Mimecast Logo
Obtenga una cotización
    Ciberresiliencia
    Todos los temas
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Email Collaboration Threat Protection

    Smishing (Suplantación de identidad por SMS): Definición, ejemplos y formas de evitarlo

    ¿En qué se diferencia el smishing de los ataques de phishing convencionales y cómo puede evitar caer en la trampa del smishing?

    by Giulian Garruba

    Key Points

    • Los ataques de smishing se centran en su smartphone o tableta de la misma forma que el phishing se dirige a su correo electrónico.
    • La mensajería SMS es una de las formas de comunicación más populares del mundo, lo que la convierte en un objetivo atractivo para los ataques maliciosos.
    • Haciéndose pasar por un contacto de confianza, un sitio web o incluso una autoridad controlada por el Estado, los ataques smishing le obligan a compartir información confidencial de buen grado.

    La definición de smishing es clara si se tiene en cuenta la combinación de dos palabras que la mayoría de la gente ya conoce: SMS y phishing. Por desgracia, la nefasta práctica del smishing está consiguiendo engañar a innumerables usuarios para que compartan datos confidenciales con los ciberatacantes a través de SMS.

    En pocas palabras, un ataque de smishing se centra en su smartphone o tableta del mismo modo que el phishing se dirige a su correo electrónico. Pero, ¿cómo se producen estos ataques, en qué se diferencian de los ataques de phishing convencionales y cómo puede evitar caer en la trampa del smishing?

    Aquí cubrimos todos los hechos cruciales que necesita saber sobre el phishing por SMS y cómo puede detectar un SMS malicioso antes de entregar información confidencial.

    ¿Qué es el Smishing? 

    El smishing funciona generalmente de dos maneras.

    • Envío de un SMS al destinatario y solicitud de información sensible.
    • Envío de un mensaje SMS a un destinatario que contiene un enlace malicioso.

    Hoy en día, la mensajería SMS es una de las formas de comunicación más populares del mundo. El gran número de mensajes enviados hace que los ciberatacantes lo hayan identificado como objetivo de ataques maliciosos contra empresas y particulares. Esto significa que el smishing es una vía muy lucrativa que los ciberatacantes pueden explorar.

    Mucha gente ya conoce el phishing por correo electrónico, pero con los miles de millones de teléfonos inteligentes y tabletas que se utilizan, pocos son conscientes de la misma amenaza que supone el smishing. Esto suele deberse a que el phishing por SMS es relativamente nuevo y, como hemos llegado a confiar en este medio, solemos restar importancia a cualquier sospecha que podamos tener sobre el daño que puede crear un mensaje de texto.

    A esto se añade el hecho de que se supone que los mensajes de smishing imitan el registro informal que utilizamos dentro del medio, con el objetivo de hacerle sentir lo suficientemente cómodo como para hacer clic en un enlace o compartir información.

    ¿En qué se diferencia el smishing de los ataques de phishing? 

    La principal diferencia entre una estafa de smishing y un ataque de phishing es que se llevan a cabo a través de plataformas diferentes. Las estafas de phishing se envían siempre a través del correo electrónico, que suele ser más sofisticado, ya que puede incluir más información engañosa e incluso enlaces maliciosos en imágenes o texto.

    Sin embargo, los ataques de "smishing" no son menos peligrosos, ya que se aprovechan de nuestra confianza y familiaridad con la plataforma y su formato de respuesta instantánea para engañarnos y hacernos compartir información sensible sin pensarlo demasiado.

    Cómo funciona un ataque de smishing 

    Haciéndose pasar por una fuente de confianza, tal vez un contacto, un sitio web que utiliza habitualmente o incluso una autoridad controlada por el Estado, puede verse obligado a compartir información sensible voluntariamente al responder a un SMS malicioso que reciba. A menudo, habrá un límite de tiempo que le inste a responder inmediatamente, y es posible que reciba mensajes de texto posteriores diciéndole que se le acaba el tiempo para resolver el problema.

    Este tipo de presión a menudo lleva a los usuarios a cumplir con exigencias menores, incluso cuando sólo un fragmento de información compartida puede ser suficiente para que los ciberatacantes consigan entrar en dispositivos, redes y datos más críticos. El ciberatacante también puede intentar fomentar una mayor confianza para que usted comparta más información a medida que pase el tiempo.

    Otra posibilidad es que le engañen para que descargue malware en su dispositivo que recopila datos sin que usted se dé cuenta. Por último, también podría ser engañado para que haga clic en un enlace que puede pedirle información confidencial, que luego es recibida por los ciberdelincuentes.

    Al final, todas estas solicitudes aparecerán en su bandeja de entrada de SMS como lo harían con cualquier otro mensaje, por lo que resulta difícil prepararse para un ataque de smishing a menos que ya sea consciente de la amenaza.

    ¿Qué gana un Smisherman con un ataque de Smishing?

    Como todos los actores maliciosos del sector de la ciberseguridad, los smishers buscan vulnerabilidades que explotar y obtener datos personales, ya sea mediante simples pero fraudulentas solicitudes de información o utilizando malware instalado en su dispositivo.

    Estos datos pueden utilizarse para robar su identidad, obtener contraseñas, compilar perfiles de los hábitos de los usuarios y rastrear su comportamiento. Sin embargo, lo esencial es que los ciberatacantes suelen tener como objetivo robar dinero, ya sea pirateando cuentas bancarias o de tarjetas de crédito o pidiendo un rescate por datos críticos.

