El smishing es un ataque de ingeniería social que usa mensajes de texto falsos para engañar a las personas para que descarguen malware, compartan información confidencial o envíen dinero a ciberdelincuentes. El término «smishing» es una combinación de «SMS» —que significa 'servicio de mensajes cortos', la tecnología responsable de los mensajes de texto— y «phishing».

El smishing es un ciberdelito cada vez más habitual. Según el informe 2022 State of the Phish de Proofpoint (enlace externo a ibm.com), el 74 por ciento de las organizaciones recibieron ataques de smishing en 2021, un 13 por ciento más que en 2020. 

Hay varios factores diferentes que motivan el auge de este tipo de estafas. 

Los hackers saben que es más probable que las personas pulsen los enlaces que reciben a través de mensajes de texto. Además, los avances en los filtros de correo no deseado han complicado el poder llegar a sus objetivos mediante correos electrónicos y llamadas telefónicas de phishing. Por si fuera poco, los acuerdos de teletrabajo y BYOD (traiga su propio dispositivo) han motivado el aumento del uso de dispositivos móviles en el trabajo. Eso significa que ahora los ciberdelincuentes pueden acceder a las redes de las compañías a través de los teléfonos móviles personales de los empleados.

Los ataques de smishing funcionan en gran medida como otros tipos de ataques de phishing. Los estafadores utilizan mensajes falsos y enlaces maliciosos para engañar a las personas para que comprometan sus teléfonos móviles, cuentas bancarias o datos personales. La diferencia es que el smishing se produce a través de SMS o aplicaciones de mensajería, en lugar de correos electrónicos o llamadas telefónicas.

Para los estafadores, los mensajes de texto tienen ciertas ventajas con respecto al correo electrónico. La gente está acostumbrada a que los bancos y las marcas los contacten por SMS. Además, es más probable que pulsen enlaces en los mensajes de texto. Según Constant Contact, la tasa de pulsaciones media de los correos electrónicos es del 1,33 por ciento (enlace externo a ibm.com). Por otro lado, Klaviyo informa de que las tasas de clics de los SMS están comprendidas entre el 8,9 y el 14,5 por ciento (enlace externo a ibm.com).

A nivel técnico, los estafadores pueden enmascarar fácilmente el origen de los mensajes de smishing. Pueden suplantar números de teléfono, utilizar teléfonos desechables o utilizar software para enviar mensajes de texto por correo electrónico. También es más difícil detectar enlaces peligrosos en teléfonos móviles. En un ordenador, los usuarios pueden pasar el cursor por encima de un enlace para ver a dónde conduce realmente. Los teléfonos inteligentes no tienen esa opción. Además, las personas están acostumbradas a ver URL abreviados en los mensajes de texto de las marcas reales.

En 2020, la Comisión Federal de Comercio (FCC) ordenó que las empresas de telecomunicaciones adoptasen el protocolo STIR/SHAKEN (enlace externo a ibm.com). STIR/SHAKEN autentica las llamadas telefónicas. Esa es la razón por la que algunos teléfonos móviles muestran ahora mensajes de «posible estafa» o «posible llamada no deseada» cuando reciben llamadas de números sospechosos. STIR/SHAKEN facilitó la detección de las llamadas fraudulentas, pero no afecta a los mensajes de texto. Por esa razón, muchos estafadores han pasado a centrarse en ataques de smishing.

Al igual que otras formas de ingeniería social, los ataques de smishing se basan en pretextos. Los pretextos consisten en utilizar historias falsas para jugar con los sentimientos de las víctimas y engañarlas para que accedan a lo que les piden los estafadores. Estos son algunos de los pretextos más habituales:

• Hacerse pasar por una institución financiera:  los estafadores pueden hacerse pasar por el banco de la víctima y alertarla de que hay algún problema con su cuenta. Si la víctima sigue el enlace, se la dirige a una app o un sitio web falso que roba información financiera confidencial, como PIN, contraseñas y números de cuenta bancaria o de tarjeta de crédito. En 2018, un grupo de estafadores (enlace externo a ibm.com) logró robar 100 000 USD de los clientes de Fifth Third Bank por medio de este método.

• Hacerse pasar por alguien de la Administración:  los estafadores pueden hacerse pasar por policías, empleados de organismos de recaudación de impuestos u otros funcionarios gubernamentales. Estos mensajes de smishing a menudo cuentan que la víctima debe una multa o que debe actuar para reclamar una prestación gubernamental. Por ejemplo, durante la pandemia de COVID-19, la Comisión Federal de Comercio (FTC) advirtió de que se estaban produciendo ataques de smishing (enlace externo a ibm.com) que ofrecían ventajas fiscales, pruebas de COVID gratuitas y servicios similares. Cuando las víctimas seguían los enlaces de estos mensajes, los estafadores les robaban el número de la seguridad social y otra información que podían utilizar para usurpar su identidad. 

