¿Qué es el smishing (phishing por SMS)?

El smishing es una forma de ciberdelito que está cada vez más extendida. Según el informe State of the Phish 2024 de Proofpoint, el 75 % de las organizaciones experimentaron ataques de smishing en 2023.¹

Varios factores han contribuido al incremento del smishing. Por un lado, los piratas informáticos que perpetran estos ataques, a veces denominados "smishers", saben que es más probable que las víctimas hagan clic en los mensajes de texto que en otros enlaces. Al mismo tiempo, los avances en los filtros de spam han dificultado que otras formas de phishing, como los correos electrónicos y las llamadas telefónicas, lleguen a sus objetivos. 

El aumento de las modalidades "traiga su propio dispositivo" (BYOD) y el trabajo remoto también han llevado a que más personas utilicen sus dispositivos móviles en el trabajo, lo que ha facilitado a los ciberdelincuentes el acceso a las redes de la empresa a través de los teléfonos móviles de los empleados.

Los ataques de smishing son similares a otros tipos de ataques de phishing, en los que los estafadores utilizan mensajes falsos y enlaces maliciosos para engañar a la gente y comprometer sus teléfonos móviles, cuentas bancarias o datos personales. La principal diferencia es el medio. En los ataques de smishing, los estafadores utilizan SMS o aplicaciones de mensajería para llevar a cabo sus ciberdelitos en lugar de correos electrónicos o llamadas telefónicas.

Los estafadores eligen el smishing frente a otros tipos de ataques de phishing por varias razones. Los estudios demuestran que es más probable que la gente haga clic en los enlaces de los mensajes de texto. Klaviyo informa de que las tasas de clics por SMS oscilan entre el 8,9 % y el 14,5 %.² En comparación, los correos electrónicos tienen una tasa media de clics del 2 %, según Constant Contact.³

Además, los estafadores pueden enmascarar el origen de los mensajes de smishing mediante tácticas como la suplantación de números de teléfono con teléfonos desechables o el uso de software para enviar textos por correo electrónico.

También es más difícil detectar enlaces peligrosos en los móviles. En un ordenador, los usuarios pueden pasar el cursor sobre un enlace para ver a dónde conduce. En los smartphones, no tienen esa opción. La gente también está acostumbrada a que los bancos y las marcas se pongan en contacto con ellos a través de SMS y a recibir URL acortadas en mensajes de texto.

En 2020, la Comisión Federal de Comunicaciones (FCC) exigió que las empresas de telecomunicaciones adoptaran el protocolo STIR/SHAKEN. STIR/SHAKEN autentica las llamadas telefónicas y es la razón por la que algunos teléfonos móviles muestran ahora mensajes de "probable estafa" o "probable spam" cuando llaman números sospechosos.

Pero aunque esta regla facilitaba la detección de las llamadas fraudulentas, no tenía el mismo efecto en los mensajes de texto, lo que llevó a muchos estafadores a centrarse en los ataques de smishing.

Al igual que otras formas de ingeniería social, la mayoría de los ataques de smishing se basan en pretextos, que consisten en utilizar historias falsas para manipular las emociones de las víctimas y engañarlas para que cumplan las órdenes del estafador.

Los estafadores pueden hacerse pasar por el banco de la víctima para alertarle de un problema con su cuenta, a menudo a través de una notificación falsa. Si la víctima hace clic en el enlace, accede a un sitio web o una aplicación falsos que roban información financiera confidencial, como PIN, credenciales de acceso, contraseñas e información sobre cuentas bancarias o tarjetas de crédito.

Según la Comisión Federal de Comercio (FTC), la suplantación de identidad bancaria es la estafa de mensajes de texto más común, ya que representa el 10 % de todos los mensajes de smishing.⁴

Los estafadores pueden hacerse pasar por agentes de policía, representantes de Hacienda u otros funcionarios del gobierno. Estos mensajes de smishing suelen afirmar que la víctima debe una multa o tiene que actuar para reclamar un beneficio gubernamental.

Por ejemplo, en abril de 2024, la Oficina Federal de Investigación (FBI) emitió una advertencia sobre una estafa de smishing dirigida a los conductores estadounidenses.⁵ Los estafadores envían mensajes de texto que fingen proceder de agencias de cobro de peajes y afirman que su objetivo debe peajes impagados. Los mensajes contienen un enlace a un sitio falso que roba el dinero y la información de las víctimas.

Los atacantes se hacen pasar por agentes de atención al cliente de marcas y minoristas fiables como Amazon, Microsoft o incluso el proveedor de servicios inalámbricos de la víctima. Suelen decir que hay un problema con la cuenta de la víctima o una recompensa o reembolso no reclamados. Por lo general, estos textos envían a la víctima a un sitio web falso que roba sus números de tarjeta de crédito o información bancaria.

