Smishing es un ataque de ingeniería social que utiliza mensajes de texto móviles falsos para engañar a las personas a que descarguen malware, compartan información confidencial o envíen dinero a delincuentes cibernéticos. El término "smishing" es una combinación de "SMS" (o "servicio de mensajes cortos", la tecnología detrás de los mensajes de texto) y "phishing".
El smishing es una forma cada vez más popular de delincuencia cibernética. Según el informe State of the Phish del 2023 de Proofpoint (enlace externo a ibm.com), el 76 % de las organizaciones experimentaron ataques de smishing en 2022.
Varios factores han contribuido al aumento del smishing. Para uno, los hackers que perpetran estos ataques, a veces llamados "smishers", saben que las víctimas son más propensas a hacer clic en mensajes de texto que en otros enlaces. Al mismo tiempo, los avances en los filtros de spam han dificultado que otras formas de phishing, como correos electrónicos y llamadas telefónicas, alcancen sus objetivos.
El aumento del sistema "trae tu propio dispositivo" (BYOD) y de los acuerdos de trabajo a distancia también ha hecho que más personas utilicen sus dispositivos móviles en el trabajo, lo que facilita a los delincuentes cibernéticos el acceso a las redes de las empresas a través de los teléfonos móviles de los empleados.
Obtenga insights para prepararse y responder a los ciberataques con mayor velocidad y eficacia con el índice de IBM Security X-Force Threat Intelligence.
Regístrese para recibir el informe sobre el costo de una filtración de datos
Los ataques de smishing son similares a otros tipos de ataques de phishing, en los que los estafadores utilizan mensajes falsos y enlaces malignos para engañar a las personas para que comprometan sus teléfonos móviles, cuentas bancarias o datos personales. La única diferencia principal es el medio. En los ataques de smishing, los estafadores utilizan SMS o aplicaciones de mensajería para llevar a cabo sus ciberdelitos en lugar de correos electrónicos o llamadas telefónicas.
Los estafadores eligen smishing sobre otros tipos de ataques de phishing por diversas razones. Quizás lo más importante es que la investigación muestra que las personas son más probable que hagan clic en los enlaces en los mensajes de texto. Klaviyo informa que las tasas de clics de SMS oscilan entre 8,9 % y 14,5 % (enlace externo a ibm.com ). En comparación, los correos electrónicos tienen una tasa de clics promedio de solo 1,33 %, según Constant Contact (enlace externo a ibm.com).
Además, los estafadores pueden enmascarar cada vez más los orígenes de los mensajes sonrientes usando tácticas como falsificar números de teléfono con teléfonos quemadores o utilizar software para enviar mensajes de texto por correo electrónico. También es más difícil detectar enlaces peligrosos en los teléfonos celulares. Por ejemplo, en una computadora, los usuarios pueden pasar el cursor sobre un enlace para ver a dónde conduce, pero en los teléfonos inteligentes, no tienen esa opción. Las personas también se usan para bancos y marcas que se comunican con ellos por SMS y reciben URL acortadas en mensajes de texto.
En 2020, la Comisión Federal de Comunicaciones (FCC) exigió que las empresas de telecomunicaciones adopten el protocolo STIR/SHAKEN (enlace externo a ibm.com), que autentica llamadas telefónicas y es la razón por la que algunos teléfonos móviles ahora muestran "mensajes probables de estafa" o "spam probable" cuando llaman números sospechosos. Pero aunque STIR/SHAKEN hizo que las llamadas fraudulentas fueran más fáciles de detectar, no tuvo el mismo efecto en los mensajes de texto, lo que llevó a muchos estafadores a centrarse en los ataques de smishing.
Al igual que otras formas de ingeniería social, la mayoría de los ataques de smishing se basan en pretextos, que consisten en utilizar historias falsas para manipular las emociones de las víctimas y engañarlas para que cumplan las órdenes del estafador.
