EspañolGlosario
¿Qué es el smishing?
El Smishing es una variante del phishing para conseguir información confidencial (contraseñas, datos bancarios...) de usuarios que se realiza a través de SMS. El Instituto Nacional de Ciberseguridad de España (INCIBE), a través de su Oficina de Seguridad del Internauta (OSI), y el Banco de España, han alertado de un notable aumento de los ataques de Smishing contra los clientes bancarios. Te explicamos qué es y algunas recomendaciones de seguridad básicas para protegerte.
¿Qué es y para qué sirve?
El Smishing es un tipo de ataque de ingeniería social que se realiza a través de mensajes SMS. El objetivo es obtener información personal, contraseñas, números de tarjetas de crédito y/o números de cuentas bancarias y, en general, cualquier tipo de información sensible o confidencial que permite a los ciberdelincuentes cometer estafas o fraudes electrónicos.
Para conseguir su propósito, el atacante utilizará la suplantación de identidad de personas u organizaciones, de forma que, en el caso de que quieran obtener la información bancaria de sus víctimas para cometer una estafa o fraude, los atacantes les enviarán mensajes SMS haciéndose pasar por su entidad bancaria (SMS Spoofing) para obtener las credenciales de acceso a su banca electrónica (usuario y contraseña) y el código de un solo uso que se envía al móvil de usuario para confirmar el acceso.
¿Cómo se realiza este ataque?
Los ciberdelincuentes, suplantando la identidad de una persona y organización de confianza, envían mensajes a través de aplicaciones de mensajería instantánea o por SMS, comunicando, por ejemplo, un cargo no autorizado, una operación fraudulenta, un acceso no permitido o, incluso, la necesidad de una autenticación o mejoras de seguridad. El objetivo de estos mensajes es alarmar al usuario para que realice alguna acción sin pensarlo demasiado.
La comunicación puede inducir al usuario a que llame a un determinado número de teléfono para realizar la gestión, donde se solicitarán los datos que necesita el atacante; o a que haga clic en un link que le redirigirá a una página web maliciosa, donde se le pedirá que introduzca sus credenciales de la banca electrónica (usuario y contraseña) u otros datos sensibles.
Tipos de fraude a través de SMS más comunes
Spoofing a través de SMS
Los ciberdelincuentes han perfeccionado y mejorado el Smishing para hacerlo aún más creíble y difícil de detectar con lo que se conoce como Spoofing a través del envío SMS.
En este ataque los estafadores van un paso más allá consiguiendo que parezca que los mensajes se reciben en nombre del propio banco, logrando “colarse” incluso en nuestro hilo de mensajes legítimo con la entidad, utilizando para ello servicios que modifican el remitente real. Por ello, desconfía siempre de mensajes que te soliciten información personal o bancaria y ponte en contacto con la entidad mediante canales oficiales para confirmar la veracidad del mensaje, así como para reportar a la entidad la suplantación.
Fraude con redirección de llamada
Existe una modalidad de fraude por SMS que, valiéndose de un asunto de seguridad, los ciberdelincuentes instan al usuario a introducir un código en el teléfono con el que estaría configurando una redirección de llamadas. El número del supuesto código será el que reciba las llamadas dirigidas a los usuarios.
Las consecuencias de este tipo de fraude implican que, la autorización de algunas operaciones financieras, como, por ejemplo, una autorización de transferencias, sean realmente confirmadas por el atacante, y no por una persona verdaderamente autorizada, suponiendo importantes pérdidas económicas para el cliente.
Estafa “Bizum Inverso”
Además de las modalidades de ataque vía SMS ya comentadas, es importante mencionar la creciente estafa realizada a través solicitudes de dinero en la App del banco suplantando la identidad de Bizum.
Los ciberdelincuentes solicitan una cantidad de dinero a su víctima que lleva unida una autorización. La víctima, sin sospechar que se trata de una transferencia encubierta, autoriza la solicitud y envía el dinero a la cuenta fraudulenta del ciberatacante.
Por eso, es muy importante prestar atención a las solicitudes de bizum recibidas, diferenciar si se trata de una recepción o envío de dinero y, sobre todo, activar las alarmas si te están pidiendo autorización, ya que, si alguien te ha mandado un bizum, el ingreso sería automático, no necesitas autorización para poder ingresarlo en tu cuenta.
Recomendaciones de seguridad: cómo evitar caer en la trampa del Smishing
Ante el elevado número de ataques de Smishing y SMS Spoofing, lo más recomendable es adoptar algunas recomendaciones y hábitos de seguridad:
- Presta atención a los mensajes o SMS inesperados en los que te soliciten datos sensibles, acceder a un enlace web o utilizar un código QR. En caso de duda, es preferible contactar con la entidad remitente por los canales oficiales para asegurarnos que no se trata de una actividad fraudulenta.
- No introduzcas códigos de configuración en tu teclado.
- No proporciones nunca información de acceso como: usuario y contraseña, código de acceso que llega por SMS al teléfono móvil para confirmar operaciones o gestiones, ni cualquier otra información personal o bancaria.
- No hagas clic en los links a páginas web, ni descargues archivos o escanees códigos QR que te envíen por mensajería instantánea, SMS, o correo electrónico. Accede siempre a la página que deseas ir realizando la búsqueda a través de tu navegador y nunca a través de los links o códigos QR que te faciliten por email, SMS o cualquier plataforma de mensajería instantánea.
- Activa las alertas en la aplicación de banca electrónica para detectar accesos u operaciones no autorizadas.
- Recuerda que, como entidad bancaria, desde el Banco Santander nunca te pediremos tu información bancaria a través de mensajes de texto ni llamadas inesperadas.
- En caso de duda, contacta con la entidad bancaria u organización a través de los canales de comunicación oficiales:
Si sospechas que has recibido un Smishing o SMS Spoofing, reenvía el SMS al 638-444-542, reporta emails sospechosos al buzón phishing@gruposantander.es y, si has dado datos confidenciales, claves, contraseñas o detectas movimientos no deseados en tus cuentas, llama a la Superlínea 915 123 123.