Aunque muchas personas tienen el concepto de que los mensajes SMS son cosa del pasado, técnicas como el smishing están aquí para recordarnos que no es así, que los mensajes cortos de texto para móvil siguen teniendo mucha vigencia, y que los ciberdelincuentes son conscientes de esta situación, e intentan explotarla de manera muy, muy activa, en una muestra clara de que, a día de hoy, sigue siendo una técnica más efectiva de lo que nos gustaría pensar.
2021, en lo referido al smishing, empezó bastante fuerte, como ya te contamos en su momento, en un artículo en el que además explicábamos en qué consiste exactamente este técnica fraudulenta. En resumen, y por si no conoces el término, no es más que la unión de sms y phishing, es decir, impostación de identidad (ya sea de personas o de entidades) a través de mensajes cortos para el móvil.
¿Y por qué recurren los ciberdelincuentes a los mensajes SMS y al smishing, si los mensajes cortos son cosa del pasado? Por varias razones, en realidad. Como ya te contamos hace un año, los mensajes SMS están de capa caída en lo referido a las comunicaciones entre particulares, pero siguen siendo un canal de comunicación muy empleado en comunicaciones de las administraciones públicas, así como por muchas empresas privadas en sus operaciones y en sus campañas de telemarketing.
A esto, además, debemos sumarle que la consciencia de riesgos asociados a los mensajes SMS es muy, muy inferior a la de otros canales, como el correo electrónico. Así, personas a las que no les cuesta demasiado identificar un correo fraudulento, pueden sin embargo caer en la trampa de un smishing, pues no es común identificar los mensajes cortos con la ciberseguridad y las amenazas.
A esto debemos sumarle que el envío de mensajes SMS, si se realiza desde plataformas de envío masivo, es bastante económico, con precios que pueden estar por debajo de los tres céntimos de euro (y eso sin buscar mucho) en el caso de empresas serias, por lo que podemos imaginar fácilmente que resultará aún más económico de recurrir a otros canales. Así, una campaña de smishing puede tener un mayor coste económico que una de phishing por email, pero no hablamos de un coste muy elevado. Y bien realizada, puede ser tremendamente efectiva.
Y si, como contaba al principio, 2021 empezó con fuerza en lo referido al smishing, no podemos decir que la situación hubiera mejorado al final del año pasado. Como una simple muestra, la siguiente imagen es la de los mensajes SMS que recibí en mi teléfono personal en poco más de una semana, pocos días antes de los festejos de Navidad. Unas fechas en las que recibir paquetes es algo bastante habitual:
Conscientes de esta situación, la plataforma de email marketing Acrelia ha creado una sencilla pero práctica guía para los usuarios, con el fin de ayudar a identificar el smishing, diferenciándolo de los mensajes legítimos que llegan mediante el sistema de mensajes cortos. Para tal fin, la compañía recomienda un análisis crítico de cada una de las partes de cada sms que recibamos, al que nosotros añadimos también nuestras propias recomendaciones.
El remitente: En el caso de los mensajes que he mostrado que recibí en diciembre, que el remitente fuera un número de teléfono ya es un elemento para sospechar, pues normalmente tanto las empresas como las entidades públicas se identifican como tales. Ahora bien, por desgracia hay plataformas de envío masivo de mensajes SMS que permiten modifica la identificación del remitente sin validar previamente dichos datos.
Así pues, lo primero que debemos tener en cuenta, al igual que ya hemos aprendido con el phishing, es NO confiar en la supuesta identidad del remitente, pues en realidad ésta puede ser fácilmente impostada.
El contenido: Poco a poco, parece que los ciberdelincuentes van aprendiendo a escribir. Sin embargo, y para nuestra suerte, los traductores automáticos con sus múltiples lagunas siguen siendo una herramienta recurrente para los ciberdelincuentes en sus campañas de phishing y smishing. Busca e identifica las faltas de ortografía, y tómalas como una señal de alarma.
Lo que te piden: Correos no te va a pedir que instales una app en tu smartphone, y menos aún que para hacerlo permitas la instalación desde fuentes no seguras. Tu banco no te va a mandar un SMS diciendo que te han bloqueado la cuenta y que tienes que iniciar sesión en una web enlazada desde el mensaje. Hacienda no te va a decir que tienes 24 horas para pagar una tasa pendiente a través de Paypal, Bizum o con criptomonedas. No, definitivamente tu banco no te va a pedir que envíes tus nombre de usuario y contraseña (datos que ya tiene) como respuesta a ese mensaje.
Y lo que tampoco van a hacer dichas empresas y entidades es apremiarte con plazos lo suficientemente cortos como para que no tengas capacidad de reacción. Quienes hacen eso son los ciberdelincuentes, conscientes de que la presión ejerce un efecto en las víctimas que, en no pocos casos, dan prioridad a la rapidez por encima de la seguridad. Los plazos muy, muy cortos, suelen ser sinónimo de smishing.
Aún así, es comprensible que en algunos casos puedas llegar a dudar, especialmente si causalmente se dan las circunstancias para que un mensaje así tuviera sentido. En tal caso, aún así, actúa a priori como si se tratara de un smishing (que muy probablemente lo sea), pero contacta con la empresa, entidad o administración que supuestamente te ha enviado el mensaje, pero hazlo siempre por sus canales oficiales, nunca respondiendo al mensaje y a la posible información de contacto que pueda contener el mensaje fraudulento.
La entrada ¿Cómo identificar el smishing? es original de MuySeguridad. Seguridad informática.