What does smishing mean?

Smishing is a form of cyber attack that uses text messages to trick people into giving up personal or confidential information. The name is a combination of SMS and phishing. Attackers often pretend to be a trusted person or organization in order to manipulate victims into revealing their information.

What are some common types of smishing scams?

Smishing scams can take many forms, including messages that claim to be from a bank about suspicious activity, a delivery service with a tracking link, or an email service requiring account verification. Other types include texts promising rewards, threatening service cancellation, or impersonating an executive from a victim's workplace. Some scammers even send generic greetings or questions like 'Hi, how are you?' to see if a phone number is active and if the recipient will reply.

What's the difference between smishing and phishing?

Smishing is a specific type of phishing attack that occurs over text messages (SMS). Phishing is a broader term for any attempt to manipulate or defraud people into revealing personal or confidential information. Phishing is most common via email, but it can also happen through phone calls, QR codes, social media messages, and text messages.

How can I protect myself from a smishing attack?

If you receive a text you suspect is a smishing attack, do not click on any links. You should not reply to the message either, as this confirms to the attacker that your number is active. You should delete the message, block the number, and turn off read receipts to prevent attackers from knowing you have opened the text. You may also want to report the attack to your employer's security team to give them visibility into attacks targeting employees.

How can an organization defend against smishing campaigns?

Organizations can defend against smishing by training employees and contractors to recognize and report these messages. Using hard keys for two-factor authentication (2FA) is also a strong defense, as it makes it nearly impossible for an attacker to gain access to an account with just stolen login credentials. Adopting a zero trust security model can also help, as it assumes that threats may already be inside the network and limits the damage a successful attack can cause.

What is smishing?

¿Qué es el smishing?

El smishing es un ataque cibernético que utiliza mensajes de texto para dirigirse a sus víctimas. La palabra "smishing" proviene de "SMS" y "phishing".

Resumen del artículo:

El smishing es un peligroso ciberataque que utiliza SMS y tácticas de ingeniería social para intentar engañar a las víctimas para que revelen información personal o instalen malware a través de mensajes de texto engañosos.
Para evitar el smishing, nunca hagas clic en enlaces sospechosos ni respondas a mensajes de texto desconocidos; en su lugar, ponte en contacto directamente con las organizaciones a través de sus canales oficiales para verificar cualquier demanda urgente.
Una protección eficaz de las organizaciones contra el smishing incluye la implementación de claves seguras compatibles con FIDO2 para la autenticación en dos fases y la adopción de un modelo de seguridad Zero Trust (un componente fundamental de SASE) para limitar una potencial exposición de la cuenta.

¿Qué es el smishing?

El smishing, o phishing por SMS, es el uso de mensajes de texto para engañar a los usuarios y hacer que revelen información confidencial o personal. Los estafadores de smishing emplean métodos manipulativos de ingeniería social para recopilar datos de sus víctimas.

Los teléfonos móviles y los teléfonos inteligentes suelen aceptar mensajes SMS de cualquier fuente. Esto permite a los estafadores enviar mensajes de texto engañosos a casi cualquier persona en el mundo. Los estafadores que utilizan el smishing suelen hacerse pasar por alguien conocido o de confianza de la víctima para engañarla. También pueden usar detalles personales, amenazas u otras tácticas para convencer a la víctima de la legitimidad de un mensaje.

El objetivo del smishing es lograr que la víctima revele parte de su información personal. Las víctimas pueden hacerlo escribiendo su nombre de usuario y contraseña en una página web falsa, enviando su información de identificación al estafador o hablando con él por teléfono. El estafador puede usar la información que recopila para apropiarse de las cuentas y la identidad de la víctima, o bien venderla al mejor postor en mercados clandestinos.

Smishing vs. phishing

El smishing es uno de los diversos tipos de phishing. Phishing es el término utilizado para describir cualquier intento de manipular o defraudar a los usuarios para que revelen información personal o confidencial. El phishing es más común a través del correo electrónico, pero también se ha extendido a otros canales: mensajes de texto (smishing), llamadas telefónicas (vishing), códigos QR (quishing) y mensajes en redes sociales.

