¿Qué es el smishing (phishing por SMS)?

El smishing es una forma de ciberdelincuencia que está ganando popularidad. Según el reporte State of the Phish 2024 de Proofpoint, el 75% de las organizaciones experimentaron ataques de smishing en 2023.¹

Varios factores han contribuido al aumento del smishing. Para uno, los hackers que perpetran estos ataques, a veces llamados "smishers", saben que las víctimas son más propensas a hacer clic en mensajes de texto que en otros enlaces. Al mismo tiempo, los avances en los filtros de spam han dificultado que otras formas de phishing, como correos electrónicos y llamadas telefónicas, alcancen sus objetivos. 

El aumento del sistema trae tu propio dispositivo (BYOD) y de los acuerdos de trabajo a distancia también ha hecho que más personas utilicen sus dispositivos móviles en el trabajo, lo que facilita a los delincuentes cibernéticos el acceso a las redes de las empresas a través de los teléfonos móviles de los empleados.

Los ataques de smishing son similares a otros tipos de ataques de phishing, en los que los estafadores utilizan mensajes falsos y enlaces malignos para engañar a las personas para que comprometan sus teléfonos móviles, cuentas bancarias o datos personales. La diferencia principal es el medio. En los ataques de smishing, los estafadores utilizan SMS o aplicaciones de mensajería para llevar a cabo sus ciberdelitos en lugar de correos electrónicos o llamadas telefónicas.

Los estafadores eligen smishing sobre otros tipos de ataques de phishing por diversas razones. Las investigaciones muestran que la probabilidad de que las personas hagan clic en los enlaces en los mensajes de texto es mayor. Klaviyo informa que las tasas de clics de SMS oscilan entre el 8.9% y el 14.5%.² En comparación, los emails tienen una tasa de clic promedio del 2%, según Constant Contact.³

Además, los estafadores pueden enmascarar los orígenes de los mensajes de smishing utilizando tácticas como falsificar números de teléfono con teléfonos de un solo uso o utilizar software para enviar mensajes de texto por correo electrónico.

También es más difícil detectar enlaces peligrosos en los teléfonos celulares. En una computadora, los usuarios pueden pasar el mouse por encima de un enlace para ver a dónde maneja. En los smartphones, no tienen esa opción. Las personas también están acostumbradas a que los bancos y las marcas se comuniquen por SMS y a recibir URL acortadas en mensajes de texto.

En 2020, la Comisión Federal de Comunicaciones (FCC) ordenó que las compañías de telecomunicaciones adoptaran el protocolo STIR/SHAKEN. STIR/SHAKEN autentica llamadas telefónicas y es la razón por la que algunos teléfonos móviles ahora muestran "mensajes probables de estafa" o "spam probable" cuando llaman números sospechosos.

Mientras que esta regla facilitó la detección de las llamadas fraudulentas, no tuvo el mismo efecto en los mensajes de texto, lo que llevó a muchos estafadores a centrarse en los ataques de smishing.

Al igual que otras formas de ingeniería social, la mayoría de los ataques de smishing se basan en pretextos, que consisten en utilizar historias falsas para manipular las emociones de las víctimas y engañarlas para que cumplan las órdenes del estafador.

Los estafadores pueden presentarse como el banco de la víctima para alertarla sobre un problema con su cuenta, a menudo a través de una notificación falsa. Si la víctima hace clic en el enlace, la lleva a un sitio web o aplicación falso que roba información financiera confidencial como PIN, credenciales de inicio de sesión, contraseñas e información de cuenta bancaria o tarjeta de crédito.

Según la Comisión Federal de Comercio (FTC), la suplantación de identidad bancaria es la estafa de mensajes de texto más común, ya que representa el 10% de todos los mensajes smishing.⁴

Los estafadores pueden hacer pasar por agentes de policía, representantes de Hacienda u otros funcionarios de organismos públicos. Estos mensajes de texto smishing a menudo afirman que la víctima debe una multa o debe actuar para reclamar un beneficio gubernamental.

Por ejemplo, en abril de 2024, la Oficina Federal de Investigación (FBI) emitió una advertencia sobre una estafa de smishing dirigida a conductores estadounidenses^.5 Los estafadores envían mensajes de texto que simulan proceder de agencias de cobro de peajes y afirman que el objetivo debe peajes de carretera impagados. Los mensajes contienen un enlace a un sitio falso que roba el dinero y la información de las víctimas.

Los atacantes se hacen pasar por agentes de atención al cliente de marcas y minoristas de confianza como Amazon, Microsoft o incluso el proveedor de servicios inalámbricos de la víctima. Normalmente dicen que hay un problema con la cuenta de la víctima o con una recompensa o reembolso sin reclamar. Por lo general, estos mensajes de texto envían a la víctima a un sitio web falso que roba los números de su tarjeta de crédito o información bancaria.

