Los vectores de ataque que utilizan los delincuentes para propagar sus amenazas pueden ser muy variados pero hay algunos que destacan sobre el resto por su efectividad. El correo electrónico sería uno de ellos a pesar de que lleva siendo usado de forma fraudulenta desde hace décadas, pero hay otro vector que, en pleno 2021 también está siendo usado para propagar varias amenazas con un notable éxito. Este no es otro que los mensajes SMS y a continuación vamos a ver porque resultan tan efectivos.
Caída y auge de los SMS
¿Recuerdas la última vez que enviaste un mensaje SMS a un amigo, familiar o compañero de trabajo? Salvo por causa mayor es raro que sigamos usando este tipo de mensajería tan popular a finales de los 90 y durante buena parte de la primera década de los 2000. Su finalidad principal, la de enviarse mensajes entre usuarios fue sustituida por aplicaciones de mensajería instantánea como WhatsApp y, a pesar de que las operadoras incluyeron el envío de mensajes SMS entre sus ofertas, los usuarios los abandonaron por las otras alternativas existentes que tenían muchas más funcionalidades.
Aun así, los mensajes SMS han seguido teniendo su nicho de mercado siendo utilizados por empresas de todo tipo para enviar alertas y promociones e incluso en varios países se utilizan como sistema de alerta ante situaciones de emergencia provocadas por catástrofes naturales o de otra índole.
Sin embargo, para la mayoría de usuarios, la recepción más habitual actualmente de mensajes SMS suele estar relacionada con operaciones bancarias o seguimiento de pedidos realizado en comercios online. Esto es algo en lo que los delincuentes se han estado fijando desde hace tiempo y, recientemente, han intensificado sus campañas de amenazas utilizando precisamente estos mensajes como vector de propagación.
De la misma forma que el phishing es la suplantación de identidad, normalmente mediante el envío de emails que redirigen a una web o a la descarga de un archivo malicioso, el SMiShing utiliza mensajes SMS para incluir enlaces que descargan aplicaciones maliciosas en nuestro dispositivo o nos redirige a webs fraudulentas preparadas por los delincuentes.
Como ya hemos indicado, esta técnica tiene muchos años a sus espaldas, pero ha sido en los últimos meses donde ha experimentado un auge considerable tanto en España como en otros países. Varios han sido los usuarios afectados por este incremento en las amenazas propagadas por este medio, si nos atenemos al creciente número de consultas que hemos recibido desde hace ya meses y pudiendo identificar campañas delictivas recurrentes y que han tenido un éxito considerable.
En algunos casos, la aplicación descargada contiene en realidad un troyano bancario por lo que, si el usuario accede a la banca online desde su dispositivo Android, los delincuentes podrán robar las credenciales de acceso e interceptar los futuro s mensajes SMS enviados como doble factor de autenticación y que permiten confirmar la realización de transferencias bancarias.
También puede darse el caso de que el mensaje enviado por SMS nos redirija a una web supuestamente pensada para hacer el seguimiento de nuestros envíos pero que, en realidad su finalidad sea la de robar los datos de nuestra tarjeta de crédito. Esto sería un caso más cercano al del phishing clásico que suele suplantar a entidades bancarias conocidas para tratar de robar los datos de acceso a ellas o, directamente los de la tarjeta de crédito.
En estos casos, vemos como los delincuentes utilizan el nombre de una entidad bancaria para alertarnos de algún problema en nuestra cuenta y generar así una sensación de apremio que consigue que muchos usuarios bajen la guardia y pulsen sobre el enlace para acceder a la web fraudulenta preparada por los delincuentes.
Este tipo de webs suelen parecerse bastante a las legítimas y hace tiempo que los delincuentes empezaron a comprar certificados válidos para que también mostrasen el conocido candado para certificar que la conexión entre el sistema de la víctima y la web fraudulenta es seguro. Sin embargo, esto no significa que la web lo sea, tal y como han podido comprobar numerosos usuarios que han visto desaparecer importantes cantidades de dinero de sus cuentas bancarias.
Soluciones y medidas a adoptar
Ante el creciente número de casos debemos ser muy conscientes de estas amenazas y aprender a reconocerlas, así como también adoptar medidas que nos ayuden a identificar y bloquearlas. La primera de esas medidas pasa por instalar una solución de seguridad tanto en nuestro ordenador como en nuestro dispositivo Android para que nos ayude a detectar tanto las webs fraudulentas como aplicaciones maliciosas que se descarguen de ellas.
Aun con esta solución de seguridad ya instalada, resulta muy importante aprender a identificar este tipo de amenazas para ahorrarnos más de un disgusto. Empezando por los enlaces que se proporcionan en estos mensajes SMS podemos observar como muchos de ellos contienen palabras clave para que pensemos que están realmente relacionados con la empresa suplantada.
En caso de recibir este tipo de mensajes, lo mejor para despejar las posibles dudas es evitar pulsar sobre los enlaces que se adjunta y acceder directamente a la web de la empresa que se menciona para realizar las consultas o trámites pertinentes. Si nos fijamos, por ejemplo, en la web utilizada para suplantar al BBVA y a la que se accedía tras pulsar en el enlace proporcionado por el SMS vemos como la apariencia podría pasar por auténtica para muchos usuarios y, además, se incluye el ya mencionado candado de seguridad.
El creciente número de casos de SMiShing que estamos observando durante los últimos meses indica que aun queda mucho por hacer en labor de concienciación. La mayoría de usuarios conoce o ha oído hablar del phishing por email, aunque aun haya mucha gente que caiga en este tipo de trampas, pero el SMiShing parece que no ha tenido tanta difusión y, al ser este tipo de mensajes usados solamente para cierto tipo de comunicaciones, es más fácil pensar que se tratan de mensajes legítimos y pulsar en los enlaces que se incluyen.
Especialmente vulnerables resultan aquellas personas de avanzada edad que no están acostumbradas a utilizar otros canales de comunicación y que son más susceptibles a caer en este tipo de trampas. Por ese motivo animamos a los lectores de este artículo a que conciencien a sus padres, madres y abuelos para evitar que los delincuentes se enriquezcan a su costa.