Smishing
From Wikipedia, the free encyclopedia
El smishing (de SMiShing; a su vez, de SMS y phishing) es un tipo de delito o actividad criminal a base de técnicas de ingeniería social con mensajes de texto dirigidos a los usuarios de telefonía móvil. Se trata de una variante del phishing.
En la actualidad, el smishing no se limita exclusivamente a los mensajes SMS tradicionales, sino que también puede realizarse a través de aplicaciones de mensajería instantánea. Su finalidad suele ser la obtención de credenciales de acceso, datos bancarios, información personal o códigos de verificación enviados por entidades legítimas. Estas prácticas pueden derivar en fraudes económicos, acceso no autorizado a cuentas digitales o suplantación de identidad.
Cómo funciona
Es una estafa en la cual, por medio de mensajes SMS u otros sistemas de mensajería, se solicitan datos o se pide que se llame a un número o que se entre a un sitio web.
El sistema emisor de estos mensajes de texto, que puede estar automatizado, o incluso un individuo que suele ser un spammer, intentará suplantar la identidad de alguna persona conocida de entre nuestros contactos, o incluso a una empresa de confianza.
Las víctimas de smishing reciben mensajes similares a estos:
- «Estamos confirmando que se ha dado de alta para un servicio de citas. Se le cobrará 2 dólares al día a menos que cancele su petición: smishing.example.com/cancel»
- «El cheque es preparado para usted. Favor gracias de llamarnos para completar las informaciones al número 555-1234» (Nótese, que el texto está mal redactado, porque se ha usado un programa de traducción sin su posterior revisión.)
- «Hola. Anoche lo pasé muy bien contigo. Favor llámame al 555-4321 para quedar»
- «A partir del 01/02/2003, su cuenta no podra ser utilizada si no dispone de nuestro nuevo sistema de seguridad. Activa ahora: smishing.example.com/abcxyz»
- «Su paquete no se ha podido entregar porque no se han pagado las tasas de aduanas (2.99 €). Puede pagar en el siguiente enlace: smishing.example.com/xyzabc»
Cuando visitamos la dirección web, puede ser redirigida a un sitio web que imita la apariencia de una página legítima con el objetivo de recopilar datos confidenciales o inducir la descarga de un programa malicioso, como troyanos.
Técnicas empleadas
Los atacantes que realizan campañas de smishing suelen utilizar diversas técnicas para aumentar la credibilidad del mensaje y la probabilidad de éxito:
- Suplantación del remitente (spoofing): manipulación del identificador del SMS para que aparezca como enviado por una entidad legítima.
- Uso de dominios similares: creación de páginas web con direcciones que imitan a las oficiales mediante variaciones mínimas en el nombre.
- Mensajes de urgencia o alarma: comunicación de supuestos bloqueos de cuenta, problemas de entrega o cargos pendientes para provocar una reacción inmediata.
- Acortadores de URL: ocultación del destino real del enlace.
- Ingeniería social contextual: aprovechamiento de situaciones comunes, como compras en línea o trámites administrativos, para hacer el fraude más creíble.
