Smishing, un phising practicado en smartphones a través de SMS

El phising ha derivado en otras prácticas, como es el smishing, una técnica fraudulenta que se asemeja y se caracteriza por darse en mensajes de texto. Hemos decidido darle un espacio en nuestra web para explicar en qué consiste y cómo evitarlo.

Ha cogido relevancia en el mundo digital tras el hecho de que muchas personas recibieran numerosos SMS fraudulentos con el objeto de infectar el smartphone a través de una app, así como sus intentos de estafa. No es una técnica nueva, pero hemos querido analizar a fondo en qué consiste y cómo evitarlo con el objetivo de que uséis vuestros teléfonos móviles de forma segura.

Qué es el smishing

Se trata de una práctica por la cual se manda un SMS con fines fraudulentos, que persiguen estafarnos suplantando la identidad de una empresa o persona. A esto se le denomina «smishing», que es el resultado de juntar «phising» y SMS. El modus operandi del smishing es muy variado, pero como ejemplos rápidos encontramos los siguientes:

• Suplantan la identidad de una empresa de mensajería (SEUR o FedEx) para hacernos pagar por un envío inexistente o bajarnos una aplicación fraudulenta.
• Se hacen pasar por nuestro banco para que compartamos nuestra clave de acceso y, así, tengan acceso a nuestra cuenta online.
• Etc.

A día de hoy, las comunicaciones vía SMS han quedado reducidas a meras comunicaciones corporativas que las empresas realizan con sus clientes. Un caso común es el de las empresas de transporte para darnos información sobre nuestro envío (avisos por ausencia, actualizaciones, etc.). Resumiendo, encontramos las siguientes:

• Códigos de autorización de Twitter, bancos, Facebook, etc.
• Promociones de tiendas.
• Avisos de mensajes de contestador.
• Notificaciones de la Agencia Tributaria (estas dan miedo).
• Alerta de emisión de factura de operadoras (MasMovil, Lowi, etc.).
• Notificaciones de BIZUM.
• Etc.

La mayoría de comunicaciones se realizan vía email, especialmente cuando lo damos a través de un Newsletter o cuando compramos algún producto.

Cuál es el objetivo de los delincuentes

Los objetivos de los cibercriminales que utilizan estas prácticas también son variados:

• Infectar nuestro smartphone con malware para robar nuestros datos.
• Estafar cierta cantidad de dinero al destinatario del SMS.
• Inducir a la descarga de aplicaciones en forma de SPAM.
• Robar los datos de acceso a una cuenta determinada (banco, servicio streaming, alguna plataforma de pago, etc.).

Hay que decir que el phising es una práctica muy amplia que sirve para obtener un objetivo ilegítimo en la mayoría de los casos, por lo que es imposible abarcar todos los objetivos que se persiguen a través de esta técnica. No solo las personas físicas son las víctimas de estos cibercriminales, sino que también atacan a  empresas.

Cómo detectarlo y evitarlo

Depende mucho del SMS que nos manden, pero, generalmente, hay ciertas pistas que nos ayudan a detectar el smishing y evitar caer en la trampa. Para ello, hay que tener claros ciertos hechos que se dan en la práctica:

• Cuidado con las promociones que expiran rápidamente. Esto te obligará a actuar rápido y de manera inconsciente, lo que potencia la persuasión del criminal y te convierte rápidamente en víctima.
• Ningún banco o empresa te va a enviar un SMS para que cambies los datos de acceso o confirme el código de un cajero. Normalmente, el banco solo te manda códigos de autenticación CUANDO TÚ LOS PIDES al hacer alguna compra online, o cuando cambias ciertos datos. Si dudas, primero llama a tu banco.
• No abras ningún enlace proveniente de un número desconocido.
• Si dudas acerca del número, busca en Google antes porque suelen haber varios afectados como tú que crean la alerta por internet.
• Nunca guardes información clave de tus cuentas bancarias o tarjetas de crédito en el teléfono. Como excepción, los wallet de Google Pay, Apple Pay o Samsung Pay se pueden recomendar, pero nada más.
• Nunca respondas un SMS.
• Fallos de ortografía o gramaticales. Las comunicaciones se cuidan mucho, así que rara vez veremos a Seur y cía cometer errores de este tipo.

Consecuencias legales para los cibercriminales

Lo que está claro es que en todos los casos hay un patrón que se sigue por parte del cibercriminal: suplantar la identidad de alguna empresa para dar una imagen falsa de confianza. Preavisamos de que el phising está regulado en el artículo 248.2 del Código Penal español como «fraude informático».

En concreto, este precepto califica a los cibercriminales como reos de estafa (estafadores) en 3 casos:

a) Los que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro.

b) Los que fabricaren, introdujeren, poseyeren o facilitaren programas informáticos específicamente destinados a la comisión de las estafas previstas en este artículo.

c) Los que utilizando tarjetas de crédito o débito, o cheques de viaje, o los datos obrantes en cualquiera de ellos, realicen operaciones de cualquier clase en perjuicio de su titular o de un tercero.

Dicho en otras palabras:

• Los que obtengan el fin pretendido por el smishing, lucrándose con ello.
• Los que fabriquen, orquesten e introduzcan ese smishing en el teléfono de un tercero.
• Los que, una vez obtengan los datos de la víctima, utilicen sus activos financieros (tarjetas, cuentas bancarias, etc.), perjudicando claramente a ésta.

Para terminar, en España, este delito de estafa está sancionado con una pena de prisión de 6 meses a 3 años, dependiendo del importe defraudado, el daño económico causado, etc. Si la cuantía defraudada no excede de los 400€, se impone una multa de 1 a 3 meses.

Te recomendamos los mejores antivirus del mercado

Esperamos que os haya sido de ayuda esta información. Si tenéis alguna duda comentad abajo y os atenderemos en seguida. ¿Habéis sufrido smishing alguna vez?