Smishing, otra práctica fraudulenta de la cual debe estar alerta

¿Alguna vez ha recibido un atractivo mensaje de texto en su celular indicándole que ha sido ganador de un ‘jugoso’ premio? Pues este es tan solo un ejemplo de muchos que utilizan delincuentes para intentar engañarlo y es conocido como smishing. Saber Más, Ser Más le cuenta todo lo que involucra este tipo de delito y cómo evitar ser víctima.  

Le interesa: Los pasos que debe seguir si es víctima de robo de identidad. 

¿Qué es el smishing?

Confiar demasiado en ofertas interesantes, grandes premios, o simplemente en alertas enviadas por su “banco” por mensaje de texto, podrían poner en riesgo su seguridad. ¿Por qué? Claro, aunque en algunas ocasiones estas ofertas podrán ser ciertas, en otras representan una trampa para quedarse con su información personal y su dinero.

Esto es el smishing, una modalidad de fraude hecha por personas inescrupulosas que aprovechan las bondades de la navegación web en teléfonos móviles para enviar links que llevan a páginas fraudulentas o números de teléfonos a través de mensajes de texto (SMS), de tal manera que los usuarios hagan clic o llamen a esos números.

El objetivo de los delincuentes es hacerle creer que provienen de una entidad bancaria, de una empresa de telefonía celular o de otra empresa de imagen reconocida y así rastrear su información, transferir dinero, pedir que realice recargas a un móvil, consignaciones o giros o suplantar su identidad.

¿Cómo funciona el smishing?

Pare bolas porque el engaño y el fraude son los componentes centrales de cualquier ataque de smishing. A medida que el delincuente asume una identidad en la que puede confiar – como ya revisamos: bancos u operadores de telefonía celular –, es más probable que usted sucumba a las solicitudes que el ladrón le haga.

Este es uno de los principios de la ingeniería social, una práctica que le permite a los atacantes manipular la toma de decisiones que tiene usted como consumidor financiero. Expertos sugieren que los factores impulsores de este engaño son tres:

1. Confianza: Cuando un tercero o delincuente se hace pasar por personas u organizaciones legítimas, los ciberdelincuentes reducen el escepticismo de su objetivo. Los mensajes de texto, como un canal de comunicación más personal, también reducen naturalmente las defensas de una persona contra las amenazas.
2. Contexto: Usar una situación que podría ser relevante para los objetivos permite al atacante construir un disfraz efectivo. El mensaje se siente personalizado, lo que lo ayuda a anular cualquier sospecha de que pueda ser spam.
3. Emoción: al aumentar las emociones de un objetivo, los atacantes pueden anular su pensamiento crítico y estimularlo a una acción rápida.

Con estos métodos, los atacantes escriben mensajes que harán que el destinatario actúe con el fin de quedarse con su información, tranquilidad y dinero.

El propósito de los mensajes de texto es que el destinatario abra un enlace o URL que estará dentro del mismo; cuando abre el enlace será dirigido a una herramienta de phishing que le pedirá revelar su información privada. Esta herramienta de phishing se presenta en forma de sitio web o aplicación fraudulenta.

Los objetivos se seleccionan de muchas maneras, pero los delincuentes, generalmente, se basan en su afiliación a una organización o ubicación regional. Los empleados o clientes de una institución específica, los suscriptores de redes móviles, los estudiantes universitarios o incluso los residentes de un área determinada de la ciudad o país.

¿Cómo prevenir el smishing?

No se preocupe porque es muy fácil protegerse de ataques de smishing. De hecho, frente a este tipo de fraude, la mejor forma de mantenerse a salvo es no hacer nada en absoluto. Pensemos en la web como un mar enorme en donde usted es un pez y los criminales son los pescadores buscando la mejor presa, los ataques solo pueden hacerle daño si usted muerde el anzuelo.

