Phishing a través de mensajes SMS




El phishing a través de mensajes SMS o "Smishing" es un ataque que se dirige a las víctimas a través del canal de mensajería SMS en lugar de a través del correo electrónico. 

Los ataques smishing intentan engañar a los usuarios de dispositivos móviles con mensajes de texto falsos que contienen enlaces a sitios legítimos, pero fraudulentos. Estos sitios maliciosos intentan robar credenciales, propagar malware móvil o cometer fraudes.

Aunque el smishing ha pasado mucho tiempo por debajo del radar con volúmenes de ataques globales relativamente pequeños a lo largo de los años, el uso de esta técnica ha ido cambiado a medida que los ciberdelincuentes buscan sacar provecho de las tendencias actuales de movilidad y trabajo remoto.

Aproximadamente el 81% de las organizaciones dicen que sus usuarios enfrentaron al menos algún nivel de ataques de smishing en 2019. Justo antes de que llegara el COVID-19, el volumen de smishing ya estaba aumentando. 

Entre el último trimestre de 2019 y el primer trimestre de 2020, los ataques de phishing móviles, incluido el smishing, aumentaron un 37%. 


A medida que las restricciones de movilidad a causa de la situación actual impulsa ron una ola de trabajo remoto y una mayor dependencia de los dispositivos móviles, las cifras de smishing han seguido aumentando.

La sensación de urgencia es mayor para los mensajes de texto y sus tasas de apertura son considerablemente más altas que las del correo electrónico.

Mientras que los destinatarios de correo electrónico solo abren alrededor del 20% de sus mensajes, los destinatarios de SMS abren el 98% de sus mensajes de texto, afirma el sitio Web MobileMarketer.com.

Tácticas comunes de phishing por SMS


Algunos tipos muy comunes de mensajes smishing incluyen:

  1. Notificaciones de envío de paquetería falsas.
  2. Suplantación de identidad de soporte técnico.
  3. Advertencias de saldo de cuenta bancaria falsa.
  4. Avisos de servicio al cliente falsificados.
  5. Notificaciones de premios para recompensas inventadas.
  6. Mensajes falsos de rastreo de contactos de Covid-19.

Estos tipos de mensajes se utilizan para engañar al usuario con el fin de que descargue una aplicación fraudulenta o abra un sitio falso para robo de contraseñas o datos bancarios y personales. 

Una ayuda adicional para el atacante smishing es el hecho de que los enlaces abreviados son usados comúnmente para el canal de comunicación SMS. Las grandes marcas los usan todo el tiempo.

Los atacantes también utilizan a veces una técnica llamada relleno de URL, que oculta el destino real del enlace con una serie de guiones. El relleno coloca primero una URL legítima, luego guiones y luego el dominio malicioso, de modo que solo la parte legítima del dominio sea visible en la pequeña barra de direcciones del dispositivo móvil, evitando que el usuario se percate a simple vista de que está ingresando a un sitio no válido.

¿Qué pueden hacer las empresas para protegerse contra los ataques de Smishing?


Como tal, las empresas deben implementar protecciones de seguridad móvil diseñadas específicamente para proteger los dispositivos móviles contra vectores de amenazas como smishing y otros dispositivos, aplicaciones, redes móviles y ataques de ingeniería social. 

Idealmente, la solución debería integrarse con el resto de su software de protección y administración de endpoints, con administración centralizada y corrección automatizada para aliviar la carga de los equipos de seguridad o TI.