• Hacerse pasar por personal de soporte al cliente:  los atacantes se hacen pasar por agentes de soporte al cliente de marcas de confianza, como Amazon, Microsoft o incluso el proveedor de Internet inalámbrico de la víctima. Suelen afirmar que hay un problema con la cuenta de la víctima o que no ha reclamado alguna compensación o reembolso. Por lo general, estos mensajes remiten a la víctima a un sitio web falso que les roba la información de su tarjeta de crédito o cuenta bancaria.

• Estafas de paquetería:  estos mensajes de smishing afirman proceder de empresas de transporte, como FedEx, UPS o el servicio postal público. Indican a su objetivo que ha habido un problema al entregar un paquete. Se le pide a la víctima que abone una «tarifa de entrega» o que se registre en su cuenta para corregir el problema. Naturalmente, los estafadores cogen el dinero o la información de la cuenta y desaparecen. Estas estafas de phishing por SMS son comunes durante periodos vacacionales, cuando muchas personas esperan paquetes. 

• Estafas de mensajes de texto profesionales:  al igual que con las estafas que comprometen el correo electrónico profesional, los hackers se hacen pasar por el jefe de la víctima y afirman necesitar ayuda con una tarea urgente. La diferencia en este caso es que los estafadores utilizan mensajes SMS para esta versión del ataque. La mayoría de las veces, estas estafas acaban con la víctima enviando dinero a los hackers.

• Estafas de número equivocado:  los estafadores pretenden hacer creer que envían un mensaje de texto al «número equivocado». Cuando la víctima corrige el «error» del estafador, este entabla una conversación con el pretexto de iniciar una amistad con la víctima. Este caso tiende a ser una estafa a largo plazo, en la que el estafador intenta ganarse la confianza de la víctima tras varios contactos repetidos durante meses o años. El estafador puede fingir incluso que alberga sentimientos románticos hacia la víctima. El objetivo último es robarle dinero a través de una falsa oportunidad de inversión, solicitud de préstamo o similar.

• Fraude de autenticación multifactor:  los hackers intentan robar el código de MFA de la víctima para acceder a sus redes sociales, correo electrónico o cuenta bancaria. En uno de los ejemplos más habituales de fraude MFA, el hacker simula ser un amigo de la víctima. Le dice que no puede acceder a su cuenta de Instagram o Facebook y que necesita que la víctima reciba un código en su nombre. La víctima recibe un código MFA —que en realidad es para su propia cuenta— y se lo entrega al hacker.

• Descargas de apps falsas: algunas estafas de smishing engañan a las víctimas para que descarguen apps falsas que en realidad son malware o  ransomware. El malware se suele ocultar en apps de gestión de archivos, antivirus o préstamo de dinero. Estas aplicaciones pueden parecer legítimas, pero en realidad capturan los datos confidenciales de la víctima o los retienen como rehenes. 

Hay muchos expertos en ciberseguridad que creen que el smishing se volverá más común en los próximos años. Lucia Milică, CISO de Proofpoint (enlace externo a ibm.com) cree que van a aparecer herramientas de smishing en los mercados de malware que van a permitir que los estafadores con menos conocimientos técnicos también puedan enviar mensajes de texto maliciosos.

Gartner prevé (enlace externo a ibm.com) un auge en los intentos de phishing «multicanal» que combinan texto, correo electrónico, llamadas telefónicas y otros canales de comunicación. Lazarus Group, una banda de hackers de Corea del Norte, es conocido por utilizar tácticas multicanal. Por ejemplo, el grupo ha utilizado perfiles falsos de LinkedIn para hacerse pasar por reclutadores para intercambios de criptomonedas (enlace externo a ibm.com). Los hackers se ponen en contacto con las víctimas con el pretexto de hablar sobre puestos trabajo. Desvían las conversaciones de LinkedIn a SMS o WhatsApp, donde engañan a sus víctimas para que descarguen troyanos u otro malware. 

La FCC (enlace externo a ibm.com) se está planteando una norma que requiera que los proveedores de Internet inalámbrico bloqueen los mensajes de texto no deseados. No obstante, los particulares y las empresas también pueden tomar medidas para protegerse:

• Soluciones de ciberseguridad móvil: los sistemas operativos Android e iOS disponen de protecciones integradas, como el bloqueo de aplicaciones no aprobadas y el filtrado de mensajes de texto sospechosos en una carpeta de correo no deseado. A nivel organizacional, las empresas pueden utilizar soluciones de gestión unificada de puntos finales (UEM) para definir controles de seguridad definido y políticas para dispositivos móviles.

• Formación en seguridad: formar al personal para que reconozca las señales de alerta de los intentos de smishing —como números de teléfono inusuales, URL inesperados y una elevada sensación de urgencia— puede ayudar a proteger a las organizaciones. La formación también puede incluir la definición de reglas de tratamiento de datos confidenciales, autorización de pagos y verificación de solicitudes antes de realizar cualquier acción al respecto.