top of page
Buscar

Cómo protegerse de Phishing por SMS (Smishing)

Actualizado: 16 mar 2022

El Phishing o la suplantación de identidad es la forma más sencilla que tienen los atacantes de robarte dinero, datos o instalarte malware en tu móvil. Hemos explicado en detalle en otro post, cómo funciona el phishing y ahora nos toca hacerlo con el Smishing que es lo mismo, pero usando mensajes SMS y por lo tanto orientado a los móviles. Aquí te explicamos cómo actúan los atacantes y que puedes hacer para protegerte.

Los ciberdelincuentes siempre buscan la puerta más fácil de abrir. Saben que todos tenemos mucho cuidado con los enlaces que nos llegan por correo y por ello prefieren usar los SMS.


Un SMS es bastante más peligroso que un correo electrónico por varios motivos:

  1. La mayoría de los móviles siguen estando desprotegidos.

  2. El Smishing aparece directamente mezclado entre los mensajes auténticos donde pasan fácilmente por comunicaciones legítimas.

  3. Con solo dos mensajes bien dirigidos pueden proceder, en apenas unos minutos, a vaciarte las cuentas

  4. Las direcciones web suelen quedar ofuscadas en el móvil por falta de espacio siendo muy difícil para un usuario normal ver la dirección completa.

  5. Solemos pinchar con mucha menos precaución, un link en un móvil, que en un PC

  6. El propio móvil tiene la doble autenticación que necesitan los atacantes. No requieren controlar otros dispositivos.

Te explicamos aquí cómo consiguen engañarte:


Anatomía de un Smishing

Vamos a abrir uno de estos phishing para móviles tan populares que hay hoy día y veamos qué nos encontramos.

1.- Aquí recibimos, marcado en verde, un mensaje auténtico del Banco de Santander junto con otros dos mensajes falsos, marcados en rojo. Como se puede ver los mensajes falsos aparecen mezclados entre los auténticos. ¿no os parece algo increíble?

Cualquiera puede entrar en una de las muchas paginas de envío de SMS anónimos como esta de Tarify, poniendo el remitente que quieras. Así que ya sabéis que los mensajes que aparecen dentro de un determinado remitente no garantiza que sean auténticos, aunque vengan mezclados entre otros que sí lo son.


2.- Cojamos el último y veamos que pasa. Dice textualmente (omitimos deliberadamente el enlace ya que es un phishing auténtico):

Hemos detectado una actividad sospechosa en su cuenta Por seguridad le rogamos que complete la siguiente verificación en: enlace al sitio del atacante

Esto crea incertidumbre y nerviosismo, justo lo que quieren que sientas para que tengas prisa y no te pares a pensar demasiado.


Si pinchamos en el enlace esto es lo que veremos:


3.- Nos lleva directamente a la web del atacante que es una copia idéntica de la oficial del Banco de Santander. La única forma de saber que es falsa sería comprobando el enlace que nos da el navegador santander.activacio-movil.com pero queda ofuscado parcialmente al no caber por completo en la pantalla del móvil: (la url está mal escrita aquí deliberadamente para que no podáis pinchar sin querer.)

Nota: comprobar si un enlace es falso puede ser difícil en muchos casos y se requiere de conocimientos y herramientas para detectarlos.

Una vez en esta página cualquier dato que escribáis se lo estaréis dando directamente a los cibercriminales.

Es normal que no os funcione la página y no podáis entrar en vuestras cuentas y eso es otro signo importante de que estáis en la página de los asaltantes.


4.- Muchas veces los atacantes necesitarán de varios SMS para poder culminar el robo pues el banco podría requerir de códigos adicionales para efectuar las transferencias pero eso no es problema para ellos pues seguirán usando esta misma técnica para solicitártelos.


Una vez que los datos estén en poder de los maleantes, éstos se darán prisa en utilizarlos antes de que tú o tu banco podáis bloquear la cuenta y dar de baja las tarjetas.

Obviamente si alguna vez pasas por este trago y