Desde que Internet entró en nuestras vidas ha supuesto un gran cambio. En muchos casos positivo. Tenemos acceso a todo tipo de información y es útil como herramienta educativa y de entretenimiento. También podemos comprar todo tipo de productos y servicios, y relacionarnos con las diversas administraciones públicas. Pero la otra cara de la moneda es que también ha supuesto una nueva fuente de riesgos y de ciberdelitos que hay que combatir.
Hay un término con el que muchos de nosotros estamos familiarizados: el phishing. Aunque por desgracia menos de los que deberíamos. Hoy vamos a hablar de un término similar, pero que tiene sus matices: el smishing. Explicaremos las diferencias entre estos términos e intentaremos dar consejos útiles para prevenir este tipo de amenazas y sobre cómo actuar si por mala fortuna ya “hemos picado” en uno de estos fraudes.
Pero, ¿qué es eso de smishing?
Antes de proponer una definición de smishing vamos a adelantar que está íntimamente relacionado con tu teléfono móvil. Y esto ya supone una gran importancia, ya que se estima que a día de hoy, hay alrededor de 7.500 millones de smartphones en el mundo. Y son muchas ventanas a través de las cuales pueden asomarse los delincuentes.
Smishing es una palabra formada por otras dos: SMS y phishing. Es una técnica de ingeniería social consistente en el envío masivo de SMS fraudulentos que generalmente incorporan un vínculo destinado a recopilar información personal de los atacados, como los datos de la tarjeta de crédito. En caso de hacer clic en el vínculo nos pueden descargar un software malicioso o remitirnos a una web falsa donde intentarán recabar los datos.
La diferencia con el phishing es que en ese caso el fraude se intenta cometer por correo electrónico o a través de algunas páginas web. Por ejemplo, usando los comentarios de blogs o los mensajes en foros.
Spoofing, un riesgo adicional del smishing
El smishing puede plantear algunos riesgos adicionales a los que ya de por sí acarrea cualquier tipo de phishing. Por ejemplo, la tasa de apertura de los SMS es muy superior a la del correo electrónico. Hablamos de tasas por encima del 90% frente al 20-40%. Puede ser debido a que hablamos de un canal menos saturado, con filtros de spam más laxos, y que nos traslada una mayor sensación de “mensaje importante”.
En la web del Banco de España nos hablan del concepto de SMS spoofing. Se trata de una técnica que permite enviar un SMS desde una fuente desconocida suplantando una identidad que puede haber contactado anteriormente con el receptor del mensaje.
El riesgo adicional que tiene esta práctica es que el mensaje puede «colocarse» en la misma sección que mensajes que anteriormente sí ha enviado la identidad suplantada. Podremos tener, por ejemplo, un mensaje falso que aparenta ser de nuestro banco detrás del último mensaje que realmente nos envió nuestro banco.
¿Cómo me puedo proteger de estos riesgos?
Consejos para evitar ser víctima de un ataque de smishing puedes encontrar en muchos sitios, pero desde aquí recomendamos consultar la web de INCIBE, el Instituto Nacional de Ciberseguridad, donde se puede descargar una guía para identificar fraudes online.
Conviene aclarar que la mayoría de estos consejos pueden ser útiles también para evitar un ataque de phishing. Quizás el más importante de ellos es el primero: jamás hacer clic en un vínculo que llegue a través de un SMS, tanto si nos llega de un remitente desconocido, como si creemos en primera instancia que es de una empresa u organismo que nos resulta familiar.
También es muy conveniente tener actualizado el software del teléfono móvil, su sistema operativo, ya que de forma regular obtendremos parches de seguridad que se adaptan a los nuevos riesgos. Y para el caso en el que alguna de nuestras contraseñas se haya puesto en riesgo, es muy conveniente tener activado el factor de doble autenticación en cualquier web o app, especialmente en todas aquellas que alojen datos sensibles.
Aprende a identificar un mensaje fraudulento
Cuando te llega un SMS que no esperas hay varias pistas que deberían despertar las sospechas de fraude de forma inmediata. La primera es cuando el mensaje denota cierta urgencia, casi exigencia, para que ejecutes alguna acción. Por ejemplo: «Hemos detectado movimientos extraños en su cuenta, verifique los detalles a la mayor brevedad», acompañado de un supuesto enlace a tu entidad bancaria.
