¿Qué es smishing? Todo lo que necesita saber (2023)

Por Tibor Moes / Actualizado: Julio de 2023

¿Qué es smishing? Todo lo que necesita saber (2023)

¿Qué es smishing? 

¿Ha recibido alguna vez un mensaje de texto sospechoso en el que se le insta a hacer clic en un enlace o a proporcionar información personal? Es posible que haya sido blanco de un ataque de “smishing”. Pero, ¿qué es el smishing? En esta era digital, en la que casi todo el mundo tiene un teléfono inteligente, los estafadores han adaptado sus tácticas para aprovecharse de nuestra dependencia de los dispositivos móviles. ¿Está preparado para aprender a protegerse contra los ataques de “smishing” en 2023? Sumerjámonos en el tema.

Resumen

  • El smishing es una forma de ataque de phishing en la que un atacante utiliza mensajes de texto SMS para enviar enlaces maliciosos a usuarios desprevenidos. Utilizan la automatización para enviar mensajes masivos con el objetivo de engañar a la gente para que haga clic en enlaces maliciosos.
  • Hacer clic en un enlace smishing puede tener graves consecuencias. No sólo podría dar lugar al robo de sus datos personales, sino que también podría instalar software malicioso en su dispositivo que le ponga en riesgo de sufrir un robo de identidad.
  • Esté atento a las banderas rojas del smishing, como direcciones de correo electrónico de remitentes sospechosos, enlaces que no conducen a sitios web oficiales y errores ortográficos o gramaticales. Si observa alguna de estas señales, ¡lo mejor es actuar con cautela y no picar el anzuelo!

No se convierta en víctima del cibercrimen. Proteja sus dispositivos con el mejor antivirus y su privacidad con la mejor VPN.

Comprender el smishing: definición y táctica

El smishing, una combinación de “SMS” (servicio de mensajes cortos) y “phishing”, es un tipo de ataque de suplantación de identidad que se produce a través de mensajes de texto. El objetivo de estos ciberdelincuentes es engañar a víctimas desprevenidas para que entreguen datos confidenciales, como contraseñas, números de la seguridad social e información sobre tarjetas de crédito. Un asombroso 74% de las organizaciones han sufrido ataques de “smishing”, lo que demuestra su carácter generalizado.

Para engañar a sus objetivos, los smishers suelen utilizar tácticas como el envío de solicitudes urgentes, el uso de enlaces acortados y la suplantación de empresas legítimas. La combinación de utilizar dispositivos móviles sobre la marcha y tener una falsa sensación de seguridad convierte a las personas en objetivos fáciles para los ataques de smishing, independientemente de la plataforma que utilicen.

Smishing vs. Phishing

Aunque los ataques de smishing y phishing comparten similitudes, se dirigen a las víctimas a través de canales diferentes. Mientras que los ataques de phishing suelen llegar a través de correos electrónicos, los de smishing se envían a través de mensajes de texto o aplicaciones de mensajería, como WhatsApp o Facebook Messenger. Estos mensajes de smishing suelen parecer procedentes de un banco u otra institución financiera, en los que se solicita información personal como contraseñas o números de tarjetas de crédito.

Para mantenerse a salvo de los ataques de smishing, es crucial configurar filtros de spam y herramientas de bloqueo, ser consciente de sus hábitos personales de seguridad y notificar cualquier incidente de smishing que encuentre.

Si comprende las diferencias entre smishing y phishing, estará mejor preparado para reconocer y evitar ambos tipos de ataques.

Escenarios comunes del smishing

Existen innumerables escenarios de smishing, ya que los atacantes reinventan continuamente sus estrategias. Algunos esquemas comunes de smishing incluyen falsas alertas bancarias, estafas relacionadas con COVID-19 y ofertas de regalos. Estos atacantes pueden hacerse pasar por representantes de atención al cliente, servicios de entrega como USPS o FedEx, o incluso utilizar la promesa de acceso anticipado a nuevos productos, como el iPhone 12 de Apple.

A pesar de la variedad de los ataques de smishing, a menudo comparten señales de advertencia similares, como problemas con la facturación, el acceso a la cuenta, una actividad inusual o la resolución de una queja reciente de un cliente. Familiarizándose con estos escenarios, podrá reconocer mejor y evitar ser víctima de ataques de smishing.

La anatomía de un ataque de smishing

Un ataque de smishing consta de varias etapas: envío de mensajes de texto fraudulentos, convencimiento de la víctima para que revele información sensible y recopilación de dicha información. Los mensajes suelen tener un sentido de urgencia y piden al destinatario que haga clic en un enlace o responda con información personal, a menudo haciéndose pasar por una fuente legítima como un banco o un sitio de redes sociales.

Las repercusiones de caer en un ataque de smishing pueden ser graves, incluyendo el robo de identidad, pérdidas financieras y daños a la propia reputación. Comprender la anatomía de un ataque de smishing es crucial para reconocer y evitar estas amenazas.

Iniciación del ataque

Los ataques de smishing suelen comenzar cuando los piratas informáticos obtienen el número de teléfono de una persona y le envían un mensaje de texto con un enlace malicioso o una solicitud de información personal. Pueden iniciar el contacto utilizando diversos métodos, como números falsos, teléfonos desechables o incluso servicios de correo electrónico a texto.