Los estafadores pueden presentarse como el banco de la víctima para alertarla sobre un problema con su cuenta, a menudo a través de una notificación falsa. Si la víctima hace clic en el enlace, la lleva a un sitio web o aplicación falso que roba información financiera confidencial como PIN, credenciales de inicio de sesión, contraseñas e información de cuenta bancaria o tarjeta de crédito. En 2018, un grupo de estafadores (enlace externo a ibm.com) utilizó este método para robar 100 000 USD de los clientes de Fifth Third Bank.
Los estafadores pueden fingir ser oficiales de policía, representantes del IRS u otros funcionarios gubernamentales. Estos mensajes de texto smishing a menudo afirman que la víctima debe una multa o debe actuar para reclamar un beneficio gubernamental. Por ejemplo, en el punto álgido de la pandemia de COVID-19, la Comisión Federal de Comercio (FTC) advirtió sobre ataques de smishing (enlace externo a ibm.com) que ofrecieron ayuda fiscal, pruebas gratuitas de COVID y servicios similares. Cuando las víctimas seguían los enlaces incluidos en los mensajes de texto, los estafadores robaban sus números de seguro social y otros datos que podían usar para cometer robo de identidad.
Los atacantes se hacen pasar por agentes de atención al cliente de marcas y minoristas de confianza como Amazon, Microsoft o incluso el proveedor de servicio móvil de la víctima. Normalmente dicen que hay un problema con la cuenta de la víctima o con una recompensa o reembolso sin reclamar. Por lo general, estos mensajes de texto envían a la víctima a un sitio web falso que roba los números de su tarjeta de crédito o información bancaria.
Estos mensajes de smishing afirman proceder de una empresa de transporte como FedEx, UPS o el Servicio Postal de Estados Unidos. Le dicen a la víctima que hubo un problema al entregar un paquete y le pide que pague una "tarifa de entrega" o que inicie sesión en su cuenta para corregir el problema. Luego, los estafadores toman el dinero o la información de la cuenta y huyen. Estas estafas son comunes en los días festivos cuando muchas personas esperan paquetes.
En el caso del business text compromise (o ataque mediante SMS, similar al business email compromise, que se realiza mediante correo electrónico y está dirigido a empresas), los hackers son un jefe, compañero de trabajo o colega, proveedor o abogado que necesita ayuda con una tarea urgente. Estas estafas a menudo solicitan acciones inmediatas y terminan con la víctima que envía dinero a los hackers.
Los estafadores envían un mensaje de texto que parece estar destinado a alguien que no sea la víctima. Cuando la víctima corrige el "error" del estafador, el estafador inicia una conversación con la víctima. Estas estafas con números erróneos suelen ser a largo plazo, y el estafador intenta ganarse la amistad y la confianza de la víctima mediante contactos repetidos durante meses o incluso años. El estafador puede incluso fingir desarrollar sentimientos románticos por la víctima. El objetivo es finalmente robar el dinero de la víctima a través de una oportunidad de inversión falsa, una solicitud de préstamo o una historia similar.
En esta estafa, llamada fraude de autenticación multifactor (MFA), un hacker que ya tiene el nombre de usuario y la contraseña de una víctima intenta robar el código de verificación o la contraseña de un solo uso necesaria para acceder a la cuenta de la víctima. El hacker podría presentarse como uno de los amigos de la víctima, afirmar que su cuenta de Instagram o Facebook ha sido bloqueada y pedirle a la víctima que reciba un código él. La víctima obtiene un código MFA, que en realidad es para su propia cuenta, y se lo da al hacker.
Algunas estafas de smishing engañan a las víctimas para que descarguen aplicaciones aparentemente legítimas, como administradores de archivos, aplicaciones de pago digital, incluso aplicaciones antivirus que, de hecho, son malware o ransomware.
