Descubre qué es el Smishing, sus peligros y cómo evitar estos ataques

Los ciberdelincuentes siempre están centrados en intentar obtener dinero de sus víctimas, para conseguir su objetivo, utilizan cualquier tipo de método con la finalidad de estafarles y robarles dinero. Uno de los métodos más populares para robar nuestras credenciales de diferentes cuentas online, usuario y contraseña de nuestro banco e incluso robo de las tarjetas de crédito, es el phishing. Este ataque llega por correo electrónico e induce a la víctima a pinchar en un enlace, este enlace lleva a una web específicamente diseñada para ser igual que una web legítima de un banco o cualquier otro servicio, y es entonces cuando la víctima «cae» en el engaño. Sin embargo, este no es el único ataque a gran escala que existe, hoy os vamos a hablar sobre uno de los más peligrosos que es el Smishing.

Qué es el Smishing

El Smishing es una variante muy peligrosa de los ataques Phishing típicos que nos llegan por correo electrónico. Aunque la forma de ataque cambia respecto al Phishing, el objetivo es el mismo: engañar a la víctima para intentar robarle las credenciales de acceso, robarle sus cuentas bancarias e incluso tarjetas de débito o crédito, haciendo creer a la víctima que está en una web oficial y legítima. Nuestra seguridad y privacidad está en peligro por este tipo de ataque, porque podríamos dejar expuestas nuestras contraseñas, incluyendo las cuentas bancarias que tengamos, por lo que es crítico que tengamos mucho cuidado con este tipo de ataque.

El Smishing utiliza mensajes SMS que recibimos en nuestros móvil con un enlace. Este mensaje SMS «parece» ser de nuestro banco, pero en realidad los ciberdelincuentes cambian el origen de estos SMS para que la víctima confíe en que ha recibido un SMS de Openbank, BBVA, Caixabank o cualquier otro banco. Este SMS lo recibiremos seamos o no cliente de este banco en concreto, es decir, si nosotros tenemos cuenta en Caixabank podemos recibir perfectamente un SMS que se hace pasar por el BBVA. Cuando recibimos un SMS de un banco donde no tenemos cuenta, lo solemos eliminar, sin embargo, si justo da la casualidad de que sí tienes ese banco, entonces podrías confiar en el SMS recibido y pinchar en el enlace, y esto es justo lo que debes evitar.

Hoy en día este tipo de ataque están orientados a robar cuentas bancarias o tarjetas de crédito, por lo que debemos prestar muchísima atención a los SMS que recibamos desde nuestro banco, y es que es crítico no hacer clic en ningún enlace que tengamos en el SMS para evitar este ataque de suplantación de identidad al banco, y que nosotros seamos las víctimas del robo de identidad.

No obstante, con la popularidad de los envíos online, también se están suplantando a empresas como DHL o Envialia. Podemos recibir unos mensajes SMS indicando que tenemos que pagar aduanas, pagar una cantidad de dinero adicional para recibir el paquete o cualquier otro «gancho» para intentar engañarnos. A continuación, podéis ver un par de ejemplos de estos SMS:

Cómo detectar este ataque y evitarlo

Este ataque de suplantación de identidad que tiene como objetivo robar nuestras credenciales, se puede detectar de forma fácil y rápida, aunque esto depende de qué tipo de SMS recibamos y cómo está construido el mensaje de «gancho» para hacer que los usuarios caigan en el engaño.

Lo primero que debemos mirar es la ortografía del SMS, generalmente este tipo de ataques están realizados por ciberdelincuentes que están en otros países, y no conocen la ortografía del español. También deberíamos mirar la forma en la que se dirigen a nosotros, sobre todo comparándolo con SMS legítimos de nuestra entidad bancaria, y es que generalmente es bastante diferente.

Lo segundo que debemos mirar es si incitan a hacer clic en el enlace, es decir, buscan el miedo del usuario e informan que algo está mal o que ha habido un cargo excesivo en la cuenta bancaria, y nos invitan a revisarlo. Es posible que si hacemos clic nos soliciten información personal, para posteriormente usarlo en nuestra contra de forma maliciosa. Otro aspecto que debes revisar es si hay prisa porque tú mismo hagas clic en el enlace, es decir, que es algo muy urgente que no puedes esperar.

También deberíamos revisar si el SMS tiene un enlace o link a la página del banco, nunca deberías meterte en tu banco a través de un enlace que has recibido por SMS. Para no tener problemas, accede directamente a través de la app de tu móvil o desde la web oficial que tienes guardada en los marcadores del ordenador. De esta forma, podrás acceder a tu cuenta del banco de forma segura y sin miedo. Si pinchas en el enlace, posiblemente te lleve a una web que está diseñada específicamente para engañarte, es decir, es exactamente igual que la oficial pero se usará para robar tu usuario y contraseña de acceso, por lo que nunca debes meter tus credenciales en esta web.