La disponibilidad generalizada de servicios de IA generativa, como los modelos de lenguaje de gran tamaño (LLM), ha proporcionado a los estafadores herramientas adicionales para que sus mensajes de phishing parezcan realistas. La adopción masiva de redes sociales y la agregación de datos facilitan a los atacantes personalizar sus ataques para sus objetivos. Por lo tanto, el phishing sigue siendo un método popular y lucrativo para que los estafadores roben datos confidenciales, a pesar de que hoy en día muchos usuarios son más prudentes al entregar sus datos a un desconocido.

Cómo funciona el smishing | Pasos en una campaña de smishing

El smishing se utiliza para atacar teléfonos móviles, especialmente los teléfonos inteligentes, que permiten a los usuarios abrir fácilmente hipervínculos. Los ataques de smishing principalmente siguen estos pasos:

Elección del objetivo: los atacantes pueden crear listas de números de teléfono activos de varias maneras, desde comprar listas en el mercado clandestino hasta usar bots para recopilar información de contacto. Algunas campañas de smishing lanzan una red muy amplia y envían mensajes de texto a tantos números de teléfono activos como pueden. Otros ataques son muy específicos y personalizados, y los atacantes investigan un poco más sobre los destinatarios de sus mensajes.
Configuración de la infraestructura: algunos mensajes de smishing requieren que la víctima haga clic en un enlace. En esos casos, el estafador configura sitios web o aplicaciones falsas que recopilan los datos de las víctimas. El envío de los mensajes requiere el uso de números de teléfono falsos, pasarelas de SMS o teléfonos móviles comprometidos para que los atacantes puedan disfrazar el origen de los textos y cambiar rápidamente de número de teléfono si el suyo está bloqueado.
Escritura del mensaje: un mensaje de smishing puede ser breve o largo, formal o personal. Cada campaña es diferente. Los mensajes de smishing que parecen provenir de una marca de confianza probablemente tengan un tono formal, mientras que los mensajes de smishing que supuestamente provienen de alguien conocido por la víctima pueden tener un tono más informal. Muchos de los mensajes de smishing más eficaces son directos y van al grano, como "¡Alerta! Tu horario de trabajo ha sido actualizado, haz clic en el enlace para ver los cambios" (un ejemplo real de un ataque de smishing de 2022). Dependiendo de las tácticas empleadas, algunos mensajes de smishing están muy personalizados para la víctima. Otros están destinados a atraer al mayor número de usuarios posible. Los servicios de LLM pueden ayudar a los atacantes a redactar mensajes convincentes.
Interactuación con el objetivo: a veces, la interacción con la víctima prevista es tan simple como enviar un mensaje de texto y esperar que la víctima haga clic en un enlace o responda con la información deseada. Otras veces puede haber una conversación prolongada por mensaje de texto o por teléfono con la víctima.
Recopilación de datos: el estafador puede intentar que las víctimas introduzcan sus datos en una página de inicio de sesión falsa o formulario, o a través de una aplicación maliciosa. También pueden recopilar datos mediante conversaciones con la víctima.
Instalación de malware: esto solo ocurre en algunos ataques de smishing. Una descarga de malware puede activarse después de que el usuario cargue la página web del atacante o al inducir al usuario a descargar directamente una aplicación maliciosa. La instalación de malware puede permitir a los atacantes recopilar más datos de la víctima, propagar el malware a otras fuentes o simplemente utilizar el teléfono inteligente infectado en una botnet.
Uso o venta de los datos personales recopilados: los atacantes pueden hacer cualquiera de las dos cosas, o ambas, con los datos que recopilan.

