¿Qué es el smishing?

El smishing es una variante del phishing para conseguir información confidencial (contraseñas, datos bancarios...) de usuarios. El Instituto Nacional de Ciberseguridad de España (INCIBE), a través de su Oficina de Seguridad del Internauta (OSI), y el Banco de España, han alertado de un notable aumento de los ataques de Smishing contra los clientes bancarios. Te explicamos qué es y algunas recomendaciones de seguridad básicas para protegerte.

¿Qué es y para qué sirve?

El smishing es un tipo de ataque de ingeniería social  que se realiza a través de la mensajería del teléfono móvil o por SMS. El objetivo es obtener información personal, contraseñas, números de tarjetas de crédito y/o números de cuentas bancarias y en general cualquier tipo de información sensible o confidencial que permite a los ciberdelincuentes cometer estafas o fraudes electrónicos.

Para conseguir su propósito, el atacante utilizará la suplantación de identidad de personas y organizaciones. De forma que en el caso de que quieran obtener la información bancaria de sus víctimas para cometer una estafa o fraude, los atacantes enviarán mensajes SMS haciéndose pasar por la entidad bancaria de la víctima (SMS Spoofing) para obtener las credenciales de acceso a su banca electrónica (usuario y contraseña) y el código de un solo uso que se envía al móvil de usuario para confirmar el acceso.

¿Cómo se realiza?

Los atacantes envían mensajes a través de la mensajería instantánea o por SMS en los que se hacen pasar por una organización o entidad de confianza de sus víctimas y comunican, por ejemplo, un cargo no autorizado, una operación fraudulenta, un acceso no permitido o, incluso, la necesidad de una autenticación o mejoras de seguridad. El objetivo de estos mensajes es alarmar al usuario para que realice alguna acción sin pensarlo demasiado.

La comunicación puede inducir al usuario a que llame a un determinado número de teléfono para realizar la gestión, donde se solicitarán los datos que necesita el atacante; o a que pinche en un link que le redigirá a una página web maliciosa, donde se le pedirá al usuario que introduzca sus credenciales de la banca electrónica (usuario y contraseña) u otros datos sensibles.

El Smishing es la variante más simple de este tipo de ataques, aunque los ciberdelincuentes pueden realizar estafas más elaboradas, como el SMS Spoofing, ya que son más difíciles de detectar para los usuarios.

En el SMS Spoofing, los atacantes consiguen que los mensajes se reciban en nombre del propio Banco, logrando que incluso llegue a nuestro hilo de mensajes legítimo con la entidad. Esto lo pueden realizar gracias a servicios que dan forma al remitente. Es decir, al usuario que envía el mensaje. Por lo que la recomendación es siempre desconfiar de mensajes que solicitan información personal o bancaria y contactar con la entidad mediante canales oficiales para confirmar la veracidad del mensaje, así como para reportar a la entidad la suplantación.

Recomendaciones de seguridad: cómo evitar smishing

Ante el elevado número de ataques de smishing y SMS Spoofing, lo más recomendable es adoptar algunas recomendaciones y hábitos de seguridad:

  • Mantener una actitud de reserva hacia mensajes o SMS inesperados en los que se soliciten datos sensibles, acceder a un enlace web o utilizar un código QR. En caso de duda, es preferible contactar con la entidad remitente por los canales oficiales para asegurarnos que no se trata de una actividad fraudulenta.
  • No proporcionar nunca información de acceso: usuario y contraseña, código de acceso que llega por SMS al teléfono móvil para confirmar operaciones o gestiones, ni cualquier otra información personal o bancaria.
  • No hacer clic en los links a páginas web, o utilizar códigos QR que nos envían a través de mensajería instantánea o SMS, al igual que en correos electrónicos. Ve directamente a través del navegador o un buscador a la página a la que deseas ir y no a través de links sospechosos o códigos QR.
  • Activar las alertas en la aplicación de banca electrónica para detectar accesos u operaciones no autorizadas.
  • En caso de duda, contactar con la entidad bancaria u organización a través de los canales de comunicación oficiales (teléfono de atención al cliente, contacto a través de la página web o correo electrónico).
  • Recuerda que, como entidad bancaria, desde el Banco Santander nunca te pediremos a través de mensajes de texto ni llamadas inesperadas tu información bancaria.

En Banco Santander disponemos del buzón phishing@gruposantander.es para este tipo de reportes. Si sospechas que has recibido un Smishing o SMS Spoofing, envía una copia o un pantallazo del mismo a esta dirección.

Te puede interesar

×
${loading}
×