[19/05/2020] El smishing es un ataque cibernético que utiliza mensajes de texto engañosos para timar a las víctimas. El objetivo es engañarle para que crea que ha llegado un mensaje de una persona u organización de confianza, para luego convencerle de que tome medidas que le brinden información explotable al atacante (como las credenciales de inicio de sesión de una cuenta bancaria, por ejemplo) o acceso a su dispositivo móvil.
El smishing es una variación, centrada en los mensajes de texto, de las estafas de phishing que usan el correo electrónico y que existen desde la década de 1990. Pero las personas suelen estar menos atentas a los mensajes sospechosos en sus teléfonos que en sus computadoras: es más probable que abran un mensaje de texto potencialmente sospechoso que un mensaje de correo electrónico, y sus dispositivos personales generalmente carecen del tipo de seguridad disponible en las PC corporativas. Esta nueva versión perniciosa de un viejo truco se está generalizando cada vez más.
Phishing vs. Smishing vs. Vishing: ¿Cuál es la diferencia?
Antes de sumergirnos en los detalles, tomemos un momento para comprender la terminología de estas técnicas de ataque relacionadas. El phishing es el abuelo de todos ellos. En esencia implica el envío de mensajes engañosos de correo electrónico específicos a los destinatarios. "Phish” se pronuncia tal como se deletrea, es decir, como la palabra "fish” -la analogía es la de un pescador que arroja un anzuelo (el correo electrónico de phishing) y que espera que usted lo muerda. El término surgió a mediados de la década de 1990 entre los hackers que buscaban engañar a los usuarios de AOL para que entregaran a su información de inicio de sesión. El "ph” en "phishing” es parte de una tradición de ortografía caprichosa de los hackers, y probablemente fue influenciado por el término "phreaking”, abreviatura de "phreaking de teléfono”, una forma temprana de hackeo que implicaba reproducir tonos de sonido en los teléfonos para recibir llamadas telefónicas gratuitas.
El smishing es, esencialmente, phishing a través de mensajes de texto. La palabra es un acrónimo de "phishing” y "SMS”, siendo este último el protocolo utilizado por la mayoría de los servicios de mensajería de texto del teléfono. Debido a esta etimología, en algún momento verá la palabra escrita como "SMiShing”, aunque eso es cada vez más raro; las personas también incluyen intentos de estafa a través de servicios de texto que no son SMS, como WeChat o iMessage de Apple, bajo el paraguas de smishing. El término ha existido desde al menos los últimos años '00, aunque la omnipresencia de los smartphones en la era moderna lo ha convertido en un vector de ataque más tentador para los hackers.
El "Vishing” es un tipo de ataque similar, que utiliza llamadas de voz en lugar de correos electrónicos o mensajes de texto; la palabra es un acrónimo de "voz” y "phishing”.
Ejemplos de ataque smishing
Hasta ahora hemos estado hablando en términos algo teóricos. Pero ¿cuáles son algunos ejemplos específicos de cómo funciona el smishing en la práctica? En otras palabras: ¿Qué debe estar buscando?
Podemos dividir los ataques de smishing en tres amplias categorías.
Intenta engañarle para que revele sus credenciales.Los smishers pueden tratar de convencerlo de que revele una combinación de nombre de usuario/contraseña u otra información confidencial que puedan usar para iniciar sesión en una de sus cuentas en línea. Y debido a que los bancos son, en la legendaria frase atribuida al ladrón de bancos Willie Sutton, "donde se encuentra el dinero”, el smishing bancario es uno de los tipos más lucrativos y comunes de esta categoría de ataque.