Si es consciente de cómo inician el contacto los smishers, puede estar más atento cuando reciba mensajes de texto inesperados y evitar caer en sus trucos.

Técnicas de ingeniería social

Los Smishers emplean técnicas de manipulación psicológica e ingeniería social para engañar a sus víctimas. Se aprovechan de las debilidades del objetivo, como el miedo, la codicia o el sentido de urgencia, para convencerle de que realice una acción rápida, descargue malware, visite un sitio web malicioso o facilite información confidencial.

Algunas de las técnicas de ingeniería social utilizadas en los ataques de smishing incluyen ganarse la confianza, crear una sensación de urgencia y hacerse pasar por una fuente legítima. Reconocer estas tácticas puede ayudarle a mantenerse a salvo de los ataques de smishing y otras amenazas de ingeniería social.

Recogida de datos sensibles

Una vez que un “smisher” ha convencido a su víctima para que actúe, puede recopilar datos personales y financieros a través de enlaces de phishing, sitios web falsos y software malicioso. Estos datos sensibles pueden utilizarse después para el robo de identidad, el fraude u otros fines maliciosos.

Para protegerse de los ataques de smishing, es fundamental ser precavido al hacer clic en enlaces o proporcionar información personal, especialmente si el mensaje parece sospechoso o urgente.

Cómo identificar los textos de Smishing

Aprender a reconocer los textos de smishing es esencial para protegerse de estos ataques. Si se familiariza con las banderas rojas que suelen estar presentes en los mensajes de smishing y comprende cómo verificar la autenticidad de un mensaje, podrá minimizar el riesgo de ser víctima de un ataque de smishing.

Banderas rojas en los mensajes de Smishing

Hay varias señales de advertencia a las que debe prestar atención para identificar los mensajes de smishing. Algunas banderas rojas comunes incluyen peticiones urgentes, errores ortográficos, enlaces o números de teléfono sospechosos. Estos mensajes suelen proceder de números desconocidos u ocultos y pueden contener mala gramática, un espaciado extraño o mensajes cortos con enlaces maliciosos.

Ser consciente de estas banderas rojas puede ayudarle a reconocer los mensajes de smishing y evitar caer en sus trucos. Confíe en sus instintos y piénselo dos veces antes de hacer clic en cualquier enlace o facilitar información personal en un mensaje de texto.

Verificación de la autenticidad de los mensajes

Para verificar la legitimidad de un mensaje, puede utilizar firmas digitales, que emplean criptografía de clave pública y funciones hash criptográficas para confirmar la identidad del remitente y garantizar que la firma está conectada con el mensaje. Si no está seguro de la autenticidad de un mensaje, es una buena idea ponerse en contacto con el supuesto remitente utilizando la información de contacto que proporcionó o buscando sus canales de comunicación oficiales, como su sitio web o sus cuentas en las redes sociales.

Si se toma el tiempo necesario para verificar la autenticidad de un mensaje, podrá protegerse de los ataques de smishing y asegurarse de que sólo responde a comunicaciones legítimas.

Pasos para protegerse contra el smishing

Para prevenir los ataques de smishing y proteger su información personal, es esencial implantar filtros de spam y herramientas de bloqueo, así como reforzar sus hábitos de seguridad personal.

Tomando estas medidas proactivas, puede minimizar su exposición a los ataques de smishing y mantener a salvo sus datos confidenciales.

Implementación de filtros antispam y herramientas de bloqueo

Utilizar filtros antispam y funciones de bloqueo en su teléfono inteligente y en los servicios de su operador puede ayudarle a evitar que las llamadas y los mensajes de texto no deseados lleguen a su teléfono. Muchos operadores ofrecen servicios como Verizon Call Filter, AT&T Call Protector, T-Mobile Scam ID, Scam Block, Name ID y U.S. Cellular Call Guardian para ayudarle a protegerse de los ataques de smishing.

Si su teléfono Android no dispone de filtro incorporado, puede instalar una aplicación como Nomorobo o RoboKiller. Mediante la implementación de filtros de spam y herramientas de bloqueo, puede reducir el riesgo de recibir textos de smishing y salvaguardar su información personal.

Reforzar los hábitos de seguridad personal

Además de utilizar filtros de spam y herramientas de bloqueo, es crucial mantener unos hábitos de seguridad personal sólidos, como utilizar contraseñas seguras, activar la autenticación de dos factores y ser cauteloso al compartir información personal en línea. Estas prácticas pueden ayudarle a proteger sus cuentas de los ataques de smishing y dificultar el acceso de los atacantes.

Recuerde que mantenerse alerta y ser consciente de su presencia en Internet puede reducir en gran medida el riesgo de ser víctima de ataques de smishing y otras formas de ciberdelincuencia.

Qué hacer si es víctima del smishing

Si se encuentra víctima de un ataque de smishing, es importante tomar medidas para informar del incidente y minimizar cualquier daño potencial.

Al supervisar sus cuentas financieras, sus informes de crédito y su presencia en Internet, podrá identificar y abordar cualquier problema que pueda derivarse del ataque.

