El phishing es sin duda una de las formas más populares que tienen los ciberdelincuentes de iniciar un ataque malicioso, ya sea para robar la identidad de alguien o para distribuir malware. Desde la aparición del phishing, este vector de ataque no ha hecho más que crecer, y no parece que vaya a desaparecer a corto plazo.

El Anti-Phishing Working Group (del que Avast es miembro) es una organización sin ánimo de lucro que lleva ayudando en la lucha contra el phishing desde 2003. En su último informe trimestral, el grupo observó 877.536 ataques de phishing.

Hoy me gustaría hablar de un tipo de phishing que no se menciona con tanta frecuencia, a pesar de que ha ganado mucha popularidad entre los ciberdelincuentes en los últimos años: el smishing.

El smishing, o phishing a través de SMS, es una táctica popular entre los ciberdelincuentes porque aprovecha el uso generalizado de los mensajes de texto. También se aprovecha de la sensación de confianza que tienen las personas en los mensajes de texto procedentes de fuentes fiables, como bancos o agencias gubernamentales. Además, los SMS tienen una mayor tasa de apertura en comparación con los correos electrónicos, por lo que es más probable que las víctimas vean y respondan al mensaje de smishing.

¿Cómo funciona el smishing?

Las tácticas utilizadas en estos mensajes son similares a las estafas por correo electrónico. Los mensajes de texto a menudo crean una sensación de urgencia y se esfuerzan por ser percibidos como sensibles al tiempo, lo que puede aumentar la probabilidad de que una víctima tome medidas inmediatas sin pensarlo dos veces. Si a esto le sumamos sus elevadas tasas de apertura (algunos estudios de marketing sitúan las tasas de apertura de los SMS en el 98%), se explica claramente por qué este vector de ataque resulta atractivo para los malos actores.

Otra ventaja para los ciberdelincuentes es que la mayoría de los filtros de spam se han creado para detectar y bloquear los correos electrónicos de phishing, no los mensajes de texto. Otra ventaja para los ciberdelincuentes es que los SMS se abren en dispositivos móviles que, aunque a menudo son considerados más seguros por los usuarios, el número de dispositivos móviles protegidos por software antivirus es mucho menor que el de ordenadores personales (en los que la gente es más consciente de los riesgos que conlleva no estar protegido).

Los temas más utilizados en los ataques de smishing

La lectura de ejemplos reales de ciberataques es, en última instancia, la mejor manera de empezar a reconocer los mensajes de smishing. Estos son algunos de los ataques de smishing más comunes; sin embargo, nunca subestimes hasta dónde pueden llegar los ciberdelincuentes.

  • Alertas financieras: Los estafadores suelen enviar mensajes de texto haciéndose pasar por un banco o una entidad financiera, en los que afirman que se ha producido una actividad sospechosa en la cuenta de la víctima y le instan a hacer clic en un enlace para resolver el problema.
  • Notificaciones de entrega de paquetes: Los atacantes también pueden enviar notificaciones de entrega falsas alegando que no se ha podido entregar un paquete y pidiendo al destinatario que haga clic en un enlace para rastrearlo.
  • Alertas fiscales: También hay mensajes de smishing que afirman ser de una agencia tributaria gubernamental, como la AEAT u otras agencias tributarias, pidiendo al destinatario que haga clic en un enlace para resolver alguna situación.
  • Estafas benéficas: Los smishers dicen ser de una organización benéfica o sin ánimo de lucro, piden a las víctimas una donación y proporcionan un enlace para hacer una contribución.
  • Estafas de lotería: Estos mensajes anuncian que el destinatario ha ganado un concurso o lotería y le piden que haga clic en un enlace para reclamar su premio.

Cómo protegerse contra los ataques de smishing

Aquí te explicamos cómo esquivar esos mensajes sospechosos y mantener a salvo tu información personal:

1. No te fíes, verifica

Si recibes un mensaje de texto de tu banco o de una empresa conocida, no te lo tomes al pie de la letra. Busca el número de contacto oficial de la empresa y llámales directamente en lugar de hacer clic en cualquier enlace que aparezca en el mensaje.

2. Atención a las señales de alarma en los mensajes

Los mensajes sospechosos suelen contener:

  • Errores gramaticales y ortográficos.
  • Una sensación de urgencia: «Tu cuenta se bloqueará en 24 horas».
  • URL abreviadas (como enlaces bit.ly).

Las empresas legítimas suelen enviar URLs completas o enlaces de confianza.

3. Evita hacer clic en los enlaces

Aunque el mensaje parezca legítimo, es mejor evitar los enlaces. Algunos enlaces pueden llevar a sitios falsos diseñados para robar tus datos o instalar malware en tu dispositivo.

4. No respondas

Responder confirma al estafador que tu número está activo. Puede que empiecen a enviar aún más mensajes de phishing (o peor aún, que compartan tu número con otros estafadores). Simplemente bórralo.

5. Configura la autenticación de dos factores

Activa el 2FA en tus cuentas bancarias, correo electrónico y redes sociales. De este modo, aunque un estafador consiga tu contraseña, necesitará el código de autenticación adicional para acceder a tu cuenta.

6. Utiliza software de seguridad

Las aplicaciones de seguridad pueden detectar y bloquear los ataques de phishing. Una aplicación antimalware robusta puede ayudarte a protegerte de enlaces maliciosos y aplicaciones que intentan acceder a tu información personal.

7. Denuncia los intentos de suplantación de identidad

Denunciar estos mensajes ayuda a que otros no caigan en los mismos trucos. Puede denunciar los mensajes sospechosos a su compañía telefónica.

No piques el anzuelo

Es importante que las personas estén atentas y sean precavidas cuando reciban mensajes de texto de fuentes desconocidas o inesperadas, especialmente si contienen enlaces o solicitan información sensible. Nunca haga clic en enlaces ni proporcione información personal en respuesta a un mensaje de texto que reciba sin verificar antes la identidad del remitente. También es fundamental tener instalada una protección en el teléfono, de modo que, aunque hagas clic en un enlace malicioso, puedas seguir protegido.