Cuidado con los SMS: los ciberdelincuentes se meten en tu móvil

"Buenos días, su envío llegó a las 12:30 en el punto de entrega. Vea dónde puede recoger su paquete clicando aquí". Este es un ejemplo de los SMS usados por los ciberdelincuentes para colar todo tipo de malware en los teléfonos móviles. Los nuevos hábitos de consumo impulsados por el Covid, sumado a la insuficiente presencia de programas antivirus en los smartphones, son el caldo de cultivo perfecto para el smishing.

Aunque hay que destacar que estos ciberataques --englobados en la categoría del phishing-- no son novedosos. Solo que la opinión pública ha tomado conciencia de ellos tras la pandemia. "El término tiene bastantes años, pero los ciberincidentes se han multiplicado porque con la pandemia hemos acentuado nuestras compras a través de Internet. Ahora es mucho más usual recibir un paquete de Amazon o Carrefour", explica Lorenzo Martínez, CTO de Securízame.

Así funciona el smishing / YOUTUBE

Mensajes personalizados

Precisamente, el smishing se basa en la simulación de un mensaje aparentemente oficial. Es decir, en la suplantación de la identidad del remitente. Puede tratarse de una empresa de reparto, de un supermercado o, incluso, de un operador de telefonía móvil. Con el paso del tiempo, los SMS falsos han refinado su estilo y ahora incluyen también el nombre y apellido del receptor.

¿Cómo es posible? Selva Orejón, fundadora y directora ejecutiva de la consultora Onbranding, desentraña este procedimiento: "Los envíos llegan personalizados porque previamente se ha hackeado el móvil de otra persona que, en su agenda, cuenta con el nombre de la víctima". De esta forma, los malos consiguen la denominación de los destinatarios y aportan verosimilitud al texto.

Ejemplos de SMS falsos enviados mediante el 'smishing', como los que enviaba una banda que estafó 15.000 euros para comprar 'gas de la risa', alcohol y tabaco / CG

Las tretas de los 'malos'

Cristina Collado, especialista en ciberseguridad, pone cifras al fenómeno: "Uno de cada cuatro móviles en España han recibido un SMS que puede llegar a instalar una aplicación silenciosa que convierta al usuario en una víctima del ciberdelincuente". La imitación puede recurrir a barroquismos extremos: "Ahora no es tan sencillo, pero hace años se podían intercambiar las mayúsculas de la letra ele y la letra i, que tienen la misma apariencia, en el link de la web".

Por otro lado, hay distintas tácticas para infiltrar el programa malicioso. Desde aquéllas que exigen la colaboración personal --como completar un formulario ubicado en una landing page para recabar información privada como contraseñas, tarjetas de crédito o cuentas bancarias-- hasta otras que se ejecutan mediante el clicado del enlace --en cuya URL acortada puede haberse incorporado un troyano-- o incluso con la mera apertura del SMS.

Un hombre realizando tareas delictivas por la red / PEXELS

Defensas bajas

Orejón añade al auge estacional del ecommerce otro factor que ha propiciado el aumento de estas estafas: "El nivel de instalación de antivirus en los dispositivos móviles es bajísimo". En los iPhone la situación es todavía peor que en Android, ya que Apple no da privilegios a empresas ajenas para desarrollar software de protección contra malware. 

La tormenta perfecta para este tipo de incursiones está servida. De hecho, a principios de marzo la Policía Nacional alertó sobre el fraude del paquete enviado. El smishing, menos conocido que los phishing vía mail, se beneficia de la red casi universal de teléfonos móviles. También entre el público más vulnerable, aunque la mayoría de ataques son masivos. "Las personas mayores quizá no tengan un correo electrónico, pero todas tienen teléfono y están menos concienciadas respecto a los engaños digitales", manifiesta Martínez.

Llamada de alerta

Collado explica que se trata de envíos fáciles de programar, para los cuales "no hacen falta conocimientos brutales de informática". "El smishing siempre ha existido, pero los grupos criminales han aprovechado la brecha generada por el Covid porque se han dado cuenta de que funciona", concluye Orejón.

¿Qué hacer entonces para resguardarse mejor del smishing? Los expertos apelan al sentido común y no caer en reclamos fáciles como la comunicación de premios o superdescuentos comerciales. "Ser precavidos ante todo, no hacer clic sobre cosas que no tengamos claras", apunta Martínez. Y, a ser posible, intentar recordar cuál ha sido la última compra (compulsiva) a través de Internet.