El sitio de tecnología del Reino Unido, Which?, tiene un buen desglose de cómo se ve un ataque típico de smishing bancario. Una de las paradojas de este tipo de ataque es que los atacantes juegan con los temores a ser hackeado para hackear su cuenta. Le enviarán mensajes de texto que afirman ser de su banco, "advirtiéndole” sobre una transferencia grande o un nuevo beneficiario agregado, y dándole un número para llamar, o un enlace para hacer clic, con el fin de bloquear este acceso potencialmente no autorizado a su cuenta. En realidad, por supuesto, la transferencia o el nuevo beneficiario no existe; el enlace lo envía a una página web fraudulenta parecida a la de su banco y le pide su nombre de usuario y contraseña, y el número de teléfono lo conecta con los estafadores, que tratarán de sacarle el mismo tipo de información. Una vez que estén armados con esas credenciales, pueden iniciar sesión en su cuenta bancaria y saquearla.
El smishing bancario a menudo es exitoso por un par de razones. Una es que muchos bancos realmente tienen servicios que le envían mensajes de texto sobre actividades sospechosas en su cuenta. Una cosa importante para tener en cuenta es que los mensajes legítimos deben contener información que demuestre que el banco ya sabe quién es usted: por ejemplo, pueden incluir los últimos dígitos de su tarjeta de crédito o número de cuenta bancaria. Las referencias vagas a "su cuenta” sin ningún detalle deben verse con sospecha. Por lo general, tampoco incluirán un enlace directo a la página web de un banco. La Credit Union del Condado de Orange tiene una buena guía de lo que debería ver en un mensaje de texto legítimo de un banco. Si no está seguro acerca de un mensaje como éste, debe iniciar sesión en su cuenta a través de su navegador o aplicación, sin seguir ningún enlace que se le envíe en un mensaje de texto.
Otro factor que puede calmar a una víctima en la complacencia: muchos smishers utilizan técnicas de suplantación de identidad para SMS que ocultan el número de teléfono o el código corto del que parece provenir un mensaje de texto. Es relativamente fácil enviar un mensaje de texto que parece provenir de otro número, y de hecho hay muchas razones legítimas para hacerlo -si alguna vez ha usado iMessage o una herramienta similar para enviar un mensaje de texto desde su laptop, usted mismo ha participado en un SMS engañoso. Pero si un atacante usa la suplantación de identidad por SMS para hacer que sus mensajes de texto parezcan provenir de su banco, su teléfono los agrupará automáticamente con los mensajes de texto reales que ya haya recibido de esa institución, haciéndolos parecer más legítimos.
Intenta engañarle para que descargue malware.Este tipo de ataque es paralelo a uno de los propósitos principales del phishing por correo electrónico, aunque las técnicas están adaptadas para usuarios y tecnología móviles. Por ejemplo, una estafa sofisticada que se desencadenó en la República Checa convenció a los usuarios de descargar una aplicación que supuestamente pertenecía al servicio postal de esa nación; en realidad, era un troyano que podía recolectar la información de la tarjeta de crédito ingresada en otras aplicaciones en el teléfono.
En general, este tipo de ataques son más raros cuando se llevan a cabo por mensaje de texto que por correo electrónico, porque los smartphones dificultan la instalación de aplicaciones, ya que los iPhones y muchos teléfonos Android solo permiten que funcionen las aplicaciones firmadas y verificadas de las tiendas de aplicaciones. Pero aún es posible cargar aplicaciones, especialmente en Android, por lo que debe sospechar mucho de cualquiera que intente que instale una aplicación por mensaje de texto.
Intenta engañarle para que le envíe dinero a alguien.Esta versión de smishing es más del dominio del estafador que del mago de la tecnología, pero sigue siendo algo en realidad preocupante, especialmente cuando se trata de personas menos conocedoras de la tecnología que no usan mucho el correo electrónico, y nunca se han vuelto inmunes a las súplicas por correo electrónico de los príncipes nigerianos que intentaban acceder al dinero escondido en cuentas bancarias en el extranjero. Los smishers trabajarán mucho para descubrir formas de hacer que confíe en ellos. En un ataque, una mujer en Tennessee recibió mensajes de texto que pensó que eran de amigos personales -los nombres probablemente habían sido cosechados de Facebook- informándole sobre una subvención del gobierno para la que calificó. En realidad, se trataba de una estafa clásica de "tarifa anticipada”: se le afirmó a la víctima que tenía que pagar por adelantado unos cientos de dólares de "impuestos” para obtener el dinero.
