Al margen del robo de credenciales por correo electrónico, que sigue siendo la amenaza de ciberseguridad más común para los usuarios, los ataques de phishing que se sirven de mensajes de texto o SMS como principal vector de comunicación (smishing) están ganando terreno.
De acuerdo al informe State of the Phish de Proofpoint, el 57% de organizaciones en España sufrió al menos un ataque de este tipo durante 2021, pero lo sorprendente es que un 73% de trabajadores declaró en la misma encuesta que no sabía en qué consistía el smishing o dio una respuesta incorrecta al respecto. Mientras tanto, las denuncias de estos fraudes por SMS se han incrementado en más de un 20% en el mismo periodo.
Para los usuarios, ignorar el spam y otros tipos básicos de envío de mensajes maliciosos por correo electrónico se ha convertido en una práctica de lo más habitual. Mucha gente sigue confiando en la seguridad de las comunicaciones por SMS, que acaban de cumplir 30 años, o incluso de otros servicios como WhatsApp y Messenger, aunque no conviene bajar la guardia.
El smishing es un problema difícil: los mensajes maliciosos no se distinguen a veces de las notificaciones legítimas. Lo común es falsificar mensajes como notificaciones de entrega o bancarias, recordatorios de citas o de restablecimiento de contraseñas. Dichas alertas se envían de por sí con plataformas de mensajería freemium que apenas verifican a sus usuarios. Incluso, si se detecta un abuso en un dispositivo, los ciberdelincuentes pueden registrar no solo uno, sino cientos de ellos de nuevo mediante credenciales robadas si llegase a hacer falta.
“Al ser un punto de conexión entre nuestra vida personal y profesional, los móviles son un objetivo de gran valor para los ciberdelincuentes. Un solo dispositivo puede contener varias cuentas que dan acceso a finanzas, información sensible y documentos confidenciales tanto de individuos como corporativos”, declara Fernando Anaya, country manager de Proofpoint para España y Portugal.
En las operaciones de smishing los atacantes tienen que trabajar con un determinado número de caracteres por mensaje, limitaciones de ubicación y mayores gastos, pero todo lo que han aprendido del phishing por correo electrónico está ayudándoles a maximizar beneficios. De hecho, desde Proofpoint apuntan que la tasa de éxito del smishing es probablemente más alta que la del phishing en general, aunque el volumen de los ataques por correo electrónico sigue siendo mucho mayor.
Los ataques por correo electrónico y los de mensajería móvil comparten similitudes. Ambos basan sus señuelos en aprovecharse de la psicología humana, apelando a la urgencia o a la autoridad para convencer a las víctimas de que realicen una acción. El impulso de no querer que se pierda un paquete a tu nombre o quedar bien ante una petición del jefe son ejemplos de hasta dónde llega la ingeniería social de los ciberdelincuentes. Además de ataques de gran volumen, utilizan técnicas más específicas como el spear phishing/smishing, investigando previamente para afinar sus mensajes y dirigirlos a las personas más valiosas dentro de una organización.
Entre el phishing y el smishing existen, no obstante, diferencias muy significativas. Para el primer caso, el atacante solo necesita un ordenador y acceso a servicios comunes alojados en la nube. En cambio, el panorama es bastante diferente si se quiere enviar mensajes con URLs maliciosas a móviles. A diferencia de internet, las redes móviles son sistemas cerrados, lo que dificulta crear y mandar mensajes de manera anónima. Primero, los ciberdelincuentes necesitan tener acceso a la red, requiriendo para ello sofisticados exploits o hardware dedicado. También les genera costes de conexión continuos, ya que a medida que los operadores de redes móviles identifican y excluyen los números maliciosos, se necesitan nuevas tarjetas SIM. Y no solo eso, sino que se utilizan torres de telefonía para localizar la procedencia de la actividad maliciosa, por lo que los atacantes de smishing se ven obligados a desplazarse con frecuencia para no ser descubiertos. Aun así, los números de teléfono revelan información sobre la localización de dispositivos, algo que no sucede con el correo electrónico, dando la oportunidad a los atacantes de enviar mensajes en un idioma en concreto.
Teniendo todo en cuenta, desde la empresa de ciberseguridad y cumplimiento normativo Proofpoint insisten en que es vital que la formación en materia de seguridad incluya las amenazas móviles dado el creciente riesgo que representan para organizaciones y usuarios. También recomiendan que esta concienciación se combine con tecnología, por ejemplo, mediante filtros para proteger a los usuarios de SMS maliciosos, como ya hacen algunas operadoras de redes móviles, en proveedores de mensajería y detectar casos de smishing antes de que los mensajes se transmitan a redes.