Ciberseguridad

Qué son los “ataques de smishing” y cuánto crecieron en Latinoamérica

  • Home
  • Ciber Seguridad Informatica

En 2022, más de la mitad de las llamadas recibidas en el celular fueron catalogadas como spam en Argentina. Además, en los últimos dos años, los casos de fraude por SMS se incrementaron un 40% en Latinoamérica.

Publicado el 08 Sep 2023

Smishing.

América Latina viene experimentado un inquietante aumento de los casos de fraude por SMS, con un alarmante incremento del 40% en los dos últimos años. Este tipo de estafa, que se está extendiendo rápidamente por toda la región, ha provocado importantes pérdidas económicas y ha afectado a millones de personas. La situación pone de manifiesto la urgente necesidad de adoptar medidas contundentes para contrarrestar la ciberdelincuencia y salvaguardar el bienestar de la población de la región.

Infobip, empresa especializada en soluciones de comunