¡Conoce las +4.500 opiniones de alumnos de LISA Institute!

Cursos de Seguridad Inteligencia Ciberseguridad


Smishing: qué es, riesgos, ejemplos y cómo evitarlo

¿Sabes qué es el Smishing, qué riesgos implica y cómo puedes evitarlo? Los cibercriminales están apostando por la técnica conocida como Smishing a la hora de estafar a los usuarios a través de mensajes de texto (SMS). El objetivo del Smishing es el mismo que el de otros tipos de estafas como, por ejemplo, el Phishing: recabar datos confidenciales y obtener dinero ilícitamente.

Según un estudio de Experian, los usuarios de móviles cuya edad oscila entre los 18 y 24 años, envían más de 2022 textos al mes (alrededor de 67 al día) y reciben 1831 mensajes.

En este artículo, te explicaremos los aspectos más relevantes del Smishing bancario por SMS para prevenir y evitar que tanto tú como los de tu entorno os convirtáis en víctimas de esta estafa:

  • ¿Qué es el Smishing?
  • Modus Operandi del Smishing
  • Objetivos, riesgos y ejemplos del Smishing
  • 6 consejos para evitar ser víctima del Smishing

Smishing: qué es, riesgos, ejemplos y cómo evitarlo

¿Qué es el Smishing? 

Smishing es una palabra que está compuesta por "SMS" (mensajes de texto) y "phishing" (estafa que consiste en simular ser una página web oficial o un remitente de correo electrónico auténtico para que la víctima se confíe y comparta datos o haga clic en un enlace o archivo malicioso).

El Smishing es una estafa que consiste en el envío de mensajes SMS al móvil con la finalidad de convencer al usuario para que introduzca su información personal. Los cibercriminales intentan conseguir que el usuario normalmente revele información bancaria – un nombre de inicio de sesión, contraseña o información de la tarjeta de crédito – con el propósito de suplantar su identidad y acceder a su dinero.

Los cibercriminales también pueden pedir a la víctima que responda a ciertas preguntas por SMS o que llame a un determinado número de teléfono (habitualmente de tarificación adicional) o realice cualquier otra acción que suponga un coste adicional. En resumen, el objetivo final del Smishing es obtener nuestras claves de usuario o información personal, así como vendernos productos o servicios falsos/inexistentes, infectar nuestro dispositivo móvil, etc.

 

Cómo evitar ser víctimas del Smishing

Modus operandi del Smishing

Los cibercriminales utilizan el Smishing para obtener los datos personales de la víctima y utilizarlos para robarle el dinero.

No obstante, esto también puede ser perjudicial no solo para la víctima en particular sino también para la organización en la que trabaja. Cada vez son más las personas que utilizan sus dispositivos móviles para trabajar (una tendencia llamada BYOD -Bring Your Own Device- o, en español, "trae tu propio dispositivo").

Por este motivo, el Smishing se está convirtiendo tanto en una amenaza empresarial como en una amenaza para consumidores. De manera que no es una sorpresa que, según Cloudmark, el Smishing se haya convertido en la principal forma de mensaje de texto malicioso.

Existen dos métodos diferentes para obtener la información confidencial de un usuario a través del Smishing:

1. DESCARGA DEL MALWARE

Los cibercriminales pueden engañar al usuario a través del SMS para que se descargue el malware, el cual se instala automáticamente en el dispositivo móvil.

Este malware puede tener la apariencia de una aplicación legítima y, por tanto, engaña a la víctima para que introduzca la información confidencial y envíe la información a los cibercriminales.

2. WEB FRAUDULENTA

El enlace incluido en el mensaje de Smishing puede redirigir a la víctima a una web fraudulenta, de apariencia legítima, en la que se pide la introducción de la información personal. Una vez aportada, los cibercriminales pueden utilizar esos datos para robar el nombre del usuario y su contraseña.

 

Cursos de Ciberseguridad LISA Institute

Objetivos, riesgos y ejemplos reales de Smishing

A continuación, te mostramos los objetivos y ejemplos de Smishing más utilizados a la hora de engañar a los usuarios:

Técnica Smishing #1: suscribir al usuario a un Servicio SMS Premium 

«ENHORABUENA, ha sido seleccionado de entre [X] millones de usuarios y ha ganado un [coche]. Para obtener su premio tiene que enviar al número [XXX XXX XXX] la palabra COCHE.»

«Sólo necesitamos tus datos personales, envía un SMS desde tu móvil con la palabra OFERTA al número [XXX XXX XXX]. En un plazo de [X] días te enviaremos la [barbacoa] a la dirección que previamente nos hayas facilitado.»

Técnica Smishing #2: que el usuario llame a un número de tarificación especial

«Tiene un aviso muy urgente. Llame al número [XXX XXX XXX].»

«[Nombre] está desesperada buscándote, dice que habló contigo estos días y pide tu teléfono porque lo ha perdido. Dime si puedo dárselo. Contesta.»

Técnica Smishing #3: robo de datos bancarios

«Envíenos la siguiente documentación: copia de su tarjeta de coordenadas y su tarjeta bancaria [banco] y anote también el pin al correo: [correo].»

«Estimado cliente, su tarjeta de crédito ha sido bloqueada por su seguridad.  Para desbloquear su tarjeta tiene que visitar urgentemente [web] y completar los pasos que le piden. Tiene 24h.»

Técnica Smishing #4: que el usuario acceda a una web fraudulenta para infectar su ordenador o estafarle con algún producto/servicio inexistente

«Esta es la web que te dije [web] Calvin Klein, Dolce Gabanna, Hugo Boss, Loewe, Chanel etc todo a mitad de precio. Dale un vistazo y me dices…»

«Esta web [web] tiene descuentos de hasta el 80% durante 24 horas. Haz clic en el enlace y no pierdas la oportunidad»

 

Cómo evitar ser víctimas del Smishing

    6 consejos para evitar ser víctima del Smishing

    La buena noticia es que es sencillo prevenir y evitar ser víctima del Smishing y ataques similares. La estafa sólo puede perjudicarte si muerdes el anzuelo.

    Por este motivo, te dejamos una lista de 6 consejos que te servirán para protegerte contra el Smishing:

    1. Ninguna institución financiera o empresa te enviará un SMS que te pida actualizar la información de tu cuenta o confirmar el código de tu tarjeta de cajero automático. En caso de recibir un mensaje de este estilo, llama a tu banco o a la empresa si tienes dudas, marcando el teléfono directamente en tu terminal.
    2. Nunca hagas clic en un enlace o número de teléfono de un mensaje del que no estás seguro o conozcas su procedencia.
    3. No guardes información bancaria en tu dispositivo móvil.
    4. Ante la duda, no respondas a los SMS.
    5. Desconfía de los SMS que te hablan de trabajos (que no existen), premios (sin haber jugado) o paquetes recibidos (sin haberlos pedido).
    6. Vigila regularmente el consumo que realizas y, en caso de notar incrementos notables en la factura, contacta con la compañía telefónica.

     

    Cómo evitar ser víctimas del Smishing

    Quiero saber más, ¿qué hago?

    Si quieres ampliar información sobre cualquier ámbito de la Ciberseguridad, consulta estos artículos de nuestro blog:

      Si quieres empezar ya a formarte en Ciberseguridad, te recomendamos estos cursos online:

      Si quieres saber aún más

      Suscríbete para ser el primero en recibir artículos, análisis y noticias, además de descuentos exclusivos para suscriptores en formación sobre Seguridad, Inteligencia, Ciberseguridad y Geopolítica.