Notificación de incidentes de Smishing

Para informar de un incidente de smishing, puede reenviar el mensaje a SPAM (7726), denunciarlo a la Comisión Federal de Comercio (FTC) en ReportFraud.ftc.gov, o reenviarlo al Grupo de Trabajo Anti-Phishing (APWG) en reportphishing@apwg.org. Estas organizaciones trabajan para combatir el smishing y otros tipos de fraude en línea, y su informe puede ayudarles en sus esfuerzos.

Al informar sobre incidentes de smishing, puede contribuir a la lucha contra estos ciberdelincuentes y ayudar a proteger a otras personas de ser víctimas de ataques similares.

Supervisión y mitigación de daños

Después de ser víctima de un ataque smishing, es crucial que vigile de cerca sus cuentas financieras, informes de crédito y presencia en línea para identificar y abordar los posibles problemas derivados del ataque. Esté atento a cualquier indicio de robo de identidad, actividad inusual en su cuenta o malware en su dispositivo.

Tomar estas medidas puede ayudarle a mitigar los daños causados por un ataque smishing y a recuperar el control de su información personal y financiera.

Resumen

En un mundo en el que los dispositivos móviles forman parte integral de nuestras vidas, los ataques de smishing suponen una amenaza significativa para nuestra seguridad personal y financiera. Comprendiendo las tácticas y técnicas utilizadas por los smishers, reconociendo las señales de advertencia, aplicando medidas preventivas y tomando las medidas adecuadas si somos víctimas, podemos ir un paso por delante de estos ciberdelincuentes y protegernos de los ataques de smishing. Permanezca alerta, manténgase seguro y mantenga su información confidencial fuera del alcance de los estafadores.

Cómo mantenerse seguro en línea:

  • Utilice contraseñas seguras: Utilice una contraseña única y compleja para cada cuenta. Un gestor de contraseñas puede ayudarle a generarlas y almacenarlas. Además, active la autenticación de dos factores (2FA) siempre que esté disponible.
  • Invierta en su seguridad: Comprar el mejor antivirus para Windows 11 es clave para su seguridad en línea. Un antivirus de alta calidad como Norton, McAfee o Bitdefender salvaguardará su PC de varias amenazas en línea, incluyendo malware, ransomware y spyware.
  • Tenga cuidado con los intentos de phishing: Sea precavido cuando reciba comunicaciones sospechosas que le pidan información personal. Las empresas legítimas nunca le pedirán datos confidenciales por correo electrónico o mensaje de texto. Antes de hacer clic en cualquier enlace, asegúrese de la autenticidad del remitente.
  • Manténgase informado: En nuestro blog cubrimos una amplia gama de temas de ciberseguridad. Y hay varias fuentes creíbles (en inglés) que ofrecen informes y recomendaciones sobre amenazas, como NIST, CISA, FBI, ENISA, Symantec, Verizon, Cisco, Crowdstrike y muchas más.

¡Manténgase seguro en Internet!

Preguntas más frecuentes

A continuación encontrará las preguntas más frecuentes.

¿Cuál es un ejemplo de smishing?

El smishing es una forma de ataque de phishing en la que un atacante utiliza mensajes de texto SMS para enviar enlaces maliciosos a usuarios desprevenidos. Utilizan la automatización para enviar mensajes masivos con el objetivo de engañar a la gente para que haga clic en enlaces maliciosos. A menudo, el número que aparece en el identificador de llamadas no es rastreable hasta el atacante.

¿Cuál es la diferencia entre smishing y phishing?

El smishing es un tipo de ataque fraudulento que consiste en enviar mensajes de texto maliciosos, mientras que el phishing es un ataque a través del correo electrónico. El objetivo de ambos ataques es extraer información personal de la víctima atrayéndola para que haga clic en un enlace o abra un archivo adjunto. En resumen, el smishing y el phishing son dos tipos de ciberestafas con enfoques diferentes pero el mismo objetivo.

¿Qué ocurre si hace clic en un texto de smishing?

Hacer clic en un enlace smishing puede tener graves consecuencias. No sólo podría dar lugar al robo de sus datos personales, sino que también podría instalar software malicioso en su dispositivo que le ponga en riesgo de sufrir un robo de identidad. Protéjase no haciendo nunca clic en enlaces sospechosos.

¿Cuáles son las banderas rojas del smishing?

Esté atento a las banderas rojas del smishing, como direcciones de correo electrónico de remitentes sospechosos, enlaces que no conducen a sitios web oficiales y errores ortográficos o gramaticales. Si observa alguna de estas señales, ¡lo mejor es actuar con cautela y no picar el anzuelo!

Autor: Tibor Moes

Autor: Tibor Moes

Fundador y redactor jefe de SoftwareLab

Tibor ha probado 39 programas antivirus y 30 servicios VPN, y posee un certificado de posgrado en ciberseguridad de la Universidad de Stanford.

Utiliza Norton para proteger sus dispositivos, CyberGhost para su privacidad y Dashlane para sus contraseñas.

Puede encontrarle en LinkedIn o ponerse en contacto con él aquí.