Si bien esas estafas juegan con la desesperación o la codicia de la víctima, algunas toman el enfoque opuesto, explotando su generosidad. Un grupo de estafadores envió mensajes de texto a las víctimas en Luisiana, pretendiendo ser un clérigo en una iglesia local, recaudando dinero para caridad; en realidad, simplemente se embolsaron el efectivo.
Efectos del smishing
Estos ejemplos deberían darle una idea de los efectos del smishing: los atacantes pueden saquear su cuenta bancaria, instalar malware que obtenga acceso a sus finanzas o su información de ubicación en su teléfono, o engañarle para que gaste dinero innecesariamente. En un sentido más amplio, estos ataques sofisticados hacen que sea más difícil para las instituciones financieras, u otras personas, tener comunicaciones confiables con los clientes a través de mensajes de texto, que es una de las plataformas de comunicaciones más universales en uso hoy en día.
Estadísticas del smishing
Hay una estadística que no se refiere específicamente al smishing, pero explica por qué los atacantes están trabajando tanto para desarrollar estas estafas: el 98% de los mensajes de texto se leen y el 45% se responden, mientras que los números equivalentes para el correo electrónico son 20% y 6%, respectivamente. A medida que los usuarios se sienten más abrumados por los correos electrónicos constantes y sospechan del spam, los mensajes de texto se han convertido en un vector de ataque más atractivo, explotando las relaciones más íntimas que tenemos con nuestros teléfonos.
Si bien el smishing aún no está en todas partes, definitivamente es más que una novedad en este momento: según el índice de seguridad móvil del 2020 de Verizon, el 15% de los usuarios en la industria encontraron un enlace de smishing en el tercer trimestre del 2019. El informe 2020 State of the Phish de Proofpoint indica que el 84% de las organizaciones encuestadas se enfrentaron a ataques smishing. Y el 30% de los encuestados de Proofpoint conocía el término "smishing”, que puede no parecer mucho, pero es superior al 25% del año anterior.
Cómo evitar el smishing
Existe una estadística más del informe de Proofpoint que queremos discutir, y llega al corazón de cómo las empresas pueden ayudar a frustrar los ataques de smishing: solo el 25% de las organizaciones encuestadas -y solo el 17% en los Estados Unidos- ejecutan simulaciones de smishing o vishing para ayudar a capacitar al personal para reconocer y reaccionar adecuadamente ante estos ataques. En las organizaciones que ejecutan estas simulaciones, la tasa de fallas es del 6%, no desastrosa, pero tampoco excelente.
Este tipo de simulaciones es una de las mejores formas para que las empresas capaciten a sus empleados sobre cómo evitar ser víctimas del smishing. Deben formar parte de su régimen continuo de capacitación en concientización de seguridad, junto con simulaciones de phishing y vishing. Los ataques de smishing simulados pueden ayudarle a enfocarse en sus esfuerzos de capacitación, dejando en claro si se necesita capacitación adicional y qué usuarios son particularmente vulnerables.
Incluso si su empleador no ejecuta simulaciones o realiza programas de capacitación, aún puede educarse para resistir los ataques de smishing. Zipwhip tiene algunos consejos de sentido común:
- Tenga cuidado con los textos que usan lenguaje no natural o no gramatical.
- Las ofertas que parecen demasiado buenas para ser ciertas, generalmente no lo son.
- No haga clic en enlaces incrustados ni descargue aplicaciones directamente desde un mensaje de texto.
Smishing y la FTC
La Comisión Federal de Comercio (FTC, por sus siglas en inglés) de los Estados Unidos tiene recursos para ayudar a combatir el smishing. La FTC tiene una página con consejos para evitar estas estafas. Si cree que ha sido víctima de una estafa, puede usar el sitio auxiliar de quejas de la agencia para presentar una queja y ayudar a atrapar a los autores. Pero, con suerte, el consejo de esta página le ayudará a estar un paso por delante de los smishers.
Josh Fruhlinger, CSO (EE.UU.)