Smishing

¿Has recibido mensajes que se hacen pasar por tu banco o por una empresa conocida (mensajería, hacienda, seguridad social, tiendas online,…)?

Posiblemente se tratan de comunicaciones fraudulentas con el objetivo de robarte información personal, contraseñas de acceso a la banca en línea o forzarte a realizar alguna transacción. Estos ataques por SMS se denominan Smishing, y se tratan al igual que los ataques de phishing, de un engaño en el cual suplantan la identidad del banco u otra empresa.

Este ataque trata de hacerte creer que se trata de un SMS real, en el cual se reclama alguna acción urgente o beneficiosa, como aceptar un abono inesperado, recepcionar un paquete, o te solicita comunicarte a través de un enlace u otro canal de contacto o número de teléfono para resolver un problema.

Los ciberdelincuentes pueden utilizar técnicas más avanzadas, como el SMS Spoofing. Utilizan servicios con los que logran manipular la identificación del remitente, modificando el número original o el nombre desde el que envían el SMS, de manera que recibas un SMS falso, en nombre del propio banco/empresa, que podría incluso aparecer en el hilo de mensajes legítimo que mantengas con la compañía.

¿Qué debo hacer si recibo un SMS sospechoso?

  • Lo primero es valorar si se está esperando recibir una comunicación como la recibida, y si el banco/compañía suele realizar dicha comunicación.
  • Desconfía de los mensajes no esperados, aunque recibas un SMS de un remitente conocido, incluso puede aparecer en el mismo hilo que otros que hayas recibido, ya que podría no habértelo enviado la entidad.
  • Si se incluye un enlace en el SMS, revisa con detenimiento si se trata de una página real del banco o de un colaborador de confianza.
  • En ocasiones los enlaces están acortados, debido a las limitaciones de longitud de los propios SMS. En este caso, es recomendable verificar la dirección real con servicios gratuitos como http://unshorten.it/, donde puedes pegar el enlace recibido y se informa de la dirección real completa, y puedes revisar si se trata de una página legítima.

Recuerda que:

  • Pararse a pensar un segundo y aplicar el sentido común suele ayudar a identificar cualquier engaño.
  • El banco nunca te solicitará datos de cambio de clave, información personal o financiera por correo electrónico o SMS, así que no los proporciones a través de estos canales.
  • Puedes contactar con el banco a través de canales oficiales para confirmar si te hemos enviado alguna comunicación.
  • El Instituto Nacional de Ciberseguridad –INCIBE- en el teléfono gratuito 017 esta para ayudarte en estos temas.