Tiene un mensaje envenenado en su móvil

Así funciona el 'smishing', una técnica por la cual los ciberdelincuentes atacan de forma masiva y dirigida a muchos usuarios mediante el envío de un SMS en el que simulan ser un destinatario legítimo. Cientos de móviles reciben a diario mensajes como el del inicio. No se conoce el porcentaje de personas que caen en la trampa, pero sí está contrastado el auge de este 'negocio'.

Hace años que la población está aleccionada sobre los 'emails' fraudulentos que simulan ser un Hacienda o un banco ('phishing'), pero ahora se ha popularizado el SMS como gancho. Alberto R. Rodas, director de Ingeniería de Sophos Iberia y experto en ciberseguridad, contesta a las dudas que suscita esta técnica para reconocerla y protegerse de ella.

La falta de costumbre es lo que hace a este tipo de ataques más peligrosos. Los SMS son considerados como envíos legítimos, ya que suelen ser utilizados para la comunicación personal, las notificaciones del banco, líneas áreas o empresas de mensajería. Incluso algunas áreas de la Administración los usan. Por ello los ciberdelincuentes los han incorporado a su repertorio. No son nuevos, pero hasta que los mensajes al móvil no han bajado de precio y las pasarelas de envío online no se han popularizado era raro verlos. «En el último año se ha incrementado su frecuencia, llegando a prácticamente cualquier tipo de usuario», alerta el citado experto.

Debido a las limitaciones de número de letras, este tipo de fraudes no se anda con rodeos. «Nos envían mensajes directos como 'cuenta bloqueada, visite la página XXX para proceder' o bien 'paquete retenido, consulte su estado en XXX'», explica Rodas. Suelen contener pretextos claros y concisos, además de importancia (bancos, envíos de paquetería muy populares, etc.), con lo que dar apariencia de credibilidad.

Lo primero es pararse y mirar el número de teléfono que lo envía. Aunque es cierto que puede ser modificado, se han detectado SMS de fraude de bancos españoles con prefijo de Singapur (+65). Lo segundo, de nuevo, es pararse y no pinchar cualquier enlace a dirección web por inercia. Preguntarse: «¿soy cliente de esta marca?, ¿espero un paquete? ¿realmente Hacienda me avisa por SMS?

«Si te piden hacer algo, sospecha», pone como primera premisa Rodas. Si las respuestas a las preguntas anteriores son sí en todos los casos, algo que puede suceder, hay que verificar siempre la información por otra vía. «Si es un banco y somos clientes, a través de su 'app' deberíamos tener el mismo mensaje y podremos llamar a la entidad para verificarlo. Si es mensajería, deberíamos tener el número de seguimiento o la posibilidad de contactar con el vendedor para contrastar la información. En menos de dos minutos podemos realizar una comprobación por otros canales», aconseja Rodas.

Sobre todo aquellas que pueden resultar 'creíbles' por este medio (SMS), como bancos, paquetería o impuestos. Cualquiera de estas empresa nos puede enviar un pretexto con urgencia (cuenta cancelada, paquete devuelto, impuesto a pagar con apremio) suficientemente creíble para hacer que caigamos en la trampa. El aviso apremiante es otra de las características del 'smishing'.

Todos damos el número de teléfono en multitud de formularios web. «Las operadoras, así como cualquier otro servicio, acaban vendiendo nuestros datos. ¿Cuántos de nosotros marcamos la opción de no desear que estos sean compartidos con empresas del grupo y colaboradores? Al final perdemos el control del número que damos y estos quedan a disposición de cualquiera», valora el directivo de Sophos Iberia. Si a esto sumamos las filtraciones de datos registradas en los últimos años, el resultado es que las mafias disponen de extensas bases de datos para operar.

A diferencia de los mecanismos antispam del correo electrónico, los sistemas que hacen lo propio para el teléfono son más desconocidos y están menos desarrollados. Pero existen soluciones gratuitas que proporcionan control de la navegación para bloquear el acceso a web maliciosas y de mensajes de texto con malas intenciones.