En los últimos meses, los ciberdelincuentes están lanzando ataques de suplantación de identidad mediante SMS. Es lo que se conoce como smishing. Se aprovechan de que nos fiamos más de los mensajes cortos que de los correos electrónicos. Por ello conviene extremar las precauciones.
Desde el inicio de la pandemia, se puede decir que el phishing por correo electrónico ha sido la vía de ciberataque más habitual. Durante este año, los internautas han sufrido innumerables campañas de email destinadas a engañarlos. En algunos casos, se ha intentado suplantar hasta a la Organización Mundial de la Salud o al Ministerio de Sanidad.
En sus correos masivos, los ciberdelincuentes han ofrecido de todo. Desde supuestas recomendaciones sanitarias hasta información sobre vacunas o remedios caseros para hacer frente a la enfermedad del coronavirus. Intentaban aprovechar los miedos y la ansiedad generada por la pandemia en la población.
Según la firma especializada en ciberseguridad S21sec, los ataques de suplantación de identidad se han incrementado en un 350% en el primer semestre del año. Y España fue el país del mundo más afectado, recibiendo el 8,3% por ciento del total de los ciberataques con correos, archivos adjuntos o enlaces maliciosos.
Pero el tema sanitario no está siendo el único al que recurren los cerebros que están detrás de las campañas de phishing de los últimos meses. También ha habido envíos masivos de supuestas multas de la DGT, o de falsos avisos de la Agencia Tributaria instando a los usuarios a presentar la declaración o realizar un pago pendiente sobre el impuesto de la renta, según advierten desde Kaspersky.
También se ha extendido la técnica de phishing por la que los delincuentes propagan amenazas dentro de una compañía, como las extensas campañas con el troyano Emotet. En ellas, y a través de documentos ofimáticos dañinos, los cibercriminales han sido capaces de inyectar un ransomware en las redes empresariales a través del email. Según datos de Check Point de finales de septiembre, este malware había afectado por esas fechas a más del 16% de las empresas españolas. Una auténtica plaga.
El smishing entra en juego
Pero el correo electrónico no está siendo la única vía de entrada de los ciberdelincuentes que recurren a la suplantación de identidad y al engaño. De acuerdo con la compañía de ciberseguridad Sophos, en los últimos meses están aumentando los ataques masivos basados en SMS fraudulentos. Esta práctica se denomina smishing, una palabra que tiene su origen en la combinación de los términos SMS y phishing.
El smishing sirve a los ciberdelincuentes para atacar de forma masiva y dirigida a muchos usuarios mediante el envío de un SMS que simula venir de un destinatario legítimo, como un banco, una red social, una institución pública o una aplicación de uso extendido.
Como en el caso del phishing a través del correo electrónico, el objetivo de estos ataques es robar información privada o realizar cargos económicos en las cuentas de la víctima. Para ello, instan al usuario a acceder a un enlace web falso o a introducir sus credenciales para confirmar su cuenta.
Seguimos considerando los SMS envíos legítimos
Pero, como advierten desde Sophos, lo que hace tan peligroso este tipo de ciberataques es la falta de costumbre y prevención por parte de los usuarios. El SMS cada vez se usa menos y por eso es una vía de comunicación que ha quedado anticuada. Casi siempre para recibir avisos de citas médicas o confirmaciones de movimientos bancarios. O también como vía adicional para validar una transferencia o una compra por internet. Lo que se llama autentificación de doble factor.
En la mente de los usuarios, los SMS continúan siendo considerados envíos legítimos. Esta confianza en los mensajes cortos es lo que está llevando a los ciberdelincuentes a ampliar por esta vía su repertorio de ataques.
“Los atacantes utilizan los SMS porque son baratos, es fácil obtener listados de teléfono y se pueden programar para enviar de forma masiva. Además, tienen un punto a su favor por encima de los emails fraudulentos. Y es lo poco acostumbrados que estamos a ellos. Con el tiempo los SMS se han abaratado. Es más, no sería descabellado pensar que los cibercriminales hubieran conseguido acceder a pasarelas de SMS vulneradas para su envío de forma gratuita”, explica Alberto Rodas, director de ingeniería de Sophos.
Los bancos y empresas de mensajería son entidades que suelen ser suplantadas con los ataques de smishing, según investigaciones recientes de Sophos. Pero también se lanzan campañas cuyo supuesto origen es WhatsApp u otras redes sociales.
Consejos para evitar el smishing
Para acabar este post, desde Sophos nos ofrecen una serie de recomendaciones para evitar caer en el engaño de las campañas de smishing. Son consejos consistentes básicamente en aplicar el sentido común y la prudencia. Como casi siempre.
- No debes fiarte del remitente. El remitente de un SMS puede ser modificado para poner lo que los cibercriminales quieran. Como, por ejemplo, “01Correos”. Si bien hay algún avance para evitar esto, todavía no está en vigor. Por eso, ante la duda, no confíes en lo que ponga en el remitente.
- Si te piden hacer algo, niégate. Todo SMS que nos pida realizar una acción debe ser considerado sospechoso. Una cosa es un SMS de notificación. Del tipo “su paquete ha sido enviado” o “ya está disponible su prueba médica”. Y otra muy distinta es que alguien nos pida dar datos personales o de una cuenta bancaria bajo la amenaza de cancelarnos el pedido. Ninguna institución financiera o empresa enviará un mensaje de texto pidiéndote que actualices la información de tu cuenta o que confirmes el código de tu tarjeta de cajero automático.
- La urgencia es una señal sospechosa. Una técnica muy habitual en ingeniería social, además de utilizar la autoridad haciéndose pasar por una empresa reconocida, es la urgencia. En los ataques de smishing nos apremian a realizar una acción de forma inmediata, reduciendo nuestro tiempo para pensar o realizar las oportunas verificaciones. Lo mínimo en estos casos es sospechar.
- Protege tu móvil. También cabe proteger el móvil o el PC con un antivirus que nos ayude a bloquear páginas web maliciosas y que controle los SMS fraudulentos. Desgraciadamente, en España siguen siendo minoría los usuarios que protegen su smartphone con un software específico.
En Nobbot | Todo el ‘malware’ alrededor del coronavirus
Imágenes | iStock.com/puflic_senior