Las campañas realizadas a través de SMS son cada vez más habituales. Si a esto le añadimos que nuestra vida cotidiana cada vez más digital y tecnológica, y el auge del ecommerce, es claro que nuestras vidas cada vez están más expuestas a los entornos digitales.
Con el fin de aprovechar todas las ventajas de las campañas SMS pero a la vez protegernos de cualquier ciberamenaza, aquí os tratamos sobre qué es el smishing y las diferentes prácticas anti-smishing.
Smishing
El smishing es una técnica que consiste en el envío de un SMS por parte de un ciberdelincuente a un usuario, simulando ser una entidad legítima (red social, banco, institución pública, etc.) con el objetivo de robarle información privada o realizarle un cargo económico. Se trata de un mensaje que, a menudo, afirma ser de tu banco y te pide información personal o financiera, como tu número de cuenta o del cajero automático.
Smishing es una palabra compuesta por «SMS» y «phishing». Probablemente hayas aprendido a desconfiar de los correos electrónicos que dicen «Hola, mira este interesante enlace» y no contienen un mensaje personal real del supuesto remitente. Pero por el contrario, cuando la gente usa el teléfono, muestra menos miedo. Muchos asumen que sus smartphones son más seguros que los ordenadores, pero la seguridad de los smartphones tiene limitaciones y no puede proteger directamente contra el smishing.
Del mismo modo que la mayoría de los cibercriminales, se dedican a robar tus datos personales, que pueden utilizar para robar dinero, normalmente tuyo, pero a veces también de tu empresa. Usan 2 métodos, el primero que podrían engañarte para que descargues malware que se instala en el teléfono y este podría enmascararse como una aplicación legítima, que te engaña para que introduzcas información confidencial y envíes estos datos a los cibercriminales. Por otro lado, el enlace que se incluye en el mensaje de smishing podría llevarte a un sitio falso donde se te pide que introduzcas información personal confidencial que los cibercriminales pueden utilizar para robar tu ID online.
Antes estas amenazas resulta fácil protegerte de estos ataques. De hecho puedes mantenerte seguro sin hacer nada en absoluto. Solamente el ataque te ocasionará daños cuando sigues la intención del mensaje.
Hay varios aspectos que te ayudarán a protegerte contra esto:
- Debes considerar las alertas de seguridad urgentes y los canjes de cupones, ofertas u oportunidades que requieren que actúes rápido como signos de advertencia de un intento de pirateo.
- Nunca hagas clic en un enlace o número de teléfono de un mensaje del que no estás seguro.
- Busca números sospechosos que no parezcan números de teléfono móvil auténticos, como «5000».
- Niégate a seguirles con la intención, simplemente no respondas.
- No guardes tu tarjeta de crédito o información bancaria en el smartphone. Si no contienen la información, los ladrones no pueden robarla, incluso aunque filtren malware en tu teléfono.
- Ninguna institución financiera o empresa te enviará un mensaje de texto que te pide que actualices la información de tu cuenta o que confirmes el código de tu tarjeta de cajero automático. Si recibes un mensaje que parece ser de tu banco o de una empresa con la que haces negocios, y te pide que hagas clic en algo en el mensaje, se trata de un fraude. Llama a tu banco o a la empresa directamente en caso de duda.
Formas para protegerte del smishing
Para evitar esta confusión en los usuarios, y que las campañas de SMS sean razonables pero también lo parezcan, es primordial seguir una serie de pautas que nos ayudarán a proporcionar seguridad:
- Referencias conocidas por el usuario en recordatorios de citas: el envío de recordatorios de citas es uno de los casos más habituales de SMS. Para que el usuario reconozca fácilmente la cita y la perciba como justa y tenga la posibilidad de programarla en el tiempo, es primordial incorporar la información lo más precisa y completa posible. Por ejemplo el nombre de usuario, el horario de la cita, nombre del centro y quién le atenderá. Es importantes que el contenido no tenga faltas ortográficas. Además el usuario debe saber con antelación, si debe confirmar la cita o simplemente es un recordatorio, para así darse cuenta de un posible smishing.
- Remitentes alfanuméricos con SMS API: es importante que en el SMS aparezca el nombre de la empresa remitente para que el usuario pueda leer el nombre en lugar de observar un nº de teléfono. Esto es posible con una API de SMS, facilitando la integración de aplicaciones y softwares empresariales para enviar y recibir mensajes de texto para uso profesional.
- Avisar con antelación a los clientes: si avisas con tiempo a tus clientes, sobre el medio de uso que vas a utilizar a la hora de comunicarte con ellos, evitarás despertar sospechas en caso de que se utilice un canal inesperado.
- Nunca solicitar información sensible: informa a tus clientes de que nunca se les solicitará datos personales como teléfono, correo electrónico e incluso SMS, y que de ese modo, nunca deberán facilitarlos. Por ejemplo, si alguien solicita contraseñas, números de cuenta o datos similares, los destinatarios pueden reconocer que se trata de un fraude.
- Enlaces seguros en todas las comunicaciones: asegúrate de que todos los enlaces que envíes sean seguros e informa a los receptores de que deben desconfiar cuando no sea así. Todas las urls, deben estar precedidas de «https» y no de «http».
Recuerda que, al igual que el phishing por correo electrónico, el smishing es un delito de engaño. Depende de engañar a la víctima para que coopere haciendo clic en un enlace o proporcionando información. De hecho, la protección más sencilla contra estos ataques es no hacer nada en absoluto. Ten en cuenta que, mientras no contestes, un mensaje de texto malintencionado no puede hacer nada. Ignóralo y desaparecerá.