top of page

Smishing: 7 de cada 10 empresas fueron afectadas por fraude SMS en 2023

Con más de 286 millones de intentos de phishing el año pasado, este ataque emerge como un problema grave que requiere medidas preventivas urgentes.

El fraude por SMS, conocido como smishing, se ha convertido en una amenaza significativa para la seguridad de las empresas a nivel mundial. En 2023, los intentos de ataques de phishing alcanzaron la alarmante cifra de 286 millones, con Latinoamérica a la cabeza en este tipo de fraudes a través de SMS y WhatsApp. Según el informe State of the Phish 2024 de Proofpoint, el 74% de las organizaciones experimentaron ataques de smishing durante el año pasado.


Un caso destacado en 2023 fue el del Banco de Valetta en Malta, donde una estafa de smishing llevó a los clientes a perder aproximadamente 13 millones de euros, subrayando la gravedad de este tipo de ataques. Este tipo de ataque es una variante del phishing e implica el envío de mensajes SMS fraudulentos que buscan engañar a las víctimas para que revelen información personal o instalen software malicioso.


La creciente prevalencia del mismo se debe a dos factores principales. En primer lugar, los SMS tienen tasas de apertura y respuesta muy altas, alcanzando hasta un 98% y 45% respectivamente. Los ciberdelincuentes se aprovechan de esta confianza en los mensajes de texto para realizar sus estafas. En segundo lugar, el aumento del spam en los correos electrónicos ha llevado a los usuarios a ser más cautelosos con este medio, haciendo que los estafadores se inclinen más por los SMS como canal de ataque.


El modus operandi del smishing es variado y sofisticado. Los ataques suelen involucrar la suplantación de marcas reconocidas o la explotación de eventos actuales para hacer que los mensajes parezcan legítimos. Las metodologías principales incluyen el marketing imitador (copycat marketing), ataques de malware y páginas de destino falsas.



El marketing imitador implica que los estafadores se hagan pasar por marcas conocidas, engañando a las víctimas para que confíen en productos o servicios falsos. Los ataques de malware se caracterizan por enlaces maliciosos que, al ser clicados, descargan software dañino en el dispositivo del usuario. Estos programas pueden robar datos personales y propagarse a través de los contactos del teléfono. Un ejemplo notable es el malware Flubot, que apunta a dispositivos Android para robar datos bancarios.


Las páginas de destino falsas representan la forma más sofisticada de smishing. Los delincuentes envían mensajes que parecen provenir de empresas legítimas, dirigiendo a los usuarios a sitios web falsos donde se les solicita información personal. Estas páginas suelen tener URL únicas y de corta duración, dificultando su rastreo.


La clave de todos estos ataques es la urgencia. Los mensajes suelen ofrecer algo atractivo o advertir sobre un problema grave, incitando a las víctimas a actuar rápidamente sin pensar demasiado. Con el acceso a datos personales o bancarios, los estafadores pueden transferir dinero antes de que la víctima se dé cuenta.


Para protegerse contra el smishing, se recomienda borrar los mensajes sospechosos, mantener el dispositivo actualizado, considerar la instalación de software antimalware, usar autenticación multifactor y evitar interactuar con enlaces y números desconocidos. Asimismo, es prudente ignorar las peticiones de detener los mensajes, ya que responder puede confirmar a los estafadores que el número está activo.


Comments


bottom of page