En plena temporada alta de turismo, nada detiene a los ciberdelincuentes para atacar a quienes pretenden viajar en los próximos días. A diferencia del phishing o malware convencional, estos ataques se desarrollan mediante interacciones aparentemente inofensivas hasta que el atacante logra ganarse la confianza de la víctima.
La naturaleza de estos fraudes hace que sean más difíciles de detectar por los sistemas de filtrado, así como por usuarios objetivo, experimentando un rápido crecimiento.
Según Proofpoint, el aumento global del smishing conversacional (phishing por SMS) ha sido de un 139% en la primera mitad de 2023 frente a la segunda mitad de 2022. Se ha convertido en un grave problema de seguridad al tratarse de ataques muy dirigidos, más sofisticados que nunca y de gran alcance, con señuelos oportunos como las vacaciones de verano. Tan solo los intentos de smishing con temática de viajes han subido un 24% en el mundo, entre el primer y segundo trimestre de 2023, lo que podría poner en el punto de mira a países como España, con mucho movimiento turístico, donde se prevén 49,3 millones de desplazamientos durante agosto*.
Reservas de habitaciones de hotel, ofertas de última hora y confirmaciones de pago son algunos de los cebos utilizados por los ciberdelincuentes para que las víctimas activen sus ataques. Proofpoint ha detectado casos de alertas vía SMS sobre transacciones no autorizadas, suplantando la identidad de la cadena hotelera Hilton y la agencia de viajes Expedia, en las que se pide al usuario verificar la acción con un solo clic en un enlace o llamando por teléfono; emails fraudulentos supuestamente de la aerolínea Air Hamburg con detalles de cobro de viajes; e, incluso, tarjetas regalo con descuentos falsos de la operadora de vuelos Ryanair.
A los estafadores no les resulta nada difícil obtener el número de teléfono o correo electrónico de un usuario de forma fraudulenta, por lo que no hay que facilitar nunca datos personales a través de contactos previamente no solicitados por muy realistas que sean. Los atacantes dedican mucho tiempo y esfuerzo para burlar defensas técnicas o humanas.
“En general, los usuarios deben mostrarse escépticos con cualquier mensaje de fuentes desconocidas. No hay que hacer clic en los enlaces, ni descargar archivos. Si desean ponerse en contacto con una empresa, conviene hacerlo directamente a través de su sitio web e introducir manualmente la URL; y, en el caso de los códigos de oferta, escribirlos directamente en la página. También es vital no responder a mensajes mínimamente sospechosos, porque esto confirmaría a los estafadores que eres una persona real, y reportarlos en la medida de lo posible como spam”, resumen los investigadores de amenazas de Proofpoint.
Alerta fraudulenta por SMS en nombre de la cadena hotelera Hilton. Imagen: Proofpoint.
Ejemplo de smishing usando como cebo una transacción con la agencia de viajes Expedia. Imagen: Proofpoint.
Promoción falsa enviada al móvil de un usuario suplantando a la operadora aérea Ryanair. Imagen: Proofpoint.
Correo electrónico malicioso donde se suplanta a la aerolínea Air Hamburg. Imagen: Proofpoint.
