En la actualidad, el uso masivo de los dispositivos móviles y la digitalización de procesos de pago, bancarios y financieros, han hecho que los ataques digitales sean cada vez más frecuentes, y los ciberdelincuentes van buscando distintas plataformas para ejecutarlos.
¿Qué es el smishing?
El smishing es un tipo de ataque que se realiza por medio de mensajes de texto. Una de las formas más utilizadas por los estafadores cibernéticos es el envío de un Short Message Service (SMS), pero también utilizan el WhatsApp. Es una forma de phishing, pero cambia el método de envío.
En el phishing los mensajes llegan a través de un correo electrónico, en el vishing lo hacen por medio de una llamada telefónica y en el ransomware buscan robar tu información privada a través de un malware, para pedir rescate.
Los delincuentes que quieren estafar a los usuarios a través del uso de su teléfono móvil utilizan técnicas de ingeniería social para hacerse de su información bancaria y del seguro social, lograr la suplantación de identidad, entre otras cosas.
El ataque de smishing suele tener la mayoría de las veces un mensaje alarmante para empujar al usuario a realizar una acción. Normalmente se trata de dar clic en un enlace para llevarte a una web fraudulenta o descargar algún virus.
Algunos de los tipos de mensajes que pueden llegar a enviar son: cargos no reconocidos de tu tarjeta de crédito o retiros desde cajero automático, confirmar alguna información confidencial, dar de baja un servicio al que no estás inscrito, recompensas, premios e incluso ofertas de trabajo increíbles.
¿Por qué debe importarte como usuario de servicios financieros?
El sector bancario y el financiero han adaptado sus modelos de negocio y se sirven de todos los canales digitales posibles para comunicarse con sus clientes, además de habilitar cientos de trámites y operaciones de manera remota.
Las ventajas de la tecnología son invaluables, pero su adopción masiva ha creado un campo propicio para la aparición de riesgos de fraude. Es necesario tener claro que estas maniobras existen a pesar de contar con elementos de ciberseguridad avanzados.
Los usuarios de servicios financieros deben darle importancia a la existencia de las acciones fraudulentas como el smishing.
El objetivo es no ser un eslabón débil y vulnerable dentro del sistema, ya que el ataque de ciberdelincuentes puede provocarte los siguientes problemas:
- Pérdida parcial o total: robo directo de tu dinero.
- Costos legales y económicos: un ciberataque que se lleva a cabo impactará en tu economía al asumir, además de las pérdidas, los gastos relacionados a una posible recuperación de lo perdido.
- Robo de datos personales: para estafarte, para utilizar en otros ataques o lograr una suplantación de identidad (claves, documentos de identidad, número de teléfono).
¿Cómo funciona la psicología del smishing?
Conocer cómo se realizan estos ataques es importante para identificar puntos claves que pueden ayudarte a evitarlos, proteger tu información y tu dinero.
- Los ciberdelincuentes no son improvisados, sino que intentan manejar la psicología de las personas, provocándoles un sentido de urgencia ante un peligro inminente. Por ejemplo, cuando piden corroborar datos y amenazan con el cierre de una cuenta si no realizan una acción. Esto puede provocar que el usuario tenga pánico de no hacer lo que le están pidiendo.
- Los smishers tratan de generar acciones rápidas, usando palabras como ‘urgente’, ‘última oportunidad’ o ‘en los próximos 15 minutos’ para que el usuario responda enseguida con la información requerida, como datos personales e incluso que haga clic en el enlace.
- La habilidad de estos delincuentes es tal, que son capaces de hacer notificaciones idénticas a las de un banco o una organización, de tal forma que su falsedad es casi indetectable.
Es más común que los usuarios de Internet esperen una estafa desde un correo electrónico y no desde un SMS, cuestión que los ciberdelincuentes aprovechan. La combinación de la prisa y un mensaje que parece real, hace que las personas actúen sin pensar y caigan en estas estafas brindando datos e información personal, como números de tarjetas de crédito, datos bancarios, de seguridad social, etc.
¿Cómo reconocer un mensaje fraudulento?
