Última actualización: 04/01/2023
Ver el saldo y los últimos movimientos de la cuenta corriente, conocer más información e iniciar la contratación de una tarjeta de crédito… Muchas personas eligen los canales de banca online para gestionar sus finanzas. Sin embargo, a veces pueden recibir mensajes de texto fraudulentos que buscan suplantar la identidad de su banco. Estas situaciones son casos de lo conocido como smishing.
El teléfono móvil es, sin duda alguna, uno de los dispositivos inteligentes que más usamos en nuestro día a día. En él, tenemos, en la palma de la mano, las funcionalidades más tradicionales como la linterna, la calculadora o la cámara; y las más innovadoras, como aplicaciones que nos permiten controlar la calidad del sueño a través de dispositivos vinculados como los relojes inteligentes, las billeteras virtuales con nuestras tarjetas de crédito y débito, etc.
Dada su utilización por cada vez más personas en el mundo -en 2021, 3.8 mil millones de usuarios con smartphones, según previsiones de Statista-, también supone uno de los canales donde están aumentando más los ciberataques. Sin embargo, conociendo la existencia de estas prácticas maliciosas y aplicando sencillas recomendaciones, podemos reforzar nuestra seguridad en la red tanto como lo hacemos fuera de ella.
¿Qué es el smishing y cómo puedo detectarlo?
El smishing es una práctica fraudulenta en la que un atacante trata de obtener información personal o financiera de un usuario mediante un mensaje de texto (SMS). También puede ocurrir en mensajería instantánea (redes sociales). Para ello, busca hacerse pasar por una entidad bancaria u otras organizaciones, como pueden ser las emisoras de tarjetas de crédito, etc.
Estos mensajes suelen ser falsas alertas de robos de contraseñas, promociones y premios, etc., mostrando la necesidad de que el usuario actúe con urgencia. Además, van acompañados de un enlace a una página web en la que nos piden meter nuestros datos personales o bancarios -por ejemplo, el documento nacional de identidad y la contraseña con la que accedemos a nuestra app de banca online-, descargar algún archivo o instalar alguna aplicación. Para tratar de aumentar la credibilidad de la fuente, en muchos casos incorporan elementos identificativos del banco o la empresa en cuestión, como puede ser su logo o su nombre tanto en la propia web como en el enlace proporcionado.
Traslademos esta definición a un ejemplo real para verlo con mayor claridad: Guillermo está haciendo la compra semanal en un mercado próximo a su domicilio. Mientras revisa la lista con los productos que necesita, que ha apuntado en el blog de notas de su móvil, recibe un mensaje de texto. En él, lee lo siguiente:
Alertado, podría dejarse llevar por sus emociones; sin embargo, identifica distintos elementos que le llevan a pensar que es un caso de smishing. En primer lugar, Guillermo sabe que su banco nunca le pediría datos personales o claves de acceso a través de SMS con enlaces. Además, observa con detenimiento el enlace: no corresponde a la web de su banca comercial y no tiene protocolos de seguridad como “https”.
Efectivamente, nuestro usuario ha percibido que se trata de un fraude cibernético en el cual, haciendo clic en el enlace, probablemente se le mostraría una pantalla con un formulario y dos campos: uno que solicitaría el número de su documento nacional de identidad y otro para la contraseña de acceso a su banca online; seguido de un botón en el que se indica “enviar”.
¿Cuáles son las diferencias entre el smishing y el phishing?
Como hemos visto, en el smishing el fraude se intenta llevar a cabo a través de un mensaje de texto en nuestro dispositivo móvil, pero este no es el único canal mediante el que pueden llegarnos estas prácticas maliciosas.
Otra vía popular es el correo electrónico. En esta ocasión, la estafa se conoce como phishing, pero comparte con el smishing muchos elementos comunes. Imaginemos, esta vez, que nuestro protagonista está en el trabajo, intercambiándose correos con un par de clientes y, de repente, ve en su bandeja de entrada que tiene un nuevo e-mail. Aparentemente, una conocida marca de electrodomésticos se pone en contacto con él porque ha ganado una tostadora y 100€. Sin embargo, él no ha participado en ningún sorteo.
Lo primero que hace es revisar la dirección remitente: observa que esta no parece una dirección corporativa y además contiene erratas en el nombre de la marca en cuestión. Posteriormente, en el cuerpo de texto, ve el logo y un mensaje en el que se le notifica que debe rellenar, en un margen de 2 horas desde la recepción del correo electrónico, sus datos personales y bancarios para que puedan realizar el envío, en el caso de la tostadora, y el ingreso, en el caso del dinero en efectivo.
No cabe duda de que se trata de un fraude cibernético: es un caso de phishing. Para ello, toma las medidas oportunas: reporta el correo, marcándolo como spam en una funcionalidad habilitada en la barra de herramientas de su email del trabajo y, más tarde, contacta con la empresa de electrodomésticos a la que le han suplantado la identidad, a través de sus canales oficiales, para poner en su conocimiento el suceso.
Los SMS y correos electrónicos no son las únicas vías para este tipo de fraudes. También existen otros como vishing. En este caso, un ciberdelincuente podría tratar de contactar por teléfono con Guillermo haciéndose pasar por un compañero de su gestor personal bancario. Tal y como ocurría en los supuestos anteriores, este trataría de recopilar su información personal o bancaria notificándole, por ejemplo, que debe cambiar su contraseña de acceso a la app porque se ha identificado un cargo sospechoso. Sin embargo, para Guillermo lo único sospechoso sería la llamada, ya que sabe que su banco nunca le pediría estos datos ni realizar operaciones como la transferencia de dinero a otra cuenta.
¿Cómo puedo protegerme de estos fraudes cibernéticos?
Para prevenir situaciones que puedan intentar vulnerar nuestra ciberseguridad, podemos seguir unos sencillos trucos en nuestra vida diaria. Estos son los cinco consejos que te ayudarán:
Como hemos visto anteriormente, el smishing o el phishing son prácticas fraudulentas que buscan que el usuario lleve a cabo una determinada acción; generalmente compartir sus datos personales o bancarios, o descargar algún archivo infectado. Si no reconoces al destinatario o no esperabas el mensaje, comprueba aspectos como que el dominio sea de confianza o la dirección esté bien escrita. Si este se trata de algo relacionado con operaciones bancarias, realizarlas en canales oficiales como la página web o la app de la entidad.
Evita usar la misma contraseña en varias plataformas y, a la hora de elegir una de ellas, apuesta por passphrases, una combinación de tres o más palabras que permitan aumentar la robustez de tus claves.
Para estar en contacto con familiares, fomentar el networking… Las redes sociales forman parte, en el caso de millones de usuarios en el mundo, de su día a día. Para hacer un uso responsable, es fundamental que configuremos nuestras preferencias en los ajustes de seguridad y privacidad. Además, tenemos que cuidar la información que compartimos públicamente a través de ellas.
No olvides tener actualizados tus sistemas operativos, aplicaciones y programas. Las nuevas versiones suelen contener mejoras de seguridad que protegerán la información que contienen nuestros dispositivos ante posibles ataques de virus.
Si crees que estás ante un acto fraudulento como los casos de smishing o phishing que hemos comentado, actúa a tiempo: cambiar tus contraseñas y avisar a las compañías involucradas ayudará a los expertos en ciberseguridad.