El smishing es tan peligroso como el phishing: son SMS que parecen reales, pero que esconden una estafa para robar datos personales, contraseñas o accesos a cuentas bancarias. En comparación con un correo electrónico de este tipo, los mensajes de texto engañosos pueden suponer una amenaza aún peor porque el usuario está menos protegido en este canal y todavía no está acostumbrado a los ataques a teléfonos móviles.

Igual que en el fraude por email, se suplanta la identidad de una entidad bancaria, administración pública, ONG, servicio de mensajería o cualquier gran empresa conocida de la que pueda ser usuario el destinatario del SMS con el objetivo de robar información personal que les sirva para cometer un delito. El punto de partida de la trampa es precisamente que se reconozca al remitente como de confianza, no se dude del contenido y se haga lo que se pide sin preguntar, alertan desde la plataforma de email marketing Acrelia.

Cómo protegerse del smishing

Según la experiencia de Acrelia, el ejemplo más habitual es que llegue un mensaje del banco online del usuario en el que se pide confirmar la tarjeta de crédito o débito, un préstamo rápido o similar haciendo clic en un enlace acortado. Como cualquier otro mensaje de texto, seguramente se abrirá sin prestar mucha atención a quién lo envía. Y la clave para evitar el fraude cuando se ha recibido un SMS dudoso es no clicar en el link con la misma rapidez, sino pararse un momento a mirar los detalles.

Para detectar un SMS fraudulento Acrelia cree que hay tres elementos clave en los que fijarse: el emisor del mensaje, el contenido que se recibe y la llamada a la acción que se solicita, es decir, lo que se pide al receptor que haga con ese mensaje.

El remitente. Los SMS que provienen de números sin identificar se ven fácilmente como engañosos y se pueden eliminar sin dudarlo. Pero los ciberdelincuentes pueden falsearlos para que sí aparezca un nombre conocido. Así, quedan entre la cadena de mensajes que ya se han recibido, por ejemplo, para confirmar un pago previo o notificar una compra online. Parece más real, pero no lo es, por eso para protegerse no es suficiente con mirar el número de quién lo envía.

El contenido. Aunque el remitente parece de confianza, hay que leer bien el mensaje porque ninguna entidad pide los datos bancarios ni otra información privada por SMS (¡ya la tienen!). Como en el phishing, se busca la reacción rápida, por lo que siempre hay sensación de urgencia para corregir un problema, de alarma si no se hace algo o de pérdida de alguna gran oportunidad que parece un chollo, como algún cupón o regalo deseado. Y es posible que haya algún error ortográfico o incluso lo etiqueten como “Publi” para disimular su procedencia.

Lo que te piden: casi siempre es el clic, pero la mayoría incluye un enlace acortado para que no pueda verse a simple vista que la página de destino no es la oficial, sino alguna con un nombre parecido, un dominio extranjero y sin certificado de seguridad que garantice el intercambio de datos. Otra petición puede ser que se ingrese una donación en Bizum, se llame a un número de tarificación especial para ganar dinero, se modifiquen los datos para la entrega de un paquete o se instale una actualización de una app que en realidad esconde un malware. Los dispositivos móviles disponen de antivirus, pero lo mejor es la prevención y no descargar nada ni hacer clic en ningún sitio.