“Mensajes cortos, problemas grandes”. Este es el lema con el que el Instituto de Ciberseguridad Nacional (INCIBE) trata de advertir a los usuarios acerca de los peligros del smishing.
Cuidar la seguridad online es tan importante como no dejar la puerta de casa abierta. Y para protegerse en el mundo virtual, la información es poder. En este artículo se desvela qué es el smishing, cómo detectarlo y cómo prevenirlo.
Qué es el smishing
El smishing es una técnica fraudulenta por la que un ciberdelincuente o hacker suplanta la identidad de otra persona o entidad para robar información o dinero a un usuario. Es una práctica muy similar al phishing y al spoofing, con el mismo modus operandi, pero en esta ocasión el fraude llega a través de un SMS.
Utiliza esta vía de comunicación porque, en general, los usuarios pueden ser algo más vulnerables a través de los SMS. Es el canal que suelen usar algunas entidades oficiales. Por ejemplo, los mensajes de verificación de los bancos llegan a través de SMS.
En este SMS, por lo general, el atacante pide al usuario que llame a un número de tarificación especial o que acceda a un enlace falso.
Cómo detectar el smishing
Depende de la habilidad del atacante que sea más o menos fácil detectarlo. Hay algunos intentos de smishing que huelen a la legua y en los que no caería casi nadie. Y otros que están muy bien pulidos y que podrían engañar hasta a los usuarios más experimentados.
Por norma general, hay una serie de indicadores que nos pueden hacer despertar las alarmas para detectar estos casos de smishing y evitar caer en ellos:
- Suelen tener faltas de ortografía.
- El nombre de la empresa a la que suplantan a veces no está bien escrito, pero de forma muy sutil (un espacio entre letras o similares).
- El número al que se pide que se llame es un teléfono de tarificación especial.
- El enlace web al que apunta no es un dominio oficial.
- Se solicitan datos personales o hacer pagos sin ningún tipo de seguridad.
Este es solo el punto de partida, ya que este tipo de delitos van evolucionando y cada vez son más sofisticados.
Cómo prevenir el smishing
En primer lugar, tanto si hablamos de smishing como de cualquier otra estafa, tenemos que aprender a aplicar el sentido común. No solo en esto, en todo. Igual que nadie le daría las claves de su banco a una persona cualquiera que le preguntara por la calle, tampoco hay que entregárselas a alguien que, de forma anónima, aunque usando el nombre de una empresa, las pide por SMS o por cualquier otro canal. Esto parece lógico, pero a veces se olvida.
Ante la mínima duda de si han pedido esta información, lo mejor es contactar con la empresa, entidad o persona por la que se están haciendo pasar. Ya sea entrando en su página web, llamándoles por teléfono o acercándose a una oficina física.
Nunca hay que dar información sensible si esta no está encriptada. Responder a un SMS no tiene ninguna seguridad y enviarla por WhatsApp o rellenar un formulario web, si este no está protegido por el protocolo HTTPS, tampoco.
Para prevenirlo, lo mejor es no llamar a números de tarificación especial, ni pinchar en enlaces en los que el dominio no sea auténtico.
Qué hacer si hemos sido estafados
Si existe la sospecha de que se ha caído en una estafa de este tipo, el siguiente paso es protegerse a uno mismo y a los demás.
- Si se ha proporcionado una contraseña o se ha intentado acceder a un sitio web que ha sido hackeado, hay que cambiar el password de inmediato, en ese lugar y en todos los demás donde la contraseña sea la misma.
- Si el ataque ha venido en nombre de una empresa (por ejemplo, una entidad bancaria, un servicio de suscripción de streaming, una tienda online o el proveedor de telecomunicaciones) hay que contactar con la entidad para que no acepten cualquier acción que provenga del usuario suplantado.
- Además, es interesante denunciarlo ante el INCIBE para evitar que el delincuente siga funcionando de la misma manera y atrapando a más víctimas.
El smishing está penado por ley
Al igual que cualquier otro delito, el smishing (y otros similares, como el phishing y el vishing) está penado por ley. No es necesario que haya habido un perjuicio económico. El hecho de suplantar la identidad de un tercero es lo que está perseguido. Este delito queda recogido en el artículo 401 del Código Penal, con penas que van desde los seis meses hasta los tres años de prisión.
Por Noelia Hontoria
Imágenes | Imagen de antstang en Shutterstock | Imagen de Pete Linforth en Pixabay | Imagen de relexahotels en Pixabay