Estos mensajes de smishing afirman proceder de una empresa de transporte como FedEx, UPS o el Servicio Postal de Estados Unidos. Le dicen a la víctima que hubo un problema al entregar un paquete y le piden que pague una "tarifa de entrega de paquetes" o que inicie sesión en su cuenta para corregir el problema. Luego, los estafadores toman el dinero o la información de la cuenta y huyen. Estas estafas son comunes en los días festivos cuando muchas personas esperan paquetes.

En el caso del business text compromise (o ataque mediante SMS, similar al business email compromise, que se realiza mediante correo electrónico y está dirigido a empresas), los hackers son un jefe, compañero de trabajo o colega, proveedor o abogado que necesita ayuda con una tarea urgente. Estas estafas a menudo solicitan acciones inmediatas y terminan con la víctima que envía dinero a los hackers.

Los estafadores envían un mensaje de texto que parece estar destinado a alguien que no sea la víctima. Cuando la víctima corrige el "error" del estafador, el estafador inicia una conversación con la víctima.

Estas estafas con números erróneos suelen ser a largo plazo, y el estafador intenta ganarse la amistad y la confianza de la víctima mediante contactos repetidos durante meses o incluso años. El estafador puede incluso fingir que siente algo por la víctima. El objetivo es robar el dinero de la víctima a través de una falsa oportunidad de inversión, una solicitud de préstamo o una historia similar.

En esta estafa, llamada fraude de autenticación multifactor (MFA), un hacker que ya tiene el nombre de usuario y la contraseña de una víctima intenta robar el código de verificación o la contraseña de un solo uso necesaria para acceder a la cuenta de la víctima.

El hacker podría presentarse como uno de los amigos de la víctima, afirmar que su cuenta de Instagram o Facebook ha sido bloqueada y pedirle a la víctima que reciba un código él. La víctima obtiene un código MFA, que en realidad es para su propia cuenta, y se lo da al hacker.

Algunas estafas de smishing engañan a las víctimas para que descarguen aplicaciones aparentemente legítimas, como administradores de archivos, aplicaciones de pago digital, incluso aplicaciones antivirus que, de hecho, son malware o ransomware.

El phishing es un término amplio para ataques cibernéticos que utilizan la ingeniería social para engañar a las víctimas para que paguen dinero, entreguen información confidencial o descarguen malware. El smishing y el vishing son solo dos tipos de ataques de phishing que los hackers pueden usar en sus víctimas.

La principal diferencia entre los diferentes tipos de ataques de phishing es el medio utilizado para llevar a cabo los ataques. En los ataques de smishing, los hackers se dirigen a sus víctimas mediante mensajes de texto o SMS. En los ataques de vishing (abreviatura de "phishing de voz"), los hackers emplean la comunicación de voz, como llamadas telefónicas y mensajes de voz, para hacer pasar por organizaciones legítimas y manipular a las víctimas.

Para ayudar a combatir las estafas de smishing, la FCC adoptó una nueva regla que exige a los proveedores de servicios inalámbricos que bloqueen los mensajes de texto de spam probable de números sospechosos, incluidos números de teléfono no utilizados o inválidos.⁶

Sin embargo, ningún filtro de spam es perfecto y los delincuentes cibernéticos siempre están buscando formas de eludir estas medidas. Las personas y las organizaciones pueden tomar medidas adicionales para fortalecer sus defensas contra los ataques de smishing, que incluyen:

Los sistemas operativos Android e iOS tienen protecciones y funciones integradas, como el bloqueo de aplicaciones no aprobadas y el filtrado de textos sospechosos a una carpeta de spam.

A nivel organizacional, las empresas pueden emplear soluciones de gestión unificada endpoint (UEM) y herramientas de detección de fraude para establecer controles de seguridad móvil , aplicar políticas de seguridad e interceptar actividades maliciosas.

Las organizaciones pueden detener más estafas capacitando a los empleados para que reconozcan las señales de advertencia de ciberataques e intentos de smishing, como números de teléfono inusuales, remitentes desconocidos, URL inesperadas y un mayor sentido de urgencia.

Muchas organizaciones emplean simulaciones de smishing para ayudar a los empleados a practicar nuevas habilidades de ciberseguridad . Estas simulaciones también pueden ayudar a los equipos de seguridad a descubrir vulnerabilidades en los sistemas informáticos y las políticas organizacionales que exponen a la empresa a engaños.

Las organizaciones pueden remediar estas vulnerabilidades combinando herramientas de detección de amenazas con políticas para manejar datos confidenciales, autorizar pagos y verificar solicitudes antes de actuar en consecuencia.