo a ibm.com), cree que en los mercados de malware aparecerán herramientas de spam, lo que permitirá a los estafadores con menos conocimientos técnicos enviar mensajes de texto maliciosos.
Gartner predice (enlace externo a ibm.com) un aumento de los intentos de phishing "multicanal" que combinan texto, correo electrónico, llamadas telefónicas y otros canales de comunicación. Por ejemplo, se sabe que el Grupo Lazarus, una banda de hackers respaldada por Corea del Norte, utiliza tácticas multicanal. El grupo utilizaba perfiles falsos de LinkedIn para hacerse pasar por reclutadores de bolsas de criptomonedas (enlace externo a ibm.com), contactando con las víctimas con el pretexto de hablar de ofertas de empleo y luego trasladando las conversaciones de LinkedIn a SMS o WhatsApp, donde las engañaban para que descargaran troyanos u otro malware.
La FCC (enlace externo a ibm.com) está considerando una norma que obligue a los proveedores de servicios inalámbricos a bloquear los mensajes de spam. Pero mientras tanto, los individuos y las empresas pueden tomar medidas críticas para protegerse:
Soluciones de ciberseguridad móvil: Los sistemas operativos Android e iOS tienen protecciones y funciones integradas, como el bloqueo de apps no aprobadas y el filtrado de textos sospechosos a una carpeta de spam. A nivel organizativo, las empresas pueden utilizar soluciones de gestión unificada de endpoints (UEM) para establecer controles y políticas de seguridad móvil.
Formación en materia de seguridad: Formar a las personas para que reconozcan las señales de advertencia de ciberataques e intentos de smishing (como números de teléfono inusuales, URL inesperadas y una mayor sensación de urgencia) puede ayudar a proteger una organización. La formación también puede establecer normas para el tratamiento de datos sensibles, la autorización de pagos y la verificación de solicitudes antes de actuar sobre ellas.
Detenga las amenazas de seguridad móvil en cualquier dispositivo al tiempo que crea experiencias fluidas para los usuarios y mantiene eficientes a los equipos de TI y seguridad.
Detecte el ransomware antes de que pueda mantener sus datos como rehenes (y tome medidas inmediatas e informadas para prevenir o minimizar los efectos del ataque) con IBM Security QRadar SIEM.
Mejore la investigación y el triaje de alertas con IBM Security QRadar Suite, una selección modernizada de tecnologías de seguridad que ofrece una experiencia de analista unificada e IA y automatización integradas.
Las estafas de phishing engañan a las víctimas para que divulguen datos confidenciales, descarguen malware y se expongan a sí mismas o a sus organizaciones a la ciberdelincuencia.
Los ataques de ingeniería social dependen de la naturaleza humana en lugar de los hackers técnicos para manipular a las personas y poner en peligro su seguridad personal o la de una red empresarial.
La seguridad de los dispositivos móviles se refiere a estar libre de peligro o riesgo de pérdida de activos o datos utilizando ordenadores móviles y hardware de comunicación.