Entonces, tenga en cuenta que los mensajes de texto son un medio legítimo para que muchas instituciones y comercios se comuniquen con usted. No todos los mensajes deben ignorarse, pero debe actuar con cautela. Estos consejos le ayudarán a protegerse contra el smishing:

• No responda. Incluso las indicaciones para responder, como enviar un mensaje de texto con la palabra «STOP» para cancelar la suscripción, pueden ser un truco para identificar números de teléfono activos. Los atacantes dependen de su curiosidad por la situación en cuestión.
  
• Reduzca la velocidad si un mensaje es urgente. Debe abordar los mensajes que dicen “URGENTE, Hágalo ya” o las ofertas por tiempo limitado como señales de advertencia de posible smishing. Proceda con cuidado.
  
• Llame a su banco si tiene dudas. Las instituciones legítimas no solicitan actualizaciones de la cuenta o información de inicio de sesión por mensaje de texto. Además, cualquier aviso urgente se puede verificar directamente en sus cuentas en línea o mediante soporte telefónico.
  
• No abra enlaces o información de contacto en el mensaje. Evite el uso de enlaces o información de contacto en mensajes que le hagan sentir incómodo. Si es posible, recurra directamente a los canales de contacto oficiales.
  
• Verifique el número de teléfono. Los números de teléfono de apariencia extraña, como los de 4 dígitos, o los que se ven muy “normales” para ser oficiales, pueden ser evidencia de servicios de correo electrónico a texto. Esta es una de las muchas tácticas que puede utilizar un estafador para enmascarar su verdadero número de teléfono.
• Opte por no mantener los números de tarjetas de crédito en su teléfono. La mejor manera de evitar que la información financiera sea robada de una billetera digital es nunca ponerla allí.
• Utilice la autenticación multifactor. Una contraseña expuesta aún puede ser inútil para un atacante si la cuenta que se viola requiere una segunda «clave» para su verificación. La autenticación de dos factores (2FA), usa un código de verificación de mensaje de texto, si no secuestran su número de teléfono el atacante la “verá gris” al intentar robarle su dinero.
• Nunca proporcione contraseñas o códigos de recuperación por mensaje de texto. Tanto las contraseñas como los códigos de recuperación de autenticación de dos factores de mensajes de texto pueden poner en peligro su cuenta en las manos equivocadas. Nunca le dé esta información a nadie y solo utilícela en sitios oficiales.
• Informe todos los intentos de phishing por SMS a las autoridades designadas. En Colombia, puede reportar estos hechos al Centro Cibernético Policial de la Policía Nacional, visítelo aquí. 

Si el intento de smishing tiene que ver con información bancaria, somos enfáticos en decir que debe llamar a su banco cuanto antes.

Puede leer: SIM swap, le contamos cómo funciona esta nueva modalidad de fraude.

¿Cómo comprobar si el mensaje de texto es real o no?

Sabemos que en ocasiones la curiosidad es muy grande, pero le recomendamos no abrir ninguna página web que le indique el mensaje de texto, así como tampoco llamar al “número” que señalan, ni mucho menos responder el mensaje de texto. 

Si está interesado en saber de qué se trata, en este caso es mejor comunicarse directamente con la entidad bancaria o financiera para validar la información.

¿Qué hacer si caigo en smishing?

Los ataques de smishing son astutos y es posible que ya haya caído, por lo que deberá actuar cuanto antes; lo invitamos a realizar estas acciones importantes para limitar el daño en su bolsillo:

• Informe el ataque a cualquier institución que pueda ayudar (bancos, su operador de telefonía o la Policía Nacional).
• Congele los créditos que tenga activos para evitar cualquier fraude de identidad en el futuro o en curso.
• Si usa tarjetas débito o de crédito bloquéelas en intente expedir unas nuevas.
• Cambie todas las contraseñas y PIN de sus cuentas.
• Supervise sus finanzas, el crédito y varias cuentas en línea en busca de ubicaciones de inicio de sesión extrañas y otras actividades.

Para consultar más recomendaciones de seguridad, lo invitamos a leer: ¿Cómo identificar comunicaciones delictivas?

¿Te pareció útil este articulo?