El phishing a través de SMS, conocido como smishing, con temática navideña está viviendo un aumento masivo a nivel mundial. Más de dos tercios de todos los mensajes SMS enviados en todo el mundo están relacionados de alguna manera con la entrega de un pedido o con una marca de consumo.
Fuerte incremento de ataques por SMS
El incremento es casi el doble respecto al detectado en estas mismas fechas del año pasado, según revela una investigación de Proofpoint.
Con la temporada de compras navideñas a la vuelta de la esquina, los usuarios deben permanecer atentos, ya que es muy probable que reciban mensajes SMS que prometen de todo, desde entregas de paquetes o regalos, hasta ofertas especiales de tiendas, pasando por alertas de retraso en las entregas.
Los ciberdelincuentes siguen aprovechándose de los usuarios de móviles con ataques de smishing haciéndose pasar por empresas de renombre, entre las que se encuentran destacados retailers, marcas de comercio electrónico y empresas de paquetería. Estos señuelos intentan robar información personal de los usuarios.
Muchos de los mensajes solicitan información de la tarjeta de crédito para resolver un problema supuestamente relacionado con la compra o la entrega de un artículo inexistente. En otros casos, los atacantes intentan robar información personal a través de una URL o de una landing page atractiva.
Falta de prevención en el uso de los SMS
Los usuarios están aprendiendo poco a poco a identificar algunos comportamientos de riesgo relacionados con el correo electrónico, como abrir archivos adjuntos de desconocidos, hacer clic en enlaces dudosos o visitar páginas web con múltiples redireccionamientos.
Sin embargo, en comparación, cuando utilizan los móviles no son tan precavidos. A medida que las organizaciones migran a modelos de remoto con una amplia mezcla de dispositivos, los usuarios se comunican cada vez más solo a través de su teléfono. Y aunque es realmente más práctico, la investigación muestra que las mejores prácticas de seguridad no han acompañado a los empleados en esta migración, como muestran estos datos:
- Los mensajes de texto tienen una tasa de apertura del 98%; los destinatarios abren el 90% en los 3 minutos siguientes a su recepción
- Los mensajes de texto tienen una tasa de clics 8 veces superiora la del correo electrónico.
Necesidad de concienciación en el uso de los SMS
Cualquier canal de comunicación que crezca tan rápido es susceptible de ser mal utilizado. Impulsados por la confianza que tienen los consumidores en sus dispositivos móviles, los ataques por SMS en todo el mundo están experimentando un crecimiento exponencial. Si bien confiar erróneamente en este canal está alimentando la tendencia, también lo hace la falta de concienciación. Las amenazas por SMS se benefician de esta falta de conocimiento.
Según el informe global State of the Pish, de Proofpoint, el 69% de las personas desconocen o no saben con exactitud qué es el smishing. Con una tasa de apertura de los mensajes de texto del 98% y una tasa de clics 8 veces superior a la del correo electrónico, es evidente el enorme daño que puede causar el malware móvil.
Los negocios usan más la mensajería móvil y SMS
A medida que la gente ha ido migrando del correo electrónico a las comunicaciones móviles, las campañas de marketing han seguido el ejemplo. La mensajería móvil es ahora el canal de marketing de mayor crecimiento y confianza. Muchas campañas de marketing por correo electrónico han migrado a mensajes de texto. Los clientes se sienten cada vez más cómodos interactuando con las marcas que les envían SMS con promociones, ofertas y notificaciones de envío.
Esto es válido en ambos sentidos, ya que las empresas también han abierto canales móviles para escuchar a sus clientes, como se puede comprobar en los siguientes datos:
- El 61% de las compañías de todo el mundo han sido atacadas a través de smishing
- Al 81% de las compañías de EEUU les ha sucedido lo mismo
Independientemente del canal de comunicación, los autores de malware siempre buscarán un beneficio económico. Durante el último año, los ataques por SMS han crecido exponencialmente, ya que los ciberdelincuentes han descubierto una audiencia confiada y cautiva, dispuesta a correr riesgos al otro lado del teléfono. Es fundamental mantenerse alerta.
Consejos de seguridad para el uso del SMS
Los usuarios de móviles deben estar alerta y ser escépticos ante premios, precios y ofertas inesperadas o no solicitadas, y desconfiar de cualquier notificación de entrega de pedidos. Proofpoint ha elaborado un listado de consejos con lo que deben hacer y lo que deben evitar los usuarios de móviles:
Lo que hay que hacer
- Permanece atento a los mensajes de texto sospechosos. Los delincuentes emplean cada vez más la mensajería móvil y el phishing por SMS (smishing) como vector de ataque.
- Piensa detenidamente antes de facilitar tu número de teléfono móvil a una empresa u otra entidad comercial.
- Siempre que recibas un mensaje, incluyendo algún tipo de advertencia o notificación de entrega de paquetes que contenga un enlace web, no utilices el enlace proporcionado en el mensaje de texto. En su lugar, usa el navegador de tu dispositivo para acceder directamente al sitio web del remitente, o utiliza la aplicación de la marca, si la tienes instalada en tu dispositivo. Haz lo mismo con los códigos de oferta que recibas, introduciéndolos directamente en la web del remitente desde el navegador en lugar de acceder a ellos desde el enlace del SMS.
- Denuncia la suplantación de identidad por SMS (smishing) y el spam al Servicio de Denuncia de Spam. Utiliza para ello la función de denuncia de spam de tu cliente de mensajería.
- Ten cuidado al descargar e instalar nuevo software en tu dispositivo móvil. Lee atentamente las instrucciones de instalación, sobre todo la información relativa a los derechos y privilegios que pueda solicitarte la aplicación.
Lo que NO hay que hacer
- No respondas a ningún mensaje empresarial o comercial no solicitado de ningún proveedor o empresa que no reconozcas. Hacerlo suele confirmar que eres una «persona real».
- No instales software en tu dispositivo móvil de ninguna fuente que no sea una tienda de aplicaciones certificada del proveedor o del operador de red móvil.