Cómo detectar el 'smishing' en el móvil
El nombre puede que no sea muy conocido, pero lo cierto es que según la Interpol, el 'smishing' es una de las prácticas de ciberdelincuencia más utilizada contra usuarios de telefonía móvil para robar información.
Pero… ¿Qué es el 'smishing'?
Es una modalidad de 'phishing' —técnica de suplantación cuyo objetivo es obtener información mediante el engaño— pero realizada a través de sistemas de mensajería, como SMS, WhatsApp o mensajes privados en redes sociales.
Consiste en un mensaje de texto que funciona como cebo, el objetivo es captar la atención de la víctima para que haga clic en un enlace fraudulento.
Cómo descubrir el 'smishing'
La técnica del 'smishing' está basada en el engaño y como todo engaño, requiere de la complicidad de la víctima para conseguir su propósito. Por eso, es indispensable que se pueda identificar a tiempo.
La primera recomendación es no subestimar a los atacantes, cada vez son más ingeniosos en el desarrollo de artimañas, más cuidadosos con los detalles y más profesionales en la ejecución técnica. Aún así, es posible descubrirlos y eludir sus trampas.
Hay que saber que para diseñar sus 'cebos', se valen de la psicología y la sociología. Su estrategia consiste en manipular a las víctimas con elementos emocionales que son comunes a la mayoría de las personas, como el deseo de premio y recompensa, el miedo, la urgencia, la solidaridad, el morbo o la curiosidad.
Elementos que deben ponerte en guardia
Regalos irresistibles y oportunidades de oro:
Cada poco el internauta se encuentra con mensajes dispuestos a convencerle de que le ha tocado la lotería, o que solo hay que enviar un mensaje a 10 contactos para hacerse con el último iPhone, o mandar los datos personales en un formulario para conseguir un 80% de descuento en Zara.
La Policía está teniendo que advertir en su cuenta de Twitter sobre campañas destinadas a obtener información de forma fraudulenta mediante mensajes de texto. En uno de los casos más sonados, supuestamente Netflix regalaba cuentas gratis a cambio de seguir a una cuenta y dar RT.
¿Un año de #Netflix sin gastarte plata (ni plomo)?
¡OJO! Facilita tus datos solamente a cuentas oficiales... ¡Ésta no lo es! pic.twitter.com/Cy8PQF3XJf— Policía Nacional (@policia) 30 de agosto de 2017
La ingenuidad y el desconocimiento son los mejores aliados de este tipo de estafas. Las tentaciones comerciales en forma de cebo se han disparado: Zara, Mercadona, Carrefour, Día, H&M , Ikea y un interminable número de marcas han sido suplantadas para llevar a cabo ataques de 'smishing'.
Marcas suplantadas para llevar a cabo ataques de 'smishing'.
El lema a tener en cuenta es el siguiente: “si algo es demasiado bueno para ser verdad, posiblemente no lo sea”.
La mejor prevención ante este tipo de cebos es la desconfianza y el sentido común. Muchas marcas hacen buenas promociones, pero de allí a regalar un año entero de suscripciones por hacer un RT... se estará de acuerdo en que desafía toda lógica, ¿no?
Si se recibe uno de estos mensajes recuerda:
Es esencial no facilitar ninguna información personal, no hacer clic en ningún enlace interno, no responder a estos mensajes y sobretodo, no reenviarlos porque, entonces, se está contribuyendo a propagar la amenaza y se está enviando un mensaje envenenado a todos los contactos.
En cambio, si se cree que la oferta puede ser auténtica (y algunas veces lo son) en lugar de seguir el enlace que aparece en el mensaje, lo aconsejable es dirigirse a la página oficial de la marca y comprobar si se trata de una promoción auténtica porque, si lo es, estará anunciada en sus canales oficiales.
La urgencia y el miedo
Si se detecta urgencia en el mensaje y la necesidad de llevar a cabo una acción inmediata, hay que ponerse en guardia, es muy factible que se trate de un ataque de 'smishing'. Aquí utilizan la imagen de bancos, compañías eléctricas y hasta la de Google.
En el caso de Google, una de las modalidades de 'smishing' más utilizado consiste en enviar un supuesto mensaje desde el centro de soporte técnico de Google advirtiendo que una contraseña ha sido comprometida y que se debe cambiarla urgentemente. Para hacerlo, hay que hacer un clic en un link que suplanta la página de Google y que solicita que introduzcas los datos, incluida la contraseña. El final es conocido, en cuanto se hacen con la contraseña tienen acceso a todos los servicios asociados a esa cuenta, incluyendo Google Play.
Pero tampoco son los únicos. Estos mensajes pueden provenir de remitentes que dicen ser Apple pidiendo que cambies el ID de un terminal antes de que expire, el banco diciendo que han detectado operaciones sin autorizar en tu cuenta o actividades inusuales, o de PayPal advirtiendo de qué cuenta ha sido comprometida.
Ejemplos de mensajes desde un supuesto centro de soporte técnico.
¿Que tienen en común estos mensajes?
En todos los casos incluyen un enlace que se debe seguir para evitar daños mayores. Todos buscan que se pierda el juicio y se actúe de forma impulsiva.
El objetivo de los atacantes
Las recomendaciones son las mismas que en el caso anterior, especialmente desconfiar de cualquier mensaje que requiera una acción inmediata. Es mejor contrastar la información con quien supuestamente emite el mensaje, no seguir ningún enlace y no responder a estos mensajes.
Asimismo, tener presente que desde BBVA nunca se va a enviar mensajes que redirija a una página en la que se soliciten las credenciales de acceso o los datos bancarios. Prudencia, desconfianza y sentido común son los mejores aliados para evitar ser víctimas de estas estafas.
Como medidas de seguridad adicionales, es importante tomar algunas precauciones:
- Instalar siempre un antivirus en los dispositivos, ya que muchos de esos enlaces maliciosos descargan 'malware' o troyanos capaces de secuestrar información sin enterarse.
- Mantener todas las aplicaciones actualizadas.
- Revisar los permisos de las aplicaciones antes de descargarlas para determinar si los que se solicita (acceso a nuestros sms, contactos, cámara, etc.) se encuentran dentro de lo razonable para el funcionamiento de la aplicación.
Recordar siempre que este tipo de ataques requiere de un cómplice involuntario mordiendo el anzuelo. Siempre es mejor no ser uno de ellos.