Tipos de smishing

Los mensajes de smishing pueden adoptar muchas formas:

Verificación de cuenta: en esta estafa de smishing, la víctima recibe un mensaje de texto que finge ser de un servicio de correo electrónico, una aplicación de redes sociales o un servicio de streaming que utiliza. Las instrucciones incitan a la víctima a "verificar su cuenta" haciendo clic en un enlace e ingresando su nombre de usuario y contraseña en una página de inicio de sesión falsa controlada por el estafador.
Fraude bancario: los estafadores se hacen pasar por el banco de la víctima, afirman que sus cuentas han registrado actividad sospechosa e incluyen un enlace para "verificar" su identidad, similar a otras estafas de verificación de cuentas.
Soporte técnico: el mensaje de smishing afirma que hay un problema con el dispositivo o con algún otro servicio que la víctima utiliza habitualmente. Los empleados de una organización objetivo podrían recibir mensajes de texto informándoles que se les ha bloqueado el acceso a sus cuentas, con los atacantes haciéndose pasar por el equipo informático de la organización.
Estafas de recompensas: el mensaje de smishing informa al destinatario que ha ganado un premio, una lotería o un sorteo, y que puede reclamar su premio siguiendo el enlace proporcionado, donde se le dan instrucciones para ingresar información personal.
Cancelación del servicio: el texto intenta asustar al destinatario afirmando que su suscripción a un servicio está a punto de cancelarse.
Notificación de entrega: estos mensajes de texto de smishing pretenden ser de un servicio de entrega. Pueden decir que un paquete está en camino y proporcionar un "enlace de seguimiento" que lleva a una página web falsa que recopila datos, o pueden decir que un paquete importante no pudo ser entregado.
Devolución de impuestos: los mensajes de smishing pueden indicar que el destinatario debe dinero a una agencia gubernamental de recaudación de impuestos; o, por el contrario, que debe reclamar su devolución de impuestos.
Mensaje de un ejecutivo: los estafadores de smishing pueden hacerse pasar por el CEO o algún otro ejecutivo en el lugar de trabajo del destinatario. Estos ataques podrían ser algo personalizados (dirigiéndose al destinatario por su nombre, incluso su lugar de trabajo real y utilizando otra información personal básica que se puede encontrar en línea).
Mensajes falsos exagerados: muchos mensajes de smishing son obviamente falsos para la mayoría de los usuarios que los reciben (p. ej., "Soy un príncipe extranjero y mis cuentas están congeladas, si me envías 200 dólares, te lo devolveré enviándote 100 000 dólares cuando pueda"). Aunque un pequeño porcentaje de usuarios puede caer en la trampa de estos mensajes, los estafadores también pueden utilizarlos para clasificar sus listas de información de contacto entre los crédulos y los menos crédulos.
Mensajes sin firmar: algunos mensajes de smishing casi no contienen ningún detalle y están redactados como si procedieran de alguien que el destinatario conoce (p. ej., "¿Estás en la ciudad?" o "¿Sigues trabajando en el mismo lugar?"). La idea es que el destinatario podría pensar que conoce al remitente pero ha perdido su número, y responda. Estos mensajes pueden intentar atraer a la víctima a una conversación más extensa que concluya con una solicitud de datos. O bien, los atacantes podrían estar intentando evaluar su lista de contactos para confirmar si el número de teléfono de la víctima está activo y si es probable que el destinatario responda a mensajes de texto de números desconocidos. Luego, más tarde, siguen con esquemas más convincentes desde diferentes números. No es prudente responder, ni siquiera en broma, a tales mensajes.

Tácticas de smishing

El smishing emplea muchas de las mismas tácticas que otros tipos de phishing. El proceso de recopilación de información de contacto y envío de mensajes es algo diferente en comparación con el phishing por correo electrónico, pero en general, la mayoría de las campañas de smishing incluyen:

