Smishing: mucho más activo y peligroso de lo que podría parecer

Es posible que no hayas oído hablar del smishing y, sin embargo, lo más probable es que o tú o alguna persona que conoces haya sido objeto de algún ataque basado en esta técnica. Dicho de otra manera, lo más seguro es que lo conozcas perfectamente, aunque no supieras que recibe este nombre. Y si te suena a phishing, pero solo sus los primeras letras te hacen dudar, lo cierto es que ya estás muy, muy cerca de resolver el enigma, puesto que al hablar de smishing nos referimos a SMS phishing,  es decir, suplantaciones de identidad a través de mensajes cortos para móvil.

Hace ya unos días que estamos en 2021, por lo que para muchas personas hablar de mensajes SMS les puede sonar a la prehistoria de la telefonía móvil, aquellos tiempos en los que teníamos que pagar 15 céntimos de euro (25 pesetas, si ya usabas móvil en la década de los 90) para enviar un mensaje corto de texto. Eran los tiempos pre-smartphone, pre-Whatsapp y demás servicios similares, y por aquellos tiempos un mensaje nos podía ahorrar mucho tiempo y también dinero, puesto que su coste era inferior al de hacer una llamada.

A día de hoy, sin embargo, cualquiera diría que los mensajes SMS son cosa del pasado, ¿verdad? Con un matiz, son el pasado entre particulares, pero muchas empresas y organismos públicos los siguen empleando para enviar comunicaciones a clientes, ciudadanos, etcétera, y es en ese contexto en el que sí, este 2021, debemos prestar mucha atención a los mensajes SMS que recibimos, puesto que el smishing parece gozar de un excelente estado de salud.

Hace solo unos días, Paloma y Yolanda (dos buenas amigas) recibieron, con una diferencia de minutos, un mensaje SMS de Correos en el que se les daba el número de seguimiento de un envío que iban a a recibir (no esperaban nada) y un enlace para descargar la app de seguimiento de Correos. Aunque, como he dicho, no esperaban nada, dado que son hermanas y lo recibieron casi al mismo tiempo (sus números de móvil no son ni remotamente parecidos, ni siquiera emplean la misma compañía telefónica) dudaron, ¿y si era una sorpresa de algún familiar o algún amigo común?

Obviamente pudo más la cautela que la curiosidad, así que me lo contaron, les pedí que me reenviaran el enlace y, al abrirlo en condiciones seguras, comprobé que dirigía a una descarga de una app para Android que impostaba ser de Correos. Evidentemente no era así, los mensajes acabaron borrados y, por lo tanto, en este caso concreto, el smishing no funcionó. Sin embargo, tengo mis dudas sobre si en todos los casos, es decir, si todas las personas que recibieron ese mensaje, lo identificaron como smishing y lo borraron de inmediato.

Hoy, cuando todavía nos estamos recuperando de las pasadas fiestas (y todavía nos queda el día de Reyes por delante), leo en Bleeping Computer sobre una campaña de smishing que está circulando con cierta fuerza en Estados Unidos y que suplanta la identidad de Paypal. En dichos mensajes, se indica que la cuenta del usuario ha sido bloqueada temporalmente y que es necesario acceder al enlace del mensaje, introducir los datos de acceso y, posteriormente, todavía más información información personal. Obviamente, la web a la que dirige no tiene absolutamente nada que ver con Paypal.

El autor de dicha noticia afirma conocer a, al menos, dos personas que han recibido dicho mensaje, lo que apunta (al igual que ocurre en mi caso con el falso SMS de Correos) a que en ambos casos son campañas de smishing de un tamaño considerable, y que se suman a las que ya vimos el año pasado, y que también emplearon en más de una ocasión el nombre de Correos para intentar hacerse con datos de usuarios o, como en el caso de la que he contado al principio, para que instalen apps maliciosas.

La seguridad de los smartphones es, a día de hoy, una asignatura pendiente en muchos casos, el malware campa a sus anchas en Android y, pese a la imagen de seguridad que nos ha vendido Apple durante años sobre iOS, hoy sabemos que los iPhones no son tan seguros como pensábamos hasta hace algún tiempo. Y a eso debemos sumar que, por norma general, los mensajes SMS no tienen la consideración general de ser puertas de entrada del malware (aún cuando incluyen enlaces), lo que hace que muchos usuarios sean más propicios a caer en un ataque de smishing.

La entrada Smishing: mucho más activo y peligroso de lo que podría parecer es original de MuySeguridad. Seguridad informática.