Los mensajes de smishing se presentan de varias formas y con diferente contenido, pero estas son algunas características comunes que te ayudarán a reconocerlos:
- Son textos urgentes, promociones increíbles, cargos no reconocidos, entre otros.
- Llegan desde números desconocidos.
- Usan el nombre de instituciones bancarias o empresas.
- Reemplazan los shortcode de las empresas, que son códigos numéricos usados para no dejar visible el número telefónico.
- Utilizan acortadores de URL para que no sea visible el enlace al que están dirigiendo.
- Solicitan que se comuniquen a un número falso para aclaración de movimientos de cuenta bancaria.
Consejos para evitar el smishing
En todo momento somos susceptibles de recibir mensajería instantánea de smishing, sin embargo, es importante tener en cuenta estos tips para evitar caer en un mensaje de este tipo.
Los delincuentes que utilizan el smishing, así como otros tipos de ataques, cuentan con que atraparán la atención de la persona incitándola a hacer una acción, sin pensar demasiado si eso está relacionado en algún punto con sus actividades o movimientos habituales.
Utiliza el sentido común, date unos minutos para revisar e identificar todos los puntos que te pueden ayudar a evitar caer en un fraude.
Los consejos más prácticos son los siguientes:
Siempre presta atención
El smisher apuesta a tus momentos de distracción: mientras estás con el móvil atendiendo múltiples tareas o revisando tus redes sociales. Si recibes un SMS del cual desconoces la procedencia, lo mejor es no responder ni realizar ninguna de las acciones solicitadas.
Incluso, si identificas que es un número desconocido o en el preview del mensaje el tono es alarmante, lo mejor es ni siquiera abrirlo.
Todas las organizaciones y entidades bancarias tienen canales oficiales de comunicación, así que presta atención a que solo recibas mensajes a través de ellos.
Evita hacer clic en algún enlace dentro del mensaje
Si te llega un mensaje de número desconocido y el texto contiene un enlace ¡no accedas!, no importa si parece real, si la URL se parece mucho o por más alarmante que parezca el texto.
Usa contraseñas distintas y seguras
Esta regla es válida para toda tu actividad en Internet. Es una práctica poco segura utilizar la misma contraseña para sitios diferentes. Es mucho más seguro tener tu lista de contraseñas anotadas o usar un administrador de contraseñas.
Instala un antivirus
Muchos antivirus tienen la capacidad de detectar sitios web que se dedican a las prácticas de phishing y smishing.
Un antivirus te ayudará a evitar caer en estos mensajes, sin embargo, a pesar de tener un antivirus, siempre revisa dos veces.
Evita instalar aplicaciones por mensaje de texto
Incluso este tipo de mensaje te puede invitar a descargar alguna aplicación para estar más protegido. Recuerda que siempre debes descargarlas desde tiendas oficiales, donde existe un control y evaluación de la calidad y seguridad de los programas.
Identifica la tienda oficial de tu dispositivo Android o iOS.
Utiliza todas las medidas de seguridad existentes
Las organizaciones que manejan tu información ofrecen distintas medidas de seguridad que son convenientes adoptar. Como el doble factor de autenticación, generación de claves únicas, contraseñas seguras, entre otras.
Identifica los medios de comunicación de entidades financieras
Es importante que reconozcas cómo se comunicaría contigo alguna institución e incluso los protocolos que utilizan. Por ejemplo, la mayoría nunca te pedirá datos confidenciales de tus tarjetas o NIP.
¿Qué hacer si han vulnerado tu seguridad en línea?
Si tuviste la mala experiencia de que los ciberdelincuentes vulneraron tu seguridad, ponte en contacto con la institución que corresponda. Por ejemplo, si te han llegado cargos a tu tarjeta de crédito que no son tuyos, comunícate con tu banco o el servicio al cliente.
Recuerda que toda tu información personal debe estar protegida. Nunca intercambies estos datos con alguien desconocido ni la compartas a través de mensajes.
También es importante que reportes SMS o correos de phishing a las empresas involucradas, ya que ellas también se pueden ver afectadas por el uso fraudulento de su nombre.En el caso que recibas un mensaje de smishing de alguien haciéndose pasar por GBM+, te pedimos que nos lo comuniques a la brevedad a la línea de denuncia +55 5480 5800.