El smishing y el vishing son tipos de ataques de phishing que intentan atraer a las víctimas a través de mensajes SMS y llamadas de voz. Ambos se basan en las mismas apelaciones emocionales empleadas en las estafas tradicionales de phishing y están diseñadas para llevarle a actuar con urgencia. La diferencia es el método de entrega.
«Los ciberladrones pueden aplicar técnicas de manipulación a muchas formas de comunicación porque los principios subyacentes permanecen constantes», explica el líder en concienciación de seguridad Stu Sjouwerman, director general de KnowBe4. «Atraer a las víctimas con un cebo y luego atraparlas con anzuelos».
¿Qué es el smishing?
Definición de smishing: El smishing (phishing por SMS) es un tipo de ataque de phishing realizado a través de SMS (servicios de mensajes cortos) en teléfonos móviles.
Al igual que las estafas de phishing por correo electrónico, los mensajes de smishing suelen incluir una amenaza o una incitación a hacer clic en un enlace o llamar a un número y entregar información confidencial. A veces pueden sugerirle que instale algún software de seguridad, que resulta ser un malware.
Ejemplo de smishing: Un típico mensaje de texto de smishing puede decir algo parecido a: «Su cuenta del Banco ABC ha sido suspendida. Para desbloquear su cuenta, pulse aquí: https://bit.ly/2LPLdaU» y el enlace proporcionado descargará un malware en su teléfono. Los estafadores también son expertos en adaptarse al medio que utilizan, por lo que es posible que recibas un mensaje de texto que diga: «¿Es realmente una foto tuya? https://bit.ly/2LPLdaU» y si tocas ese enlace para averiguarlo, una vez más estarás descargando malware.
¿Qué es el vishing?
Definición de vishing: El vishing (phishing de voz) es un tipo de ataque de phishing que se realiza por teléfono y que suele tener como objetivo a los usuarios de servicios de voz sobre IP (VoIP) como Skype.
Es fácil para los estafadores falsificar el identificador de llamadas, de modo que pueden parecer que llaman desde un código de área local o incluso desde una organización que usted conoce. Si no lo coges, te dejarán un mensaje de voz pidiéndote que vuelvas a llamar. A veces, este tipo de estafas emplean un servicio de contestador automático o incluso un centro de llamadas que no es consciente del delito que se está perpetrando.
Una vez más, el objetivo es obtener los datos de la tarjeta de crédito, las fechas de nacimiento, los registros de la cuenta o, a veces, simplemente recoger los números de teléfono de sus contactos. Si respondes y devuelves la llamada, es posible que aparezca un mensaje automatizado pidiéndote que entregues los datos y mucha gente no lo cuestionará, porque ya aceptan los sistemas telefónicos automatizados como parte de la vida cotidiana.
Cómo evitar el smishing y el vishing
Hoy en día estamos un poco más en guardia con el correo electrónico porque estamos acostumbrados a recibir spam y las estafas son comunes, pero los mensajes de texto y las llamadas todavía pueden parecer más legítimos para mucha gente. Como hacemos más compras, operaciones bancarias y otras actividades en línea a través de nuestros teléfonos, las oportunidades para los estafadores proliferan. Para evitar convertirse en víctima hay que pararse a pensar.
«El sentido común es una buena práctica general y debería ser la primera línea de defensa de una persona contra el fraude online o telefónico», dice Sjouwerman.
Aunque los consejos sobre cómo evitar ser enganchado por las estafas de phishing se escribieron pensando en las estafas por correo electrónico, se aplican igualmente a estas nuevas formas de phishing. En principio, no confiar en nadie es un buen punto de partida. Nunca pulse o haga clic en los enlaces de los mensajes, busque números y direcciones de sitios web e introdúzcalos usted mismo. No des ninguna información a quien te llame a menos que estés seguro de que es legítimo; siempre puedes devolverle la llamada.
Más vale prevenir que curar, así que peca siempre de precavido. Ninguna organización le va a reprochar que cuelgue y les llame directamente (después de haber buscado el número usted mismo) para asegurarse de que realmente son quienes dicen ser.
Actualice su formación de concienciación
Aunque permanecer en guardia es un consejo sólido para las personas en la vida cotidiana, la realidad es que la gente en el lugar de trabajo es a menudo descuidada. Pueden estar distraídos, bajo presión y ansiosos por seguir con su trabajo y las estafas pueden ser endiabladamente astutas. ¿Y si el SMS parece provenir del director general, o la llamada parece ser de alguien de Recursos Humanos? Puede endurecer a sus empleados y aumentar sus defensas con la formación adecuada y unas políticas claras.
Toda empresa debería tener algún tipo de programa de formación obligatoria y periódica sobre seguridad. Puede incluir las mejores prácticas para la seguridad general, pero también definir políticas, como a quién contactar en caso de algo sospechoso, o reglas sobre cómo se manejarán ciertas comunicaciones sensibles, que hagan que los intentos de engaño sean mucho más fáciles de detectar.
Si sufres algún tipo de ataque de phishing, haz cambios para asegurarte de que no vuelva a suceder – también debería informar a tu formación de seguridad.
La mayoría de los ataques de smishing y vishing no se denuncian y esto juega a favor de los ciberdelincuentes. Aunque usted sea lo suficientemente inteligente como para ignorar el último SMS o la última llamada sospechosa, puede que Marge, de Contabilidad, o Dave, de Recursos Humanos, sean víctimas. Si tiene un sistema para que la gente denuncie estos intentos de ataque, y posiblemente incluso una pequeña recompensa por hacerlo, entonces se presenta la oportunidad de advertir a los demás.
A medida que el phishing sigue evolucionando y encontrando nuevos vectores de ataque, debemos estar atentos y actualizar continuamente nuestras estrategias para combatirlo.