La amenaza de los ataques de phising es conocida, pero hoy en día los hackers utilizan una técnica similar llamada "smishing" que se basa en los Servicios de Mensajes Cortos o SMS (Short Message Service según sus siglas en inglés), con la que infectan los teléfonos inteligentes con software malicioso (malware) y roban datos. De acuerdo con informes recientes estos ataques están sucediendo con más frecuencia. En Europa y Asia, usuarios están siendo infectados con el peligroso malware para Android llamado "Roaming Mantis" mediante ataques de smishing algo que va en aumento a nivel mundial, afirma la empresa de ciberseguridad Kaspersky.
¿Qué es el smishing?
El "Smishing" son ataques que utilizan técnicas similares a los esquemas de "phishing" pero que utilizan mensajes de texto SMS en lugar de correos electrónicos, de ahí el nombre "smishing" (unión de la palabra "SMS" mas "phishing").
Este es el método de empleo más común para el ataque: los hackers envían al objetivo un mensaje de texto que parece legítimo. Este contendrá un enlace hacia una página web falsa pero a la vez convincente, en donde le indica al usuario que debe descargar una aplicación que contiene software malicioso. En el caso de Roaming Mantis, el malware se esconde a través de un código inofensivo que los bloqueos anti-malware pueden pasar por alto.
A parte del malware, los hackers hacen daño de otras maneras que varian dependiendo de la empresa por la que se hagan pasar. Por ejemplo, los textos también pueden contener enlaces a páginas web de inicio de sesión falsas que roban información privada de la cuenta en particular; enviar spam con anuncios maliciosos; o simplemente pedir que se responda con otra información importante, como los datos de la tarjeta bancaria, los números de seguridad social o la licencia de conducir.
Sea de cualquier manera, los hackers llegan a tener acceso remoto al dispositivo personal, cuentas y/o información personal, con lo cual pueden robar información de pago, fotos personales y cualquier otra información que se tenga almacenada.
¿Cómo evitar el smishing?
Aunque esta es una amenaza grave, se utilizan estrategias similares para detectar y evitar intentos de phishing y demás estafas en línea.
Primero, se puede optar por los filtros de spam de los SMS, sin embargo esto no lo es todo. Proveedores de servicios mobiles como T-Mobile, AT&T y Verizon en Estados Unidos están mejorando la detección de mensajes no deseados y las campañas de smishing, pero estos filtros son mas reactivos que pro-activos, es decir que andan un paso atrás de los individuos que envían mensajes no deseados.
Aun así, los filtros no detendrán todos los textos maliciosos, pero son útiles para disminuir el riesgo. El resto de la prevención recae en los propios usuarios: Lo más importante es no abrir enlaces sospechosos de números telefónicos aleatorios o desconocidos.
Cabe destacar que muchas empresas envían enlaces importantes en mensajes de texto, y a menudo desde números telefónicos aleatorios. Incluso estos mensajes de textos legítimos a veces provienen de un número diferente, aunque sea del mismo remitente. Por ejemplo, esto suele ocurrir con los sistemas de doble factor de autenticación (MFA por sus siglas en inglés) basados en SMS o las solicitudes de restablecimiento de contraseñas, lo que puede dificultar la tarea de detectar si es seguro.
Por lo tanto, si no se está esperando un mensaje de, por ejemplo, Google, algún banco o alguna otra entidad, no abra mensajes de textos que parezcan ser de dichas empresas. Otra señal que indica que un mensaje de texto es falso es cuando se nota el uso de palabras especificas para intentos de suplantación de identidad con mala ortografía y gramática.
También existe otra señal la cual son las solicitudes poco ortodoxas o poco comunes. En general, los bancos, los proveedores de Internet y otras grandes empresas no envían enlaces al azar, no piden que se instalen aplicaciones adicionales, ni piden datos personales a través de un mensaje de texto. La mejor manera de salir de la duda si no se está seguro es simplemente que llamar a los números oficiales de las empresas y confirmar si es legítimo el mensaje de texto.