Cada vez son más los ataques de phishing que hacen uso de los mensajes SMS para propagar su amenaza. Pese a que cada vez más empresas son objetivo de estos ciberataques, aún existe un amplio desconocimiento y de las consecuencias que puede conllevar.
Aunque el phishing a través del correo electrónico sigue siendo el principal método utilizado por los ciberdelincuentes para el robo de credenciales, el uso de mensajes de texto, SMS, prolifera cada vez más. Esta amenaza, conocida como smishing, ha adquirido un mayor protagonismo en los dos últimos años ya que, solo en 2021, las denuncias por estos fraudes aumentaron un 20%.
Según se desprende del informe ‘2022 State of the Phish’ de Proofpoint, el 57% de las organizaciones españolas ha sufrido al menos un ataque de smishing en 2021. Sin embargo, aún resulta más preocupante, si cabe, que el 73% de los encuestados reconoce no saber en qué consiste esta amenaza a través de mensajes de texto al móvil.
Y es que, debido a que el correo electrónico ha sido una de las principales, sino la mayor, vía de propagación del phishing, los SMS siguen gozando de la confianza de los usuarios. No obstante, la tendencia a propagar las estafas a través de esta vía hace imprescindible no bajar la guardia.
Impulsores del smishing
Según apunta este estudio el smishing conlleva una serie de dificultades a la hora de detectar que se trata de una serie amenaza y no de una notificación legítima.
Discernir un SMS legítimo de un fraude cada vez es más complicado ante la sofisticación de las técnicas empleadas. Los ciberdelincuentes acostumbran a falsificar mensajes como notificaciones de entrega de mensajería, recordatorios de citas o para el restablecimiento de contraseñas.
Para tener un mayor alcance, suelen enviarlos utilizando plataformas de mensajería freemium, que prácticamente no verifican a sus usuarios. Desde Proofpoint destacan que la tasa de éxito del smishing es, probablemente, más alta que la del phishing, pese a que el volumen de ataques por correo electrónico es mayor.
Para ello se basan en el hecho de que el smishing se beneficia de todo lo aprendido en el phishing a través del envío de emails. No obstante, ambas técnicas comparten similitudes, como que utilizan como gacho la psicología humana, apelando a la urgencia o la autoridad para convencer a las víctimas para que realicen una acción.
Además de llevar a cabo ataques de gran volumen, utilizan técnicas más específicas como el spear phishing o smishing, para lo que realizan una investigación previa para dirigir los mensajes a las personas adecuadas en la organización.
Pero también existen diferencias muy significativas. En el caso del phishing, solo es necesario un ordenador y acceso a servicios en la nube. Sin embargo, enviar mensajes SMS con URLs maliciosas a través de dispositivos móviles de forma anónima es más complicado al tratarse de sistemas cerrados.
Pese a ello, el empleo del smishing sigue al alza, por lo que reforzar la formación y concienciación en ciberseguridad, y muy especialmente en las amenazas móviles será clave para aprender a identificar estas amenazas.
