El smishing es tan peligroso como el phishing: son SMS que parecen reales, pero que esconden una estafa para robar datos personales, contraseñas o accesos a cuentas bancarias. En comparación con un correo electrónico de este tipo, los mensajes de texto engañosos pueden suponer una amenaza aún peor porque el usuario está menos protegido en ese canal y todavía no está acostumbrado a los ataques a teléfonos móviles.
Al igual que en el fraude por email, se suplanta la identidad de una entidad bancaria, administración pública, ONG, servicio de mensajería o cualquier gran empresa conocida de la que pueda ser usuario el destinatario del SMS con el objetivo de robar información personal que les sirva para cometer un delito. El punto de partida de la trampa es precisamente que se reconozca al remitente como de confianza, no se dude del contenido y se haga lo que se pide sin preguntar, alertan desde la plataforma de email marketing Acrelia.
Cómo protegerse del smishing
Según la experiencia de Acrelia, el ejemplo más habitual es que llegue un mensaje del banco online del usuario en el que se pide confirmar la tarjeta de crédito o débito, un préstamo rápido o similar haciendo clic en un enlace acortado . Como cualquier otro mensaje de texto, seguramente se abrirá sin prestar mucha atención a quien lo envía. Y la clave para evitar el fraude cuando se ha recibido un SMS dudoso es no pinchar en el enlace con la misma rapidez, sino pararse un momento en mirar los detalles.
Para detectar un SMS fraudulento, Acrelia cree que hay tres elementos clave en los que fijarse: el emisor del mensaje, el contenido que se recibe y la llamada a la acción que se solicita, es decir, lo que se pide al receptor que haga con ese mensaje.
El remitente. Los SMS que provienen de números sin identificar se ven fácilmente como engañosos y pueden eliminarse sin dudarlo. Pero los ciberdelincuentes pueden falsearlos para que sí aparezca un nombre conocido. Así, quedan entre la cadena de mensajes que ya se han recibido, por ejemplo, para confirmar un pago previo o notificar una compra online. Parece más real, sin embargo, no lo es. Por este motivo, para protegerse no es suficiente con mirar el número de quien lo envía.
El contenido. Aunque el remitente parece de confianza, hay que leer bien el mensaje porque ninguna entidad pide los datos bancarios, ni otra información privada por SMS (¡ya la tienen!). Como en el phishing, se busca la reacción rápida, por lo que siempre existe sensación de urgencia para corregir un problema, de alarma si no se hace algo o de pérdida de alguna gran oportunidad que parece una ganga, como algún cupón o regalo deseado. Y es posible que haya algún error ortográfico o incluso lo etiqueten como “Publi” para disimular su procedencia.
Lo que te piden: casi siempre es el clic, pero la mayoría incluye un enlace acortado para que no pueda verse a simple vista que la página de destino no es la oficial, sino alguna con un nombre similar, un dominio extranjero y sin certificado de seguridad que garantice el intercambio de datos. Otra petición puede que se ingrese una donación por Bizum, se llame a un número de tarificación especial para ganar dinero, se modifiquen los datos para la entrega de un paquete o se instale una actualización de una app que en realidad esconde un malware. Los dispositivos móviles disponen de antivirus, pero lo mejor es la prevención y no descargar nada, ni hacer clic en ningún sitio.
Si al recibir un mensaje SMS (o un WhatsApp) surgen dudas por alguno de los motivos expuestos, se puede evitar ser víctima del smishing yendo a la fuente oficial y sin responder al mensaje. Es mejor llamar al número de atención al cliente, acudir a la tienda para preguntar o incluso consultar alguna red social de la empresa para ver si avisan de que están sufriendo ataques. También es posible denunciar este tipo de actividades de estafa y fraude para que no puedan afectar a colectivos más vulnerables.
Cómo proteger el email marketing del smishing
En Acrelia son conscientes de los beneficios del SMS marketing, rechazando por completo estas prácticas fraudulentas. “Desde nuestra plataforma nos tomamos en serio la seguridad de nuestros clientes y del usuario final, y hacemos todo lo posible para protegerlos de ataques contra su marca y para evitar que les roben sus datos” , explica Lídia Castillejo, responsable de desarrollo de negocio de Acrelia.
Con este objetivo, Acrelia ha implantado una serie de mecanismos que evitan que se envíe smishing desde su plataforma, cómo validar la información de cada nuevo registro para confirmar que detrás hay una empresa real y no un ciberdelincuente, así como verificar cada remitente para asegurar que se utilicen marcas, nombres de empresa o de servicios propios y no los registrados por terceros. Tampoco permiten hacer uso de números de teléfono como remitentes para evitar la suplantación de identidad, ni el uso de remitentes con nombres genéricos, como “info”, “aviso”, “notificación” o cualquier otro que no represente claramente en la empresa. Y, por supuesto, se revisa manualmente el SMS antes de enviarlo. “Nuestro equipo se fija tanto en el contenido del mensaje como en sus destinatarios para defenderlos también a ellos”. Castillejo explica que estas medidas les permiten controlar que no se hace un mal uso de su herramienta, ofrecer un mejor servicio a sus clientes y cuidar al usuario final.
“Con nuestra plataforma se pueden gestionar envíos de forma segura y profesional, con garantía de entrega y estadísticas avanzadas que ayudan a mejorar las acciones de marketing móvil”.
.- Este es un artículo de tecnonews.info y AMIC para Menorcaaldia.com