Ingeniería social: los atacantes manipulan a sus víctimas apelando a emociones como el miedo o la codicia. Las tácticas de manipulación incluyen crear una sensación de urgencia, hacerse pasar por usuarios o marcas de confianza, y pretender ser alguien con autoridad.
Imitación de páginas web y aplicaciones: los atacantes de smishing configuran páginas de inicio de sesión y aplicaciones falsas, pero convincentes, que recopilan información personal de sus víctimas.
Personalización: es más probable que los usuarios respondan a los mensajes de texto que las abordan por su nombre. Los atacantes de smishing pueden usar información personal obtenida de fuentes públicas, comprada en el mercado clandestino o recopilada en campañas anteriores de smishing y phishing para hacer que sus mensajes sean más convincentes.
Ocultación del origen: los atacantes de smishing pueden enviar sus mensajes desde una variedad de números de teléfono que controlan. Pueden usar pasarelas SMS para enviar mensajes directamente desde ordenadores en lugar de depender de teléfonos. El envío de mensajes y el ocultamiento de su verdadero origen pueden automatizarse en su mayor parte.
Seguimiento en varios canales: el smishing puede ser parte de una campaña más amplia a través de otros canales de mensajería, como el correo electrónico o las redes sociales.

¿Qué debes hacer si recibes un posible mensaje de "smishing"?

No hagas clic en ningún enlace: esto se aplica a cualquier enlace en mensajes de texto de un número desconocido o de una fuente inesperada. Estos enlaces pueden dirigir a páginas o aplicaciones que recopilan datos o alojan malware. En su lugar, visita el sitio web oficial de la fuente por separado y carga la página de esa manera. Por ejemplo, si un mensaje de texto incluye un aviso sobre la cancelación del servicio, visita el sitio web del proveedor de servicios por separado y utiliza esa página de inicio de sesión, en lugar de hacer clic en el enlace del texto.

No respondas: a menudo, los atacantes solo verifican si un número está activo o si su información personal sobre el destinatario es correcta. Responder, incluso si no se revela ninguna información personal, sigue revelando demasiado. Es probable que los atacantes destinen más recursos a los usuarios que leen y responden a sus mensajes, de la misma manera que un vendedor probablemente hará un seguimiento repetido con alguien que muestra un interés pasajero en un producto.

Informa del número de teléfono: los operadores de telefonía móvil suelen bloquear los números si suficientes usuarios los denuncian, aunque los estafadores de smishing pueden simplemente cambiar u ocultar sus números.

Informa al departamento informático o de seguridad: los equipos de seguridad necesitan tanta visibilidad como sea posible sobre los ataques dirigidos a los empleados. Los ataques de smishing pueden ser parte de una campaña de amenazas más amplia que busca acceder a la red de una empresa.

Verifica la fuente por separado: contacta directamente con la marca o el proveedor de servicios, utilizando la información de contacto oficial de una fuente conocida, para verificar la información del texto. Infórmales, si el mensaje de texto resulta ser smishing, de que alguien está llevando a cabo una campaña de smishing contra sus clientes.

Elimina el mensaje y bloquea el número: esto no deja ninguna posibilidad de caer en la estafa o tocar accidentalmente el enlace.

No respondas ni hagas clic en ningún enlace: ¡Vale la pena repetirlo!

Desactiva las confirmaciones de lectura: algunos servicios de mensajería SMS envían un aviso a la otra parte cuando se ha abierto y leído un mensaje de texto. En los ataques de smishing, un acuse de recibo permite al atacante saber que la víctima prevista al menos está leyendo los mensajes, incluso si no está cayendo en las estafas o haciendo clic en algún enlace. Desactivar las confirmaciones de lectura por defecto dificulta que los atacantes obtengan esta información.

Smishing como parte de campañas de ataque más amplias

En lugar de dirigirse simplemente a individuos, las amenazas persistentes avanzadas (APT) pueden utilizar una campaña de varios pasos para vulnerar a una organización más grande. Pueden utilizar el smishing para tomar el control de la cuenta de un empleado o contratista conocido, y luego pasar a otras cuentas o sistemas. Una vez que tienen este acceso, pueden vulnerar datos confidenciales, espiar las actividades de una organización, infectar a la organización con ransomware o dañar de cualquier otro modo sus operaciones empresariales. Por lo tanto, el smishing es un vector de ataque crucial contra el que las grandes organizaciones deben defenderse.

