Smishing - Phishing por SMS

Lectura de 2 min aprox.

El smishing (Smishing) es un término general para los ataques de phishing que utilizan SMS (Servicio de Mensajes Cortos). Es una palabra compuesta de «SMS» y «Phishing» que envía mensajes SMS fraudulentos para dirigir a los destinatarios a sitios web maliciosos y robar su información personal y sus credenciales. En comparación con el phishing por correo electrónico, su tasa de apertura es abrumadoramente más alta (se dice que la tasa de apertura del SMS ronda el 98%) y explota hábilmente las características de los entornos móviles, donde es difícil verificar si una URL es auténtica.

Diferencias con el phishing por correo electrónico

A diferencia del correo electrónico, el SMS tiene un mecanismo de autenticación del remitente inmaduro. Si bien existe la autenticación de dominio como DMARC para el correo electrónico, no hay un estándar equivalente para el SMS. Los atacantes pueden enviar grandes volúmenes de SMS a bajo costo utilizando granjas de SIM y servicios VoIP, y también es técnicamente posible disfrazar el nombre del remitente como el de una empresa legítima.

Estafas de aviso de entrega fallida - una táctica desenfrenada en Japón

La táctica de smishing que causa más daños en Japón son los SMS disfrazados de avisos de entrega fallida de paquetes. Se envía una URL acortada junto con un mensaje como «Vinimos a entregar su paquete, pero lo retiramos porque estaba ausente. Haga clic aquí para la reentrega», y al pulsarla el destinatario es dirigido a un sitio falso que se parece mucho a una empresa de mensajería legítima. A los usuarios de Android se les pide instalar aplicaciones maliciosas, y una vez infectados con malware, su dispositivo comienza a enviar automáticamente grandes volúmenes de SMS de smishing, convirtiendo a la víctima en un «perpetrador». En el caso de los usuarios de iOS, se han reportado muchos casos de robo de credenciales de Apple ID o de facturación del operador.

Las empresas de mensajería legítimas no envían URL de reentrega por SMS. Si recibe un aviso de entrega fallida, no pulse el enlace del SMS; en su lugar, verifíquelo directamente a través de la aplicación oficial o el sitio web oficial.

El flujo de un ataque de smishing

La expansión de la mensajería RCS y los nuevos riesgos

La expansión de RCS (Rich Communication Services), el estándar de mensajería de próxima generación que reemplaza al SMS convencional, ha aportado una nueva dimensión al smishing. RCS admite contenido enriquecido (imágenes, videos, carruseles), confirmaciones de lectura e indicadores de escritura, lo que permite crear mensajes falsos sofisticados que son difíciles de distinguir de los mensajes corporativos oficiales. Si se abusa de la función de mostrar el logotipo de la marca, resulta aún más difícil distinguir visualmente los mensajes de las empresas legítimas.guías de seguridad móvil (Amazon) son útiles para mantenerse al día con las amenazas más recientes en entornos móviles.

La tecnología de filtrado de los operadores y sus límites

Los principales operadores de Japón (NTT Docomo, KDDI y SoftBank) ofrecen funciones de filtrado de SMS no deseados, pero su eficacia tiene límites. Como el filtrado se basa en patrones conocidos y listas de bloqueo, responde con lentitud a las nuevas redacciones y remitentes. Además, los SMS de smishing enviados desde dispositivos infectados se originan en números de teléfono legítimos, por lo que no pueden detectarse mediante el filtrado basado en el remitente. En los ataques combinados con intercambio de SIM, el propio número de teléfono de la víctima es secuestrado, por lo que incluso un SMS de un conocido no es necesariamente seguro.

El smishing puede considerarse la versión móvil de la ingeniería social. Asegúrese de revisar también las medidas contra los mensajes no deseados, la guía de protección contra el phishing y las trampas del Wi-Fi gratuito para reforzar de forma integral la seguridad de su entorno móvil.