Aunque internet ha supuesto una mejora en nuestras vidas, poniendo a nuestro alcance el intercambio de información de manera rápida y sencilla; también ha hecho que cuando utilizamos internet nos expongamos a numerosos riesgos.

En 2019, según un informe del Ministerio del Interior, se produjeron 35,8% más de ciberdelitos con respecto al año anterior. De los cuales, 88,1% fueron fraudes informáticos (es decir, estafas). 

Las estafas por internet, el robo de datos, los virus… están a la orden del día. Sin embargo, cada vez se escucha hablar más de fraudes por whatsapp e incluso por mensajes de texto. En este artículo, queremos ayudar a detectar si un SMS es un fraude o no.

¿Qué es el smishing?

El smishing es una variante de la técnica de estafa conocida como phishing. Según el Instituto Nacional de Ciberseguridad (INCIBE), el smishing consiste en enviar SMS por parte de un ciberdelincuente a un usuario haciéndose pasar por una entidad legítima (institución pública, banco, red social etc.). 

El objetivo de estos ataques por SMS es robarte información personal o que realices algún pago. Normalmente este tipo de mensajes invitan a llamar a un teléfono, hacer clic en algún enlace de una web falsa o alguna otra acción aparentemente normal.

Consejos prácticos para protegernos del smishing

La Oficina de Seguridad del Internauta (OSI), ofrece los siguientes consejos para identificar y protegernos de este tipo de ciberataque: 

  • Sospecha de remitentes desconocidos: Si recibes un mensaje de una persona o empresa desconocida, desconfía. Lo mejor es que ignores el mensaje o lo elimines.
  • Nunca des información personal: cualquier empresa de confianza no te pedirá información personal o datos bancarios a través de un SMS. Si recibes un mensaje de texto reclamándote este tipo de información, lo mejor es que contactes con la empresa que supuestamente te ha enviado el SMS para verificarlo.
  • Desconfía de promociones o concursos en los que no hayas participado: es una de las prácticas más comunes debido a lo fácil que resulta llamar la atención de la víctima. Este tipo de mensajes suelen tener un enlace fraudulento o un número de teléfono especial.
  • Verifica los enlaces: es mejor contrastar la información a través de la página oficial de la entidad que supuestamente te ha mandado el mensaje. Si no conoces el remitente, lo mejor es no hacer clic en el enlace. 
  • Protege tus cuentas: Los sistemas de doble verificación o utilizar contraseñas robustas, son algunas de las mejores prácticas a la hora de proteger tus cuentas.
  • Ten un control de tu consumo: verificar con frecuencia tu consumo telefónico e incluso tu cuenta del banco, te ayudará a reaccionar con rapidez en caso de ser víctima de un fraude.
  • Contenido del mensaje poco familiar para ti: desconfía de aquellos mensajes en los que te hablan sobre un trabajo al que no has aplicado o que no existe, paquetes que vas a recibir pero que no has pedido etc.

Qué pueden hacer las empresas contra el smishing

Las empresas que utilizan el SMS para comunicarse con sus clientes y personal, deben asegurarse de que sus mensajes no son confundidos con los enviados por ciberdelincuentes. A continuación, te damos 5 consejos que puedes utilizar para proteger a tus destinatarios:

  1. Informa a tus clientes de que nunca les pedirás datos personales por SMS u otros canales (email, whatsapp, chat etc.), así podrán detectar rápidamente un intento de fraude.
  2. Haz saber a través de qué canales sueles comunicarte con tus clientes / empleados, para que sospechen si se utiliza un canal no previsto.
  3. Si incluyes algún enlace en tu mensaje de texto, utiliza las direcciones precedidas por https:// y no http://, ya que sólo en el primer caso se puede estar seguro de que la comunicación está cifrada para garantizar la seguridad de los datos.
  4. Utiliza un remitente alfanumérico. Estos remitentes son verificados por AGCOM y ayudan a los destinatarios a saber inmediatamente quién les escribe antes incluso de abrir el mensaje.
  5. Envía mensajes que sean claros y contengan elementos que los hagan lo más rastreables posible a una actividad conocida por parte del destinatario.

Ejemplos de smishing

El smishing es un tipo de ciberataque bastante común, pero menos conocido por la población. Como hemos comentado anteriormente, la finalidad es obtener información personal de las víctimas. 

Durante los últimos años, en España ha habido dos grandes casos de smishing en los que se ha suplantado la identidad de dos empresas reconocidas:

  • Caso de BBVA: en este caso, los afectados son los clientes del banco BBVA. En el contenido del SMS se indica que la cuenta ha sido desactivada y para reactivarla, tienen que acceder al enlace (acortado) que aparece en el mensaje. El siguiente paso es introducir tus claves de acceso a tu cuenta y tu número de tarjeta. Es en este momento cuando te roban tus credenciales, pudiendo realizar cualquier fraude con ellos.
  • Caso de FedEX: esta estafa consiste en recibir un SMS (personalizado, con tu nombre) de la compañía de transportes para gestionar tu envío. En el momento en el que clicas el enlace, te lleva a una web que imita a la de FedEX en la que te piden que te descargues una app y aquí está el engaño. No te envían a ninguna tienda de apps oficial (Google Play Store, Apple Store etc), la descarga se realiza desde la web. Una vez instalada, como cualquier otra app, te pide aceptar una serie de permisos y es en ese momento cuando el malware se activa. Este virus lo que hace es acceder a tus cuentas bancarias y contactos para intentar infectarles también. Y pensarás ¿pues elimino la app y problema resuelto? No es tan fácil. Este smishing es uno de los más sofisticados, lo han programado para que eliminar la app del dispositivo sea difícil. E incluso envía el SMS que tu has recibido a tu lista de contactos. 

¿Qué hacer si eres víctima del smishing?

Si has sido víctima de este tipo de fraude, o de cualquier otro por internet, lo que debes hacer es denunciarlo a la Policía y presentar el mayor número de evidencias posibles (capturas de pantalla, datos de contacto e información personal que hayas compartido con los ciberdelincuentes). También puedes reportar este fraude a través de la OSI o en el  número de teléfono 017, línea gratuita de ayuda en ciberseguridad de INCIBE. 

Además, si crees que has sufrido una estafa, es recomendable cambiar las contraseñas de acceso a tus cuentas personales, por ejemplo del banco, correo electrónico, redes sociales etc.