    Gartner® Cuadrante Mágico™: Mimecast nombrado líder

    Mimecast reconocida una vez más por su Integridad de Visión y Capacidad de Ejecución en el Cuadrante Mágico 2025 de Gartner®™ para la Seguridad del Correo Electrónico
    Obtenga el informe

    Señales de que está siendo maltratado 

    La mejor forma de identificar los signos de un presunto ataque es a través de una serie de ejemplos de smishing.

    Solicitudes para compartir credenciales

    Este es quizás el tipo de estafa smishing más común, ya que suele ser la más creíble para el usuario final. Por ejemplo, si recibe un SMS solicitándole datos personales, como nombres de usuario o contraseñas, es una señal de alarma inmediata.

    Normalmente, un atacante de smishing se hará pasar por un banco u otra fuente autorizada para parecer más legítimo. Incluso pueden sugerirle que su cuenta ha sido comprometida y que sus datos son necesarios para detener cualquier actividad fraudulenta. Por desgracia, la realidad es que el SMS es el fraude.

    Del mismo modo, fuentes supuestamente fiables pueden pedirle que siga un enlace para introducir información o incluso que llame a un número de teléfono donde un representante del servicio de atención al cliente de "" tomará sus datos. En cualquier caso, entregar información crítica significa el éxito para el atacante.

    Solicitudes de descarga de software

    Otro tipo de ataque de phishing por SMS se presenta en forma de solicitud de descarga de software, aplicaciones o actualizaciones en su dispositivo. Una vez instalado, el malware trabaja dentro de su sistema operativo actual, controlando funciones específicas y recopilando información y datos confidenciales.

    Este tipo de smishing suele dar lugar a dispositivos secuestrados que los ciberatacantes pueden utilizar para minar criptomonedas. Aunque normalmente sólo una pequeña parte de su capacidad de procesamiento puede estar ocupada en esta actividad, puede provocar la sobrecarga de los dispositivos y dejarlos inservibles.

    Solicitudes de transferencia de dinero

    Cualquier SMS que solicite una transferencia de dinero debe levantar una bandera roja inmediata. Sin embargo, los ataques de phishing por SMS se han vuelto cada vez más sofisticados en la última década, ya no se basan en el príncipe nigeriano que promete millones, sino que la mayoría de las veces se hacen pasar por alguien conocido.

    Los ciberatacantes pueden recopilar información de sus redes sociales sobre sus allegados, incluso apropiarse de su número de teléfono, para presentar una crisis que sólo el dinero puede resolver. Aunque se solicite una pequeña cantidad, el gran número de estafas de smishing significa que los ciberatacantes probablemente se lleven mucho dinero.

    Otra posibilidad es que los estafadores de smishing adopten la personalidad de un trabajador benéfico, aprovechándose de la buena voluntad de la gente para que haga donaciones a organizaciones caritativas inexistentes.

    Cómo prevenir los ataques de Smishing

    Los atacantes de smishing utilizan una amplia gama de métodos para intentar estafarle dinero o datos a través de un SMS, y la mejor forma de prevención y protección es saber en qué fijarse. Por lo general, habrá una serie de signos reveladores que le alertarán de un ataque de smishing. Recuerde: 

    • No caiga en la tentación de responder a demandas urgentes de fuentes desconocidas.
    • Desconfíe de los enlaces incrustados, sobre todo de los que no son de contacto.
    • Compruebe dos veces el número del que recibe el mensaje y no responda a través de SMS si parece reconocible pero tiene sospechas.
    • No guarde tarjetas, datos bancarios u otra información crítica en su teléfono, ya que el malware podría acceder a ella.
    • Los bancos y otras autoridades no le pedirán que confirme datos sensibles por SMS. Esta es una bandera roja inmediata.
    • Busque herramientas avanzadas que puedan detectar actividades sospechosas en sus dispositivos.

    Lo esencial

    A medida que siga creciendo el uso de los teléfonos inteligentes, también lo harán el número y la sofisticación de los ataques de smishing. Por lo tanto, la vigilancia y la educación sobre su desarrollo son claves para evitar este tipo de actividad maliciosa. Además, informar siempre de los ataques de phishing por SMS a su proveedor de red puede ayudarle a prevenir nuevos ataques en el futuro. 

    **Este blog se publicó originalmente el 3 de enero de 2023. 

    Soluciones de protección frente a amenazas
    22BLOG_1.jpg
    Up Next
    Email Collaboration Threat Protection |
    La diferencia entre phishing y spam en los correos electrónicos

    Related Articles

    Email Collaboration Threat Protection
    Investigación de conductas indebidas en Slack y Microsoft Teams: Qué hacer, qué no hacer y consideraciones de privacidad
    Email Collaboration Threat Protection
    Australia Under Siege: The Alarming Scale of Government Impersonation Scams
    Email Collaboration Threat Protection
    Por qué Mimecast lidera la lucha contra el fraude por correo electrónico en 2024

    Suscríbase a Cyber Resilience Insights para leer más artículos como éste

    Reciba las últimas noticias y análisis del sector de la ciberseguridad directamente en su bandeja de entrada

    Inscríbase con éxito

    Gracias por inscribirse para recibir actualizaciones de nuestro blog

    ¡Estaremos en contacto!

    Back to Top