¿Qué es el Smishing?
Combinación de SMS -servicio de mensajería corta, o mensajes de texto- y phishing, el smishing se refiere a los mensajes de texto enviados por los atacantes para obtener información personal y sensible. Al igual que el spear phishing, los ataques de smishing se basan en engañar a los usuarios para que hagan clic en un enlace y proporcionen información confidencial, como credenciales de inicio de sesión que pueden utilizarse para acceder a los sistemas objetivo o incluso depositar malware.
Conozca nuestros 10 requisitos para la protección de endpoints.
Este método de ataque se ha popularizado recientemente debido a la facilidad para reunir números de teléfono, la prevalencia de los smartphones y la confianza inferida de un mensaje de texto sobre un correo electrónico tradicional. Mientras que los correos electrónicos pueden contener cualquier número de letras o caracteres especiales, los números de teléfono de todo el mundo siguen patrones específicos, como el de tres-cuatro-tres de 10 dígitos en EE.UU., y los atacantes pueden probar diferentes combinaciones o enviar ráfagas a un rango concreto. Además, los números de teléfono suelen asociarse a las redes sociales, lo que facilita su localización y proporciona a los atacantes un repositorio de información para hacer más personalizados los intentos de smishing.
Los estafadores también tienen éxito debido a la relación entre un usuario y su teléfono. Tanto si están de viaje como distraídos con otra cosa, es más probable que los usuarios se fíen de sus smartphones o que hojeen un mensaje en lugar de leerlo detenidamente. Para protegerse mejor contra el smishing -y las estafas de phishing en general- es importante que los usuarios examinen minuciosamente los números de teléfono, lean los mensajes con atención y nunca hagan clic en un enlace desconocido.
Más información sobre el phishing
Cómo detectar un intento de Smishing
Por desgracia, no faltan los ataques de phishing en cualquier dispositivo. Tanto si los ciberdelincuentes están a la caza de tarjetas de crédito, credenciales de inicio de sesión o cualquier otra información confidencial, los intentos de phishing por SMS son amenazas para las que los usuarios de móviles deben estar preparados.
Un ataque smishing habitual afecta a los servicios bancarios. Haciéndose pasar por una institución financiera legítima, estos mensajes de texto pueden aparentar ser urgentes para animar a las víctimas a conectarse sin pensárselo dos veces.
Figura 1: Ejemplo de mensaje de texto alertando a la víctima del compromiso de su cuenta, animándola a iniciar sesión con el enlace proporcionado
La mejor forma de reaccionar ante este tipo de mensajes es saltarse el enlace e ir directamente al propio banco. Vaya a la página web del banco, conéctese a su aplicación o incluso llame a una sucursal local para verificar si hay algún problema con una cuenta bancaria.
Otro ejemplo de ataques de smishing se aprovecha de la autenticación multifactor (MFA). Los atacantes enviarán mensajes de texto con credenciales a los usuarios, animándoles a iniciar sesión. Los piratas informáticos construyen estas páginas para que parezcan los sitios auténticos de credenciales con los que los usuarios están familiarizados.
Figura 2: Ejemplo de mensaje de texto que anima a la víctima a iniciar sesión en el enlace proporcionado para que pueda verificar su identidad.
Con ataques como estos, los usuarios tienen que pensárselo con cuidado. ¿Se han registrado en algo recientemente? ¿Es ésta la forma normal de que verifiquen su identidad? Al igual que con las instituciones bancarias, es mejor ir directamente a la fuente y verificar. Es importante señalar que, aunque algunos atacantes se están aprovechando de la AMF, la seguridad añadida de la AMF sigue siendo una defensa increíblemente importante contra la ciberdelincuencia.
La figura 3 es un ejemplo realista basado en un mensaje de smishing que recibió uno de nuestros empleados.
Figura 3: Captura de pantalla de un intento de smishing con el número extraño y el enlace incorrecto resaltados
Cómo evitar ser aplastado
Como ya se ha mencionado, una de las mejores técnicas para evitar ser smished es ser crítico con los mensajes de texto que recibe. Nunca haga clic en un enlace con el que no esté familiarizado y no se sienta obligado a responder a un texto extraño de un número que no reconoce. Si recibe un texto smishing en EE.UU., puede denunciarlo en reportfraud.ftc.gov.
Para los profesionales de la seguridad, es importante implementar la educación de los usuarios. Formar y poner a prueba a su empresa sobre cómo identificar el phishing y el smishing reducirá en gran medida la probabilidad de que un intento de phishing tenga éxito.
Dando un paso más, otra pieza importante de este rompecabezas es la adopción en toda la organización de una postura de Confianza Cero . Es importante vigilar su entorno teniendo en cuenta que no se debe confiar implícitamente en nada: cualquier cosa de su red puede ser utilizada en su contra. Productos como la detección y respuesta de endpoints (EDR) proporcionan una amplia visibilidad y una detección basada en el aprendizaje automático (ML) para el análisis de amenazas en tiempo real. Un producto EDR puede emparejarse con una plataforma de orquestación, automatización y respuesta de seguridad (SOAR) para una respuesta a las amenazas basada en la automatización.
Inscríbase en una demostración de Cortex para ver cómo XDR y XSOAR pueden mejorar su postura de seguridad.
