Mensajes de texto maliciosos (Smishing)

29/06/2021 | Ciberseguridad

Mensajes de texto maliciosos

(Smishing) es una palabra compuesta por los términos en inglés «SMS» (Short Message Services, mensajes de texto en español) y «phishing», que se refiere al envío de correos electrónicos fraudulentos que intentan engañar al destinatario para que abra un archivo adjunto cargado de malware o haga clic en un enlace malicioso. La diferencia entre el phishing y el smishing es que este último utiliza mensajes de texto maliciosos en lugar de correos electrónicos.

Mensajes de texto maliciosos

Caso real de mensajes de texto maliciosos

A modo de ejemplo, vamos a contar el caso de una familia que ha perdido todos sus ahorros tras ser víctimas del smishing. Todo comenzó con un SMS en el que se incitaba a entrar en un enlace para comprobar el estado de un paquete que llegaría por una empresa de mensajería. Este tipo de mensajes de texto maliciosos pueden llegar en varios formatos y haciéndose pasar por diferentes empresas, como FedEx, Correos Express o SEUR.

Sin embargo, todos los mensajes de texto maliciosos tienen algo en común: tratan de infundir temor a perder un paquete. En este punto cabe recordar algo importante, ya que el paquete no existe y todo forma parte de un engaño para que la víctima entre en el enlace. Cuando se accede a la web pueden ocurrir varias cosas:

1. Nos solicitan datos de una tarjeta de crédito/débito para “liberar el paquete” o verificar que realmente somos los destinatarios del paquete.

2. Nos guían para instalar una aplicación en el teléfono que, en realidad, es un malware que accederá a los datos del dispositivo, entre los que se encuentran las credenciales de acceso a aplicaciones de banca.

Volviendo al caso real, la víctima recibió el siguiente mensaje: “Su paquete no ha podido ser entregado, descarga esta app para actualizar los datos de envío”. La victima entró al enlace del SMS e instaló una aplicación no oficial (no lo hizo desde la tienda de aplicaciones de Android), comprometiendo la seguridad del dispositivo y otorgando al ciberdelincuente el tiempo necesario para recopilar la información. Al cabo de unos días, el usuario entró a comprobar su saldo bancario y advirtió que estaba a cero, ya que habían transferido todos sus fondos a una cuenta de otro banco.

 

En este momento surgen varias dudas:

 

¿Cómo se pudo autorizar la transferencia?
  • El dispositivo estaba comprometido y el ciberdelincuente tenía acceso a los mensajes que llegaban al teléfono, de esta forma pudo acceder al SMS de verificación.
¿Qué hacer en estos casos?
  • Lo primero que se debe hacer es notificar al banco y, después, denunciar los hechos ante los cuerpos y fuerzas de seguridad del estado.
¿Qué ocurre con el dinero?
  • Dependiendo de la entidad bancaria, el proceso puede variar, pero lo más probable es que termine en vía judicial, un proceso durante el que no podrás disponer de tu dinero.