¿Cómo pueden las organizaciones defenderse de las campañas de smishing?

Claves físicas para la autenticación en dos fases (2FA): una de las defensas más efectivas contra los ataques de smishing es usar la autenticación en dos fases, de modo que un conjunto de credenciales de inicio de sesión por sí solo no sea suficiente para acceder a una cuenta. Específicamente, el uso de claves físicas compatibles con FIDO2, tokens basados en hardware que se conectan a puertos USB o utilizan Bluetooth, reduce la probabilidad de que un ataque de smishing tenga éxito a prácticamente cero. (Los tokens pueden ser interceptados).
Formación de usuarios: se debe enseñar a los empleados y contratistas a reconocer los mensajes de phishing y smishing. Informar de estos mensajes debe ser instantáneo y fácil.
Seguridad Zero Trust: este es un tipo de modelo de seguridad que asume que las amenazas pueden estar presentes dentro de las redes seguras, y que incluso los usuarios y dispositivos conocidos podrían ser vulnerados. Una arquitectura Zero Trust ayuda a limitar el daño si un ataque de smishing tiene éxito, utilizando microsegmentación para prevenir el movimiento lateral y la escalada de privilegios. La autenticación en dos fases también es un componente fundamental de la seguridad Zero Trust. Descubre cómo Cloudflare mitigó una sofisticada campaña de smishing con autenticación en dos fases y seguridad Zero Trust.

Preguntas frecuentes

¿Qué significa smishing?

El smishing es una forma de ciberataque que emplea mensajes de texto para engañar a los usuarios y hacer que revelen información personal o confidencial. El nombre es una combinación de SMS y phishing. Los atacantes a menudo se hacen pasar por un usuario u organización de confianza para manipular a las víctimas y que revelen su información.

¿Cuáles son algunos tipos comunes de estafas de smishing?

Las estafas de smishing pueden adoptar muchas formas, incluidos mensajes que afirman ser de un banco sobre actividad sospechosa, un servicio de entrega con un enlace de seguimiento o un servicio de correo electrónico que requiere la verificación de la cuenta. Otros tipos incluyen mensajes que prometen recompensas, amenazan con cancelar el servicio o se hacen pasar por un ejecutivo del lugar de trabajo de la víctima. Algunos estafadores incluso envían saludos genéricos o preguntas como "Hola, ¿cómo estás?" para comprobar si un número de teléfono está activo y si el destinatario responde.

¿Cuál es la diferencia entre smishing y phishing?

El smishing es un tipo específico de ataque de phishing que ocurre a través de mensajes de texto (SMS). El phishing es un término general para cualquier intento de manipular o engañar a los usuarios para que revelen información personal o confidencial. El phishing es más común a través del correo electrónico, pero también puede ocurrir mediante llamadas telefónicas, códigos QR, mensajes en redes sociales y mensajes de texto.

¿Cómo puedo protegerme de un ataque de smishing?

Si recibes un mensaje de texto que sospechas que es un ataque de smishing, no hagas clic en ningún enlace. No debes responder al mensaje tampoco, ya que esto confirma al atacante que tu número está activo. Debes eliminar el mensaje, bloquear el número y desactivar las confirmaciones de lectura para evitar que los atacantes sepan que has abierto el mensaje. También puedes informar del ataque al equipo de seguridad de tu empresa para darles visibilidad de los ataques dirigidos a los empleados.

¿Cómo puede una organización defenderse de las campañas de smishing?

Las organizaciones pueden defenderse contra el smishing formando a sus empleados y contratistas para que reconozcan y denuncien estos mensajes. El uso de claves físicas para la autenticación en dos fases también es una defensa eficaz, ya que hace que sea casi imposible que un atacante acceda a una cuenta solo con credenciales de inicio de sesión robadas. Adoptar un modelo de seguridad zero trust también puede ser beneficioso, ya que parte de la premisa de que las amenazas pueden estar ya dentro de la red y limita el daño que un ataque exitoso puede causar.