El phishing es un término amplio para los ataques cibernéticos que utilizan la ingeniería social para engañar a las víctimas para que paguen dinero, entreguen información confidencial o descarguen malware. Smishing y vishing son solo dos tipos de ataques de phishing que los hackers pueden usar en sus víctimas.
La principal diferencia entre los diferentes tipos de ataques de phishing es el medio utilizado para llevar a cabo los ataques. En los ataques de smishing, los hackers se dirigen a sus víctimas exclusivamente mediante mensajes de texto o SMS, mientras que en los ataques de vishing (abreviatura de "phishing de voz"), los hackers utilizan la comunicación de voz, como llamadas telefónicas y mensajes de voz, para hacerse pasar por organizaciones legítimas y manipular a las víctimas.
Muchos expertos en ciberseguridad creen que el smishing se volverá más común en los próximos años. La Proofpoint de CISO Lucia Milică (enlace externo a ibm.com) cree que aparecerán herramientas de smishing en los mercados de malware, lo que permitirá a los estafadores con menos conocimientos técnicos enviar mensajes de texto malignos.
Gartner pronostica (enlace externo a ibm.com) un aumento en los intentos de phishing "multicanal" que combinan texto, correo electrónico, llamadas telefónicas y otros canales de comunicación. Por ejemplo, se sabe que el Grupo Lazarus, una banda de hackers respaldada por Corea del Norte, utiliza tácticas multicanal. El grupo utilizó perfiles falsos de LinkedIn para hacerse pasar por reclutadores para el intercambio de criptomonedas (enlace externo a ibm.com), contactaba a las víctimas con el pretexto de analizar ofertas de trabajo y luego trasladar las conversaciones de LinkedIn a SMS o WhatsApp, donde las engañaron para que descargaran virus troyanos u otro malware.
La FCC (enlace externo a ibm.com) está considerando una regla que requiere que los proveedores de servicio móvil bloqueen los mensajes de texto que sean spam. Pero mientras tanto, los individuos y las empresas pueden tomar medidas críticas para protegerse:
Soluciones deciberseguridad para dispositivos móviles: Los sistemas operativos Android e iOS tienen protecciones y funciones incorporadas, como bloquear aplicaciones no aprobadas y filtrar textos sospechosos para enviarlos a una carpeta de spam. A nivel organizacional, las empresas pueden utilizar soluciones de gestión unificada de endpoints (UEM) para establecer políticas y controles de seguridad móvil.
Capacitación de concientización sobre seguridad: Capacitar a las personas para que reconozcan las señales de advertencia de los ataques cibernéticos y los intentos de smishing, como números de teléfono inusuales, URL inesperadas y una mayor sensación de urgencia, puede ayudar a proteger a una organización. La capacitación también puede establecer reglas para manejar datos confidenciales, autorizar pagos y verificar solicitudes antes de actuar en ellos.
Detenga las amenazas a la seguridad móvil en cualquier dispositivo a la vez que crea experiencias sin fricciones para los usuarios y mantiene la eficiencia de los equipos de TI y seguridad.
Detecte el ransomware antes de que pueda mantener sus datos como rehenes (y tome medidas inmediatas e informadas para prevenir o minimizar los efectos del ataque) con IBM Security QRadar SIEM.
Mejore la investigación y la clasificación de alertas con IBM Security QRadar Suite, una selección modernizada de tecnologías de seguridad que ofrece una experiencia de análisis unificada, con inteligencia artificial y automatización integradas.
Las estafas de phishing engañan a las víctimas para que divulguen datos confidenciales, descarguen malware y se expongan a sí mismas y a sus organizaciones a los delitos cibernéticos.
Los ataques de ingeniería social se basan en la naturaleza humana en lugar del hackeo técnico para manipular a las personas para que comprometan su seguridad personal o la seguridad de una red empresarial.
La seguridad de los dispositivos móviles se refiere a estar libre del peligro o riesgo de una pérdida de activos o de datos utilizando computadoras móviles y hardware de comunicación.