Las denuncias de fraudes por SMS se han incrementado en más de un 20%

Recomendados.... » Tendencias TI 2023 y factores que influirán en su despliegue  Webinar » Administración Pública Digital: progreso y vanguardia On Demand » Digitalización y seguridad, motor de innovación del sector financiero  Informe

Al margen del robo de credenciales por correo electrónico, que sigue siendo la amenaza de ciberseguridad más común, los ataques de phishing que se sirven de mensajes de texto o SMS como principal vector de comunicación, conocidos como smishing, están ganando terreno. De acuerdo con Proofpoint, el 57% de organizaciones en España sufrió al menos un ataque de este tipo durante 2021. Lo sorprendente es que un 73% de trabajadores declaró que no sabía en qué consistía el smishing o dio una respuesta incorrecta al respecto. Mientras tanto, las denuncias de estos fraudes por SMS se han incrementado en más de un 20%.  

Para los usuarios, ignorar el spam y otros tipos de mensajes maliciosos por correo electrónico se ha convertido en una práctica de lo más habitual. En cambio, mucha gente sigue confiando en la seguridad de las comunicaciones por SMS, debido a que los mensajes maliciosos no se distinguen a veces de las notificaciones legítimas. Lo común es falsificar mensajes como notificaciones de entrega o bancarias, recordatorios de citas o de restablecimiento de contraseñas, que se envían con plataformas de mensajería freemium que apenas verifican a sus usuarios. Incluso, si se detecta un abuso en un dispositivo, los ciberdelincuentes pueden registrar no solo uno, sino cientos de ellos de nuevo mediante credenciales robadas. 

 “Los móviles son un objetivo de gran valor para los ciberdelincuentes. Un solo dispositivo puede contener varias cuentas que dan acceso a finanzas, información sensible y documentos confidenciales tanto de individuos como corporativos”, declara Fernando Anaya, country manager de Proofpoint para España y Portugal.

Phishing y smishing 

En las operaciones de smishing los atacantes tienen que trabajar con un determinado número de caracteres por mensaje, limitaciones de ubicación y mayores gastos, pero todo lo que han aprendido del phishing por correo está ayudándoles a maximizar beneficios. De hecho, la tasa de éxito del smishing es probablemente más alta que la del phishing en general, aunque el volumen de los ataques por correo electrónico sigue siendo mucho mayor.

Los ataques por correo electrónico y los de mensajería móvil comparten similitudes. Ambos basan sus señuelos en aprovecharse de la psicología humana, apelando a la urgencia o a la autoridad para convencer a las víctimas de que realicen una acción. Además de ataques de gran volumen, utilizan técnicas más específicas como el spear phishing/smishing, para afinar sus mensajes y dirigirlos a las personas más valiosas dentro de una organización. 

Entre el phishing y el smishing existen, no obstante, diferencias muy significativas. Para el primer caso, el atacante solo necesita un ordenador y acceso a servicios comunes alojados en la nube. En cambio, el panorama es bastante diferente si se quiere enviar mensajes con URLs maliciosas a móviles, debido a que las redes móviles son sistemas cerrados, lo que dificulta crear y mandar mensajes de manera anónima. Para ello, los ciberdelincuentes necesitan tener acceso a la red, requiriendo para ello sofisticados exploits o hardware dedicado. También les genera costes de conexión continuos, ya que a medida que los operadores de redes móviles identifican y excluyen los números maliciosos, se necesitan nuevas tarjetas SIM. Y no solo eso, sino que se utilizan torres de telefonía para localizar la procedencia de la actividad maliciosa, por lo que los atacantes de smishing se ven obligados a desplazarse con frecuencia para no ser descubiertos. Aun así, los números de teléfono revelan información sobre la localización de dispositivos, algo que no sucede con el correo electrónico, dando la oportunidad a los atacantes de enviar mensajes en un idioma en concreto.

Teniendo todo en cuenta, desde Proofpoint insisten en que es vital que la formación en materia de seguridad incluya las amenazas móviles, y que esta concienciación se combine con tecnología, por ejemplo, mediante filtros para proteger a los usuarios de SMS maliciosos.