Esto nos lleva a la segunda pista. Es mejor evitar cualquier tipo de enlace, y acudir directamente a la web oficial de nuestro banco o empresa de paquetería tecleando la dirección en el navegador. En muchas ocasiones la dirección de internet que te ponen te va a despertar dudas, pero lo mejor es no fiarse nunca. Por último, no menos importante, nadie debería pedirte datos personales ni bancarios: el número de tarjeta, tus contraseñas y mucho menos pedirte que te descargues algún tipo de aplicación desde un SMS.
¿Y si ya he hecho clic en el enlace?
En el caso de que hayas hecho clic en un enlace malicioso y hayas introducido un usuario y una contraseña, lo primero que tendrás que hacer es cambiar tus contraseñas. Si eres de esas personas que tienen la misma contraseña en diversos servicios, lo más conveniente será que las cambies todas, y que no vuelvas a usar contraseñas repetidas.
Si has introducido un usuario y una contraseña de una entidad bancaria, contacta con tu banco y bloquea cuanto antes tu tarjeta de crédito. Y en todo caso, si crees que ha sido víctima de un fraude online, contacta con la policía y con el organismo antes citado: el INCIBE.
Si al hacer clic en el enlace se ha iniciado una descarga, lo mejor es que desconectes cuanto antes tu dispositivo de Internet, ya que se ha podido instalar un malware (un virus, un troyano u otro). Puede ser conveniente usar algún tipo de software de detección de malware.
Caso práctico: intento de smishing usando el nombre de SEUR
Como hemos comentado, este tipo de estafas se intentan cometer a diario en nombre de entidades bancarias y de organismos públicos, pero también de empresas de mensajería y paquetería. Y los delincuentes pueden usar el nombre de SEUR, exactamente igual que utilizan la denominación de otras empresas.
De hecho, según informan los responsables de ciberseguridad de SEUR, durante la campaña de Black Friday, Navidades y Rebajas, se detectaron muchos casos en los que ciberdelincuentes se hacían pasar por SEUR para estafar a la gente.
Como se puede ver en las imágenes, se cumple lo que hemos venido contando en este artículo. En primer lugar, llega un SMS con un texto que motiva al hipotético cliente a actuar con rapidez para recibir su paquete. Si la persona que recibe el mensaje hace clic en el enlace fraudulento le redirige a una web falsa donde se le pide una pequeña cantidad de dinero.
El objetivo de los delincuentes no es robar esa pequeña cantidad de dinero, sino obtener los datos de la tarjeta de crédito de los clientes. En caso de haber hecho clic en el enlace de un mensaje como este o, muy especialmente, si has dado los datos que te piden, sigue todos los consejos que te hemos proporcionado.
En el caso concreto de SEUR busca la página web oficial, en este caso www.seur.com, en tu navegador y verifica el estado del pedido o si hay alguna incidencia. También puedes contactar con nuestro servicio de Atención al Cliente o con Lola para confirmar si todo está correcto. En caso de recibir un SMS que parece sospechoso, no hagas clic en el enlace. Y si tienes dudas, puedes enviar una captura de pantalla o el enlace a phishing@seur.net
Nos encantará conocer tu opinión, pero primero tenemos que indicarte que los comentarios están moderados, y no aparecerán inmediatamente en la página al ser enviados. Evita, por favor, las descalificaciones personales, los comentarios maleducados, los ataques directos o ridiculizaciones personales, o los calificativos insultantes de cualquier tipo, sean dirigidos a los autores, a cualquier otro comentarista o la empresa propietaria de esta página. Estás en tu perfecto derecho de comentar anónimamente, pero por favor, no utilices el anonimato para decirles a las personas cosas que no les dirías en caso de tenerlas delante. Intenta mantener un ambiente agradable en el que las personas puedan comentar sin temor a sentirse insultados o descalificados. No comentes de manera repetitiva sobre un mismo tema, y mucho menos con varias identidades o suplantando a otros comentaristas. También, procura que tus opiniones estén relacionadas con lo que se comenta en esta entrada. Los comentarios off-topic, promocionales, o que incumplan todas estas normas básicas serán eliminados.