El ‘smishing’ se aprovecha de la falta de prevención de los usuarios, que consideran legítimos los SMS

Sophos advierte de que el fraude por SMS tiene “un punto a su favor por encima de los emails fraudulentos”: “lo poco acostumbrados que estamos a ellos”.

Las campañas de phishing a través de mensajes SMS, lo que se conoce como smishing, van en aumento.

La compañía de seguridad Sophos ha detectado varios ataques de este tipo recientemente y advierte sobre su peligrosidad.

El smishing se sirve de ingeniera social para atacar de manera masiva y dirigida. El remitente se hace pasar por un banco, una institución pública, una red social u otra aplicación de uso extendido para ganarse la confianza del usuario. Sophos confirma que los principales ganchos son bancos y empresas de mensajería.

El objetivo final es robar información sensible o realizar cargos económicos tras remitir a los usuarios a una página web fraudulenta. Estos mensajes también se utilizan para el robo de cuentas de plataformas tipo WhatsApp, solicitando al receptor que responda con el código de verificación.

El hecho de que los mensajes de texto se consideren, en términos generales, envíos legítimos hace bajar la guardia a los usuarios.

“Los atacantes utilizan los SMS porque son baratos, es fácil obtener listados de teléfono y se pueden programar para enviar de forma masiva. Además, tienen un punto a su favor por encima de los emails fraudulentos”, confirma Alberto Rodas, director de Ingeniería de Sophos Iberia, que es “lo poco acostumbrados que estamos a ellos”.

Rodas explica que “con el tiempo los SMS se han abaratado, es más, no sería descabellado pensar que los cibercriminales hubiesen conseguido acceder a pasarelas de SMS vulneradas para su envío de forma gratuita”.

Por otra parte, “con el nuevo escenario provocado por el Covid-19 hemos aumentado el tiempo de conexión y hemos cambiado la manera de trabajar, incluyendo en la ecuación el teletrabajo. Todo ello nos ha hecho más vulnerables frente a ciberataques que podemos recibir a través del SMS o el email”, analiza Alberto Rodas.

“Dotarnos de herramientas que nos faciliten su detección y formarnos continuamente para saber cuándo y dónde intentan engañarnos, son pilares fundamentales para evitar que amenazas como el smishing consigan engañarnos”, recomienda este experto.

Otros consejos pasan por sospechar de SMS que no son informativos y solicitan una acción, así como de los que tienen carácter urgente. También hay que tener en cuenta que el remitente de un SMS puede ser modificado.