Con cada innovación tecnológica, como usuarios recibimos muchos beneficios y nuevas utilidades que mejoran nuestro día a día. Pero también llegan nuevas amenazas y riesgos con los que convivir.

Un claro ejemplo de esto lo encontramos en los sistemas de comunicación digitales como el correo electrónico o la mensajería instantánea. Si con el e-mailing nos tenemos que enfrentar al pishing, la ciberestafa de suplantación de identidad a través del correo electrónico; con los SMS ha llegado el smishing.

El principal objetivo del smishing es el mismo que el del pishing: conseguir las credenciales de acceso (contraseñas, datos bancarios, tarjetas, etc.), para posteriormente poder robar dinero o información sensible.

Más allá de un mensaje que pone en alerta al receptor, el smishing acostumbra a incluir un enlace fraudulento que dirige a una página falsa diseñada para obtener la información, o un malware, es decir, un archivo maligno que acostumbra a ser una aplicación fraudulenta parecida a una app real con el objetivo de robar los datos del dispositivo.

La banca, víctima habitual de smishing

Aunque los ámbitos de actuación de estas ciberamenazas son todos aquellos susceptibles de una posible suplantación de la identidad de una organización o empresa, el sector bancario es uno de los más afectados. Esto se debe a que se aprovecha el uso habitual que hacen del envío de SMS para comunicaciones y autorizaciones de operaciones.

Este pasado mes de diciembre, por ejemplo, bancos como Caixabank, BBVA y Santander detectaron distintas campañas de smishing. En todos los casos se alertaba a los usuarios de una supuesta actividad fraudulenta que había comportado el bloqueo de la cuenta bancaria de la víctima, y se instaba a entrar en un enlace para la verificación y restablecimiento.

Un tipo de ciberataque muy popular

Aunque este ciberataque de ingeniería social (es decir, basado en técnicas psicológicas que se aprovechan del miedo, la alarma y el despiste) apareció por primera vez en 2008, en los últimos años se ha vuelto de nuevo popular aprovechando el uso masivo de aplicaciones de mensajería como WhatsApp y Telegram a través de smartphones y otros dispositivos que utilizamos continuamente en nuestro día a día.

El éxito del smishing también se debe al hecho de que muchos usuarios asumen erróneamente que su smartphone es más seguro que su ordenador, y como consecuencia bajan la guardia. Esto es aún más evidente en los usuarios de iOS (el sistema operativo de Apple), que se sienten más seguros y, por lo tanto, inmunes a cualquier amenaza.

Además, y con el auge de prácticas laborales como el teletrabajo y del BYOD (Bring your own device, trae tu propio dispositivo) el smishing se ha convertido en una amenaza, cada vez más seria.

Consejos y soluciones para combatir el smishing

Aunque como norma general, el mejor consejo ante el smishing es no hacer nada (es decir no morder el anzuelo), os ofrecemos algunas recomendaciones para defenderse y protegerse ante este tipo de ciberataque bancario.

Sospechar como norma

Cualquier mensaje de alerta que provenga de un remitente desconocido o extraño, sobre todo si va acompañado de un enlace o archivo no solicitado, nos debe hacer sospechar. Si además nos reclama que actuemos con urgencia y trasladándonos miedo, lo más seguro es que nos encontremos ante un claro ejemplo de smishing.

No abrir enlaces ni archivos

Aunque el mensaje sea muy convincente, no debes caer en la tentación de abrir el enlace ni el archivo adjunto. Hay que recordar que ninguna entidad bancaria va a enviarnos nunca un mensaje parecido acompañado de un enlace, y mucho menos pidiendo que introduzcamos nuestras credenciales de acceso o el código de la tarjeta bancaria.

Eliminar el mensaje

No respondas nunca a uno de estos mensajes, y bórralo tras hacer una captura de pantalla (para disponer de una prueba con la que comunicárselo a la entidad bancaria).

Ante la duda, contactar con el banco

En caso de querer abrir el enlace, hazlo desde un ordenador. Para verificar que todo está correctamente, entrar a la web desde un navegador o desde la app oficial y, ante la duda, contacta telefónicamente con la entidad bancaria.

No realizar transferencias ni compartir credenciales

Otra norma general aplicable al smishing, al pishing y a cualquier otra amenaza bancaria, es que no debemos compartir con nadie nuestras contraseñas ni el pin de la tarjeta.

Esto incluye también la precaución de no guardar sin cifrar, ninguna de estas credenciales en nuestros dispositivos (especialmente en el habitual bloc de notas).

Sistemas actualizados

Finalmente, y como ya hemos repetido en multitud de ocasiones en este blog, hay que tener nuestros dispositivos actualizados con la última versión del sistema operativo disponible (y sus correspondientes parches de seguridad), y es recomendable contar con programas antivirus y antimalware de última generación.

¿Y si ya hemos sido víctima de smishing?

Si a pesar de todas estas precauciones  hemos sido víctimas de un ataque de smishing, lo primero que hay que hacer es contactar telefónicamente con nuestra entidad bancaria para comunicarlo y bloquear la operación.

A continuación, es recomendable modificar las contraseñas de acceso, así como denunciar el fraude ante las autoridades competentes.

La psicología es la clave

Aunque es verdad que este tipo de ataques ha crecido mucho últimamente, la buena noticia es que son fácilmente combatibles utilizando las mismas herramientas que los ciberdelincuentes.

Si ellos utilizan técnicas de ingeniería social, nosotros debemos utilizar la psicología inversa y la sospecha permanente para no picar en sus anzuelos.

Hablamos de amenazas digitales, pero en este caso no hay que recurrir a complejos programas de protección: nuestro sentido común será nuestra mejor defensa.