Smishing es una palabra compuesta por los términos en inglés «SMS» (Short Message Services, mensajes de texto en español) y «phishing», que se refiere al envío de correos electrónicos fraudulentos que intentan engañar al destinatario para que abra un archivo adjunto cargado de malware o haga clic en un enlace malicioso. La diferencia entre el phishing y el smishing es que este último utiliza mensajes de texto en lugar de correos electrónicos.

Caso real

A modo de ejemplo, vamos a contar el caso de una familia que ha perdido todos sus ahorros tras ser víctimas del smishing. Todo comenzó con un SMS en el que se incitaba a entrar en un enlace para comprobar el estado de un paquete que llegaría por una empresa de mensajería. Este tipo de mensajes pueden llegar en varios formatos y haciéndose pasar por diferentes empresas, como FedEx, Correos Express o SEUR.

Sin embargo, todos ellos tienen algo en común: tratan de infundir temor a perder un paquete. En este punto cabe recordar algo importante, ya que el paquete no existe y todo forma parte de un engaño para que la víctima entre en el enlace. Cuando se accede a la web pueden ocurrir varias cosas:

  1. Nos solicitan datos de una tarjeta de crédito/débito para “liberar el paquete” o verificar que realmente somos los destinatarios del paquete.
  2. Nos guían para instalar una aplicación en el teléfono que, en realidad, es un malware que accederá a los datos del dispositivo, entre los que se encuentran las credenciales de acceso a aplicaciones de banca.

Volviendo al caso real, la víctima recibió el siguiente mensaje: “Su paquete no ha podido ser entregado, descarga esta app para actualizar los datos de envío”. La victima entró al enlace del SMS e instaló una aplicación no oficial (no lo hizo desde la tienda de aplicaciones de Android), comprometiendo la seguridad del dispositivo y otorgando al ciberdelincuente el tiempo necesario para recopilar la información. Al cabo de unos días, el usuario entró a comprobar su saldo bancario y advirtió que estaba a cero, ya que habían transferido todos sus fondos a una cuenta de otro banco.

En este momento surgen varias dudas:

¿Cómo se pudo autorizar la transferencia?

  • El dispositivo estaba comprometido y el ciberdelincuente tenía acceso a los mensajes que llegaban al teléfono, de esta forma pudo acceder al SMS de verificación.

¿Qué hacer en estos casos?

  • Lo primero que se debe hacer es notificar al banco y, después, denunciar los hechos ante los cuerpos y fuerzas de seguridad del estado.

¿Qué ocurre con el dinero?

  • Dependiendo de la entidad bancaria, el proceso puede variar, pero lo más probable es que termine en vía judicial, un proceso durante el que no podrás disponer de tu dinero.