‘Debido a los recientes problemas de transporte, la entrega de su pedido ha sido retrasada. Haca clic aquí para gestionarla’. Si recibes un mensaje SMS parecido a este, puede que se trate de smishing, un ciberataque diseñado para robar datos confidenciales o acceder a cuentas personales.
“Aunque los fraudes mediante SMS existen desde la popularización de los teléfonos móviles, en los últimos dos años se han sofisticado impulsados por el aumento de notificaciones de texto relacionadas con la vacunación”, explica Néstor Serravalle, Vicepresidente para Europa de VU, compañía especializada en la prevención del fraude digital y la protección de identidad del usuario.
Los ataques de smishing reúnen ahora tres características clave: suplantan la identidad de una compañía muy conocida, como por ejemplo relacionadas con soluciones de transporte, entidades financieras o públicas; los enlaces llevan a páginas bien falsificadas para robar la información confidencial; y solicitan el pago de pequeñas cantidades por un servicio adicional como el de custodia que no levanta sospechas.
La empresa, también objetivo
Según los últimos datos del Instituto Nacional de Ciberseguridad (INCIBE), últimamente se están detectando en España mensajes SMS fraudulentos que suplantan a compañías de mensajería y transporte, como Correos y Correos Express.
“Es un ciber-delito que no sólo afecta a usuarios particulares, ya que también prolifera entre los smartphones de empresa”, continúa el responsable de VU. “En muchas ocasiones, el SMS solicita instalar una aplicación en el teléfono corporativo para procesar pedidos o gestionar servicios, con el fin último de inyectar malware capaz de tomar el control del dispositivo”.
De hecho, desde INCIBE advierten del peligro de troyanos como ‘FluBot’, que actúa principalmente en sistemas Android para robar datos bancarios suplantando páginas oficiales al iniciar una aplicación concreta, controlar remotamente el teléfono o reenviar smishing a la agenda de contactos.
Recomendaciones
VU sugiere a los usuarios que no abran los textos de fuentes desconocidas y que nunca compartan datos por mensaje de texto. Debemos sospechar de mensajes no solicitados, especialmente si aparecen enlaces o documentos adjuntos.
Si el SMS incluye un link, es importante comprobar siempre la dirección web situando el cursor encima o utilizando herramientas para expandirla si se trata de una versión acortada, aunque el mensaje proceda de contactos conocidos.
Tener siempre actualizado el sistema operativo y el antivirus también resulta clave. Y, además de concienciar a los empleados, las empresas deberían contar con políticas de seguridad que protejan los terminales corporativos, evitando la descarga e instalación de aplicaciones sin permiso.
“Los dispositivos móviles constituyen uno de los eslabones más débiles en la cadena de ciberseguridad. Para evitar que los atacantes consigan claves privadas o tomen el control de un smartphone, existen mecanismos de autenticación reforzada de usuarios multi-factor y multi-plataforma capaces de detectar los ataques de phishing, smishing y el robo de identidad”, concluye Serravalle.