Estos mensajes de suplantación de identidad afirman proceder de una empresa de transporte como FedEx, UPS o el Servicio Postal de Estados Unidos. Le dicen a la víctima que hay un problema con la entrega de un paquete y le piden que pague una "tarifa de entrega" o que acceda a su cuenta para corregir el problema. Entonces, los estafadores cogen el dinero o la información de la cuenta y huyen. Estas estafas son comunes durante las fiestas cuando mucha gente espera paquetes.

En el compromiso de texto empresarial (similar al compromiso de correo electrónico empresarial, excepto por mensaje SMS), los hackers fingen ser un jefe, compañero de trabajo o colega, proveedor o abogado que necesita ayuda con una tarea urgente. Estas estafas suelen solicitar una acción inmediata y terminan con el envío de dinero de la víctima a los hackers.

Los estafadores envían un mensaje de texto que parece dirigido a alguien que no es la víctima. Cuando la víctima corrige el "error" del estafador, este entabla una conversación con la víctima.

Estas estafas con números erróneos suelen ser a largo plazo, ya que el estafador intenta ganarse la amistad y la confianza de la víctima mediante contactos repetidos durante meses o incluso años. El estafador podría fingir incluso desarrollar sentimientos románticos por la víctima. El objetivo es robar el dinero de la víctima a través de una oportunidad de inversión falsa, una solicitud de préstamo o una historia similar.

En esta estafa, denominada fraude de autenticación multifactor (MFA), un pirata informático que ya tiene el nombre de usuario y la contraseña de la víctima intenta robar el código de verificación o la contraseña de un solo uso necesarios para acceder a la cuenta de la víctima.

El hacker podría hacerse pasar por uno de los amigos de la víctima, afirmar que ha sido bloqueado de su cuenta de Instagram o Facebook y pedir a la víctima que reciba un código para ellos. La víctima obtiene un código MFA, que en realidad es para su propia cuenta, y se lo da al hacker.

Algunas estafas de smishing engañan a las víctimas para que descarguen aplicaciones aparentemente legítimas (por ejemplo, gestores de archivos, aplicaciones de pago digital, incluso aplicaciones antivirus) que en realidad son malware o ransomware.

El phishing es un término amplio para los ciberataques que utilizan la ingeniería social para engañar a las víctimas para pagar dinero, entregar información confidencial o descargar malware. Smishing y vishing son solo dos tipos de ataques de phishing que los hackers pueden usar en sus víctimas.

La principal diferencia entre los diferentes tipos de ataques de phishing es el medio utilizado para llevarlos a cabo. En los ataques de smishing, los hackers se dirigen a sus víctimas utilizando mensajes de texto o SMS. En los ataques de vishing (abreviatura de "phishing de voz"), los hackers utilizan la comunicación por voz, como llamadas telefónicas y mensajes de voz, para hacerse pasar por organizaciones legítimas y manipular a las víctimas.

Para ayudar a combatir las estafas de smishing, la FCC adoptó una nueva regla que exige a los proveedores de servicios inalámbricos que bloqueen los posibles mensajes de spam de números sospechosos, incluidos números de teléfono no utilizados o inválidos⁶.

Sin embargo, ningún filtro de spam es perfecto y los ciberdelincuentes siempre están buscando formas de eludir estas medidas. Los individuos y las organizaciones pueden tomar medidas adicionales para fortalecer sus defensas contra los ataques de smishing, que incluyen:

Los sistemas operativos Android e iOS tienen protecciones y funciones integradas, como el bloqueo de aplicaciones no aprobadas y el filtrado de textos sospechosos a una carpeta de spam.

A nivel organizativo, las empresas pueden utilizar soluciones de gestión unificada de endpoints (UEM) y herramientas de detección del fraude para establecer controles de seguridad móvil, aplicar políticas de seguridad y interceptar actividades maliciosas.

Las organizaciones pueden detener más estafas formando a los empleados para que reconozcan las señales de advertencia de los ciberataques e intentos de robo, como números de teléfono inusuales, remitentes desconocidos, URL inesperadas y un mayor sentido de urgencia.

Muchas organizaciones utilizan simulaciones de smishing para ayudar a los empleados a practicar nuevas habilidades de ciberseguridad. Estas simulaciones también pueden ayudar a los equipos de seguridad a descubrir vulnerabilidades en los sistemas informáticos y las políticas organizativas que exponen a la empresa a estafas.

Las organizaciones pueden remediar estas vulnerabilidades combinando herramientas de detección de amenazas con políticas para gestionar datos confidenciales, autorizar pagos y verificar solicitudes antes de actuar sobre ellas.