El smishing es un tipo de delito o actividad criminal a base de técnicas de ingeniería social con mensajes de texto dirigidos a los usuarios de telefonía móvil. Se trata de una variante del phishing.
Es una estafa en la cual, por medio de mensajes SMS, se solicitan datos o se pide que se llame a un número o que se entre a un sitio web.
El sistema emisor de estos mensajes de texto, o incluso un individuo que suele ser un spammer, intentará suplantar la identidad de alguna persona conocida de entre nuestros contactos, o incluso a una empresa de confianza.
Las víctimas de smishing reciben mensajes SMS similares a estos:
- “Estamos confirmando que se ha dado de alta para un servicio de citas. Se le cobrará 2 dólares al día a menos que cancele su petición: www.?????.com.”
- “El cheque es preparado para usted. Favor gracias de llamarnos para completar las informaciones al número ?????” (nótese que parece que el texto está traducido por algún traductor en línea).
- “Hola. Anoche lo pasé muy bien contigo. Favor llámame al ????? para quedar”
Cuando visitamos la dirección web, las víctimas son incitadas o incluso forzadas a descargar algún programa que suele ser un troyano.
Cuando los cibercriminales hacen “phishing”, envían correos electrónicos fraudulentos que intentan engañar al destinatario para que abra un archivo adjunto cargado de malware o haga clic en un enlace malicioso. El smishing simplemente utiliza mensajes de texto en lugar de correo electrónico.
Los mensajes de texto son el uso más común de los smartphones. Experian descubrió que los usuarios de móviles adultos de entre 18 y 24 años envían más de 2022 textos al mes (de media, son 67 al día) y reciben 1831.
Otro par de factores lo convierten en una amenaza de seguridad especialmente malintencionada. La mayoría de la gente sabe algo de los riesgos de fraudes de correo electrónico. Probablemente has aprendido a desconfiar de los correos electrónicos que dicen “Hola, mira este interesante enlace” y no contienen un mensaje personal real del supuesto remitente.
Cuando la gente utiliza el teléfono, muestra menos recelo. Muchos asumen que sus smartphones son más seguros que los ordenadores, pero la seguridad de los smartphones tiene limitaciones y no puede proteger directamente contra el smishing. Como señaló WillisWire, el cibercrimen dirigido a dispositivos móviles se está disparando, así como el uso de dispositivos móviles. Sin embargo, aunque los dispositivos Android siguen siendo el principal objetivo del malware (simplemente porque muchos de ellos se encuentran allí y la plataforma ofrece una mayor flexibilidad para los clientes y para los cibercriminales), el smishing, como los propios SMS, funciona en distintas plataformas. Esto pone especialmente en riesgo a los usuarios de iPhone y iPad porque a menudo se sienten que son inmunes a los ataques. Aunque la tecnología móvil iOS de Apple tiene una buena reputación por su seguridad, ningún sistema operativo móvil puede por sí solo protegerte de ataques de tipo phishing. Otro factor de riesgo es que utilices tu smartphone en cualquier parte, a menudo cuando estás distraído o tienes prisa. Esto significa que tienes más probabilidad de que te pillen desprevenido, con la guardia baja, y respondas sin pensar cuando recibas un mensaje que te solicita información bancaria o para canjear un cupón.
En resumen, al igual que la mayoría de los cibercriminales, se dedican a robar tus datos personales, que pueden utilizar para robar dinero, normalmente tuyo, pero a veces también de tu empresa. Los cibercriminales utilizan dos métodos para robar estos datos. Podrían engañarte para que descargues malware que se instala en el teléfono. Este malware podría enmascararse como una aplicación legítima, que te engaña para que introduzcas información confidencial y envíes estos datos a los cibercriminales. Por otro lado, el enlace que se incluye en el mensaje de smishing podría llevarte a un sitio falso donde se te pide que introduzcas información personal confidencial que los cibercriminales pueden utilizar para robar tu ID online.
A medida que más y más personas utilizan sus smartphones personales para trabajar (una tendencia llamada BYOD, o “trae tu propio dispositivo”), el smishing se está convirtiendo en una amenaza empresarial, así como una amenaza para consumidores. Así pues, no debe sorprender que, según Cloudmark, el smishing se haya convertido en la principal forma de mensaje de texto malicioso.