Hace algunos años las webs ilegítimas de estafas utilizaban el protocolo http (no seguro) para sus engaños, este protocolo no ofrece ningún tipo de cifrado punto a punto, por lo que era el primer aspecto que debías revisar para comprobar si era una web legítima o no. Automáticamente el usuario si veía que no tenía el «candadito» ya desconfiaba. Hoy en día las webs de estafas también funcionan con https (seguro), pero esto significa que las comunicaciones están cifradas con la web del engaño, no significa que la web sea segura y legítima. Por lo tanto, aunque esta web utiliza https, podría ser perfectamente una falsificación de la web legítima.

En muchos casos cuando recibimos un SMS de la entidad bancaria, en la parte superior indica un remitente que pone «BBVA», «Openbank» o el banco que sea, sin embargo, esto también se puede falsificar fácilmente, por lo que no debes fiarte porque en la parte superior del SMS indique tu cuenta del banco.

Lo que debes hacer si recibes un SMS ilegítimo es eliminarlo en cuanto lo recibas, y nunca debes pinchar en el enlace o link que tengamos en el SMS. De esta forma, no serás víctima de este tipo de ataque. Por último, debemos utilizar el sentido común, el banco nunca nos va a pedir datos que ellos ya tienen, como nuestro nombre de usuario y clave, ni tampoco los datos de la tarjeta de débito o crédito, además, si no esperamos ningún paquete no debemos hacer caso a los SMS indicándonos que tenemos que pagar algo adicional para recibir un paquete. Si te llega un SMS que incita a las prisas, debes saber que tu banco nunca te va a contactar por SMS para cosas importantes, sino que directamente te van a llamar.

Qué hacer si ya hemos sido víctimas

Si hemos recibido un SMS ilegítimo y hemos sido víctimas de este ataque, dependiendo de lo que hayas hecho con ese SMS, deberás realizar algunos pasos muy importantes para evitar males mayores. Lo que sí debes saber, es que si no has pinchado en el enlace no estás en peligro, simplemente debes eliminar el SMS y no hacer clic sin querer. Es muy importante que elimines este SMS cuanto antes para no entrar en el enlace por error.

Si has pinchado en el enlace, hay algunos SMS que te llevan a una web del banco fraudulenta y te invitan a rellenar los datos de usuario y contraseña. Si no hemos rellenado nada en esta web porque nos hemos dado cuenta de que no es nuestro banco, simplemente sal de esta web fraudulenta y elimina el SMS que has recibido. En el caso de que sí hayas rellenado la web con datos personales, deberás hacer lo siguiente:

• Revisar qué datos hemos proporcionado y qué pueden hacer con ellos.
• Si has introducido tu usuario y clave del banco, entra cuanto antes a través de la app o vía web y cambia la contraseña. También puedes llamar directamente a tu gestor del banco para informarle del asunto y que esté alerta por si acaso has sufrido una intrusión en tu cuenta.
• Si has introducido tu tarjeta de crédito o débito, bloqueala cuanto antes, aunque no se haya producido ningún cargo todavía.

En el caso de pinchar en el enlace, si se nos ha iniciado la descarga de algún programa o app para nuestro smartphone, nunca debes instalar esta aplicación porque podría ser un troyano bancario para robarnos todas nuestras cuentas bancarias. En este último caso, lo que debes hacer es borrar la aplicación o el programa descargado, salir de la web fraudulenta y también eliminar el mensaje SMS que has recibido. En el caso de haber instalado la aplicación fraudulenta, deberás hacer rápidamente lo siguiente:

• Borrar la app cuanto antes.
• Descargar un antivirus para tu smartphone, iniciar el escaneo cuanto antes para eliminar el posible malware que te hayan instalado.
• Cambiar las contraseñas de todas las cuentas que gestionas con el smartphone, incluyendo las del banco.

No obstante, si has sido víctima y has instalado un malware en tu smartphone, lo mejor que puedes hacer es restaurarlo a valores de fábrica para asegurarte al 100% de que no queda ningún rastro del malware.

Lo más importante que debes saber, es que si recibes estos SMS y no has hecho clic en los enlaces que hubiera, no estarás en peligro, simplemente elimina el SMS y no tienes que hacer nada más.

El artículo Descubre qué es el Smishing, sus peligros y cómo evitar estos ataques se publicó en RedesZone.