Por revistaeyn.com
Con más de 286 millones de intentos de ataques de phishing en 2023, Latinoamérica sigue siendo líder en fraudes a través de SMS y WhatsApp. De acuerdo a datos de State of the Phish 2024 de Proofpoint, el 74 % de las organizaciones experimentaron ataques de smishing en 2023.
Desde Infobip, informan que el "smishing" se ha hecho cada vez más popular entre los ciberdelincuentes principalmente por dos razones: los SMS y los correos electrónicos. En el caso de los mensajes SMS, pueden tener tasas de apertura de hasta el 98 % y de respuesta del 45 %. Los hackers aprovechan esta tendencia a confiar en los SMS para engañar a los usuarios para que realicen acciones que comprometen la seguridad.
Por otro lado, las bandejas de entrada del correo electrónico se han inundado de ofertas promocionales y spam, haciendo que la gente desconfíe más de los e-mails, lo que a su vez los convierte en un medio menos eficaz para los estafadores.
Cómo funciona el "smishing" y cuál es el modus operandi
El "smishing", similar al "phishing" por correo electrónico, es un tipo de fraude por SMS en el que los estafadores envían mensajes SMS a posibles víctimas, haciéndose pasar por empresas legítimas, en un intento de robar información personal o propagar programas maliciosos.
Los ataques de smishing eficaces se basan en que el destinatario realice una acción, como hacer clic en un enlace de un mensaje SMS que le lleva a una página de destino falsa o enviar información privada a vuelta de SMS.
Entre las tácticas de estafa más populares se incluyen la suplantación de marcas de confianza o el uso de tácticas de ingeniería social en varias fases que explotan los datos o la información recopilada, que puede ser cualquier cosa, desde un nombre y una dirección hasta un número de cuenta.
Según un relevamiento de Infobip en cuanto a los delitos de fraude por SMS, las principales metodologías que se utilizan para estafar a los consumidores son:
1. Copycat Marketing
Consiste en que las empresas se acercan, fingen o sugieren que son una marca conocida en la que la víctima ya confía (también conocido como «brandjacking»). La víctima es engañada para que vea un producto u oferta que de otro modo no habría considerado. Aunque es ilegal hacerse pasar directamente por una marca registrada, algunas empresas se saltan la ley utilizando la marca y los mensajes como si fueran empresas establecidas.
2. Ataques de malware
Este tipo de ataque es malicioso, pero tiene una sofisticación limitada. Se engaña a los destinatarios haciéndoles creer que el mensaje procede de una fuente legítima, pero el enlace en el que se les anima a hacer clic descargará malware en su dispositivo. Este malware puede infectar el dispositivo y distribuirse automáticamente a través de la lista de contactos del teléfono. Un ejemplo fue Flubot, dirigido a dispositivos Android y diseñado para robar datos bancarios en línea y otros datos privados.
3. Páginas Landing Page falsas
Esta es la forma más descarada, sofisticada y costosa de smishing. Los estafadores imitan los mensajes de empresas legítimas a sus clientes, animándolos a visitar una página de destino falsa en la que se les pide que introduzcan información personal y credenciales de inicio de sesión. A continuación, los delincuentes roban estos datos y los utilizan para acceder a las cuentas reales. Estas páginas de destino utilizan URL únicas o de muy corta duración, lo que las hace casi imposibles de rastrear.
Lo único que tienen en común todos los ataques de smishing es que incitan al destinatario a actuar con rapidez. Por lo general, ofrecen algo atractivo o alertan al destinatario de algo malo que pudiese costar mucho o causar vergüenza si no se hace pronto. La sensación de urgencia anima a las víctimas a actuar inmediatamente sin pensárselo mucho.