¿Qué es el smishing?
El smishing es una variante del phishing para conseguir información confidencial (contraseñas, datos bancarios...) de usuarios. El Instituto Nacional de Ciberseguridad de España (INCIBE), a través de su Oficina de Seguridad del Internauta (OSI), y el Banco de España, han alertado de un notable aumento de los ataques de Smishing contra los clientes bancarios. Te explicamos qué es y algunas recomendaciones de seguridad básicas para protegerte.
¿Qué es y para qué sirve?
El smishing es un tipo de ataque de ingeniería social que se realiza a través de la mensajería del teléfono móvil o por SMS. El objetivo es obtener información personal, contraseñas, números de tarjetas de crédito y/o números de cuentas bancarias y en general cualquier tipo de información sensible o confidencial que permite a los ciberdelincuentes cometer estafas o fraudes electrónicos.
Para conseguir su propósito, el atacante utilizará la suplantación de identidad de personas y organizaciones. De forma que en el caso de que quieran obtener la información bancaria de sus víctimas para cometer una estafa o fraude, los atacantes enviarán mensajes SMS haciéndose pasar por la entidad bancaria de la víctima (SMS Spoofing) para obtener las credenciales de acceso a su banca electrónica (usuario y contraseña) y el código de un solo uso que se envía al móvil de usuario para confirmar el acceso.
¿Cómo se realiza?
Los atacantes envían mensajes a través de la mensajería instantánea o por SMS en los que se hacen pasar por una organización o entidad de confianza de sus víctimas y comunican, por ejemplo, un cargo no autorizado, una operación fraudulenta, un acceso no permitido o, incluso, la necesidad de una autenticación o mejoras de seguridad. El objetivo de estos mensajes es alarmar al usuario para que realice alguna acción sin pensarlo demasiado.
La comunicación puede inducir al usuario a que llame a un determinado número de teléfono para realizar la gestión, donde se solicitarán los datos que necesita el atacante; o a que pinche en un link que le redigirá a una página web maliciosa, donde se le pedirá al usuario que introduzca sus credenciales de la banca electrónica (usuario y contraseña) u otros datos sensibles.
El Smishing es la variante más simple de este tipo de ataques, aunque los ciberdelincuentes pueden realizar estafas más elaboradas, como el SMS Spoofing, ya que son más difíciles de detectar para los usuarios.
En el SMS Spoofing, los atacantes consiguen que los mensajes se reciban en nombre del propio Banco, logrando que incluso llegue a nuestro hilo de mensajes legítimo con la entidad. Esto lo pueden realizar gracias a servicios que dan forma al remitente. Es decir, al usuario que envía el mensaje. Por lo que la recomendación es siempre desconfiar de mensajes que solicitan información personal o bancaria y contactar con la entidad mediante canales oficiales para confirmar la veracidad del mensaje, así como para reportar a la entidad la suplantación.
Fraude a través de SMS con redirección de llamada
Existe una nueva modalidad de fraude por SMS que, valiéndose de un asunto de seguridad, los ciberdelicuentes instan al usuario a introducir un código en el teléfono con el que estaría configurando una redirección de llamadas. El número del supuesto código será el que reciba las llamadas dirigidas a los usuarios.
Las consecuencias de este tipo de fraude es que operaciones financieras como una autorización de transferencias las confirme el atacante, suponiendo unas pérdidas económicas importantes para el cliente.
Recomendaciones de seguridad: cómo evitar smishing
Ante el elevado número de ataques de smishing y SMS Spoofing, lo más recomendable es adoptar algunas recomendaciones y hábitos de seguridad:
- Mantener una actitud de reserva hacia mensajes o SMS inesperados en los que se soliciten datos sensibles, acceder a un enlace web o utilizar un código QR. En caso de duda, es preferible contactar con la entidad remitente por los canales oficiales para asegurarnos que no se trata de una actividad fraudulenta.
- No introduzcas códigos de configuración en tu teclado.
- No proporcionar nunca información de acceso: usuario y contraseña, código de acceso que llega por SMS al teléfono móvil para confirmar operaciones o gestiones, ni cualquier otra información personal o bancaria.
- No hacer clic en los links a páginas web, o utilizar códigos QR que nos envían a través de mensajería instantánea o SMS, al igual que en correos electrónicos. Ve directamente a través del navegador o un buscador a la página a la que deseas ir y no a través de links sospechosos o códigos QR.
- Activar las alertas en la aplicación de banca electrónica para detectar accesos u operaciones no autorizadas.
- En caso de duda, contactar con la entidad bancaria u organización a través de los canales de comunicación oficiales (teléfono de atención al cliente, contacto a través de la página web o correo electrónico).
- Recuerda que, como entidad bancaria, desde el Banco Santander nunca te pediremos a través de mensajes de texto ni llamadas inesperadas tu información bancaria.
En Banco Santander disponemos de un número de teléfono para este tipo de reportes. Si sospechas que has recibido un Smishing o SMS Spoofing, reenvía el SMS al 638 444 542.
Recuerda que también puedes reportar emails sospechosos al buzón phishing@gruposantander.es. Si has dado datos confidenciales, claves, contraseñas o detectas movimientos no deseados en tus cuentas llama a Superlínea 915 123 123.
Te puede interesar
Mantén tus contraseñas seguras
Mantén tus contraseñas seguras
Protege tu información y tu equipo
Protege tu información y equipo
App Santander: tu banco abierto 24 h