El phishing ya llega a los móviles
El funcionamiento de esta nueva estafa, que ha sido bautizada como
SMiShing, es
muy semejante al del phishing, pero utilizan los mensajes a móvil como reclamo,
en lugar de correos electrónicos. Así, en la mayoría de los casos, este tipo de
timo intenta, a través de los SMS, convencer para que se visite una página web
fraudulenta, aunque en España ya se han detectado casos en los que el virus
afecta directamente al teléfono móvil. Aún así, por ahora se considera que es
una estafa con pocas posibilidades, aunque abre el camino para una combinación
muy peligrosa: virus tradicionales, phishing y telefonía móvil.
Remontándonos a los antecedentes de este fenómeno, el primer caso de smishing
se detectó en China hace unos meses, cuando un grupo de gente comenzó a recibir
un mensajes en los que se aseguraba que el usuario se había dado de alta en un
servicio de citas por el que se le cobraría 2 dólares al día a menos que
cancelase su suscripción. Para anular dicho registro, la víctima del fraude
tenía que visitar una dirección de Internet a la que, si se accedía a través del
navegador de Microsoft y sin las medidas mínimas de seguridad, acabaría
infectado el ordenador con un troyano.
Poco después McAfee
anunció que había detectado el smishing, un nuevo fraude que ya era común en
Australia y Estados Unidos, con reclamos de todo tipo de servicios como
suscripciones online o incluso ofertas de trabajo. En España, sin embargo, no se
detectó el primer caso hasta el año pasado, cuando
Panda
alertó
de la existencia de un mensaje que infectaba el móvil con un virus que
parecía que había sido extraído de una gran variedad de códigos. Además, se
detectó una variante muy semejan en alemán, que McAfee catalogó como un
ensamblado de códigos obra de principiantes.
En nuestro país, la estafa surgió a través de un adjunto en un correo
electrónico, algo habitual en el smishing ya que hay que tener en cuenta que el
envío en masa de mensajes a móviles es costoso. En otros casos, los promotores
de este tipo de timos aprovechan los servicios de correo que proporcionan las
operadoras y que permiten el envío gratuito de un SMS como si fuera un correo
electrónico.
Volviendo al caso español, al ejecutarse el adjunto que figuraba en el
e-mail, enviaba mensajes a teléfonos móviles de forma automática, creando
números de teléfono al azar. El SMS fingía proceder del operador del usuario y
ofrecía un nuevo servicio antivirus gratuito para el servicio telefónico.
Peligro real
Por ahora, las principales compañías del sector no han mostrado gran
preocupación por esta nueva variante de fraude, ya que en la actualidad tiene
pocas repercusiones por sus reducidas posibilidades de actuación son reducidas,
además de por el hecho de que sus víctimas deben ser personas con muy poco
conocimiento del funcionamiento de la telefonía móvil. Éstos, están generalmente
acostumbrados a recibir mensajes spam y SMS gancho para fraudes, por lo que el
nivel de alerta es muy alto.
En cualquier caso, compañías como
LogicaCMG aseguran, de
hecho, que el smishing es una variante del spam con connotaciones de ingeniería
social, que principalmente pretende aprovecharse de la falta de conocimiento del
usuario, ya que no ataca directamente a los terminales móviles como lo haría un
virus.
Aún así, el smishing abre un nuevo camino para los fraudes como el phishing y
es posible que en un futuro se desarrollen nuevos ataques con más posibilidades
y repercusión. Los nuevos servicios y posibilidades de interconexión que ofrecen
día a día los teléfonos móviles los convierte en dispositivos cada vez más
apetitoso para posibles estafas. De hecho, las casas de antivirus ya crean
productos específicos para móviles lo que simboliza una toma de conciencia y un
nivel de alerta de cierta importancia entre los actores del sector.