El smishing, cada vez más utilizado por los ciberdelincuentes como vector de entrada

Recomendados:  La persistencia del ransomware Webinar Ciber resiliencia en el ecosistema eléctrico Leer

Los ataques de phishing o spam son muy habituales en los correos electrónicos pero los SMS continúan siendo considerados por los usuarios como envíos legítimos, ya que suelen ser utilizados para comunicación personal, notificaciones del banco, líneas áreas o códigos de un solo uso para validar operaciones o accesos. Es por este motivo por el que los ciberdelincuentes los están incorporando a su repertorio de técnicas de ataque para acceder a los datos de los usuarios.

Esto es lo que se denomina smishing, técnica de ingeniera social por la que los cibercriminales atacan de forma masiva y dirigida a muchos usuarios mediante el envío de un SMS simulando ser un destinatario legítimo que puede ser, por ejemplo, una entidad bancaria, una red social, una institución pública o una aplicación de uso extendido. El objetivo de estos ataques es robar información privada o realizar cargos económicos en las cuentas de la víctima, instando al usuario a acceder a un enlace web falso o a introducir sus credenciales para confirmar su cuenta. Lo que hace tan peligroso este tipo de ciberataques es la falta de costumbre y prevención por parte de los usuarios.

Como explica la firma, “los atacantes utilizan los SMS porque son baratos, es fácil obtener listados de teléfono y se pueden programar para enviar de forma masiva. Además, tienen un punto a su favor por encima de los emails fraudulentos, lo poco acostumbrados que estamos a ellos”.

Sus expertos ofrecen cinco recomendaciones para no ser víctimas de un ciberataque de este fi:

- No fiarse del remitente. El remitente de un SMS puede ser modificado para poner lo que los cibercriminales quieran, como, por ejemplo: “01Correos”. Aunque hay algún avance para evitar esto, todavía no está en vigor, así que, ante la duda, lo mejor es no confiar en lo que ponga en el remitente.

- Si piden hacer algo, es motivo de sospecha. Todo SMS que nos pida realizar una acción deber ser considerado sospechoso. Una cosa es un SMS de notificación (“su paquete ha sido enviado”) y otra muy distinta es que soliciten realizar una acción con algún tipo de amenaza como la cancelación del pedido, de una tarjeta o de una cuenta.

- La urgencia es una señal de alarma. Una técnica muy habitual en ingeniería social, además de utilizar la autoridad haciéndose pasar por un servicio con verosimilitud (correos, el banco, etc.) es la urgencia. En los ataques de smishing apremian a realizar una acción de forma inmediata, reduciendo nuestro tiempo para pensar o realizar las oportunas verificaciones.

- Proteger el móvil. Disponer de un sistema de protección para móviles permite a los usuarios contar con una capa extra de seguridad para bloquear este tipo de ataques. Soluciones de protección gratuitas, como la de este proveedor (Sophos Intercept X para móviles) proporciona protección antimalware para el dispositivo, control de navegación para bloquear el acceso a web maliciosas y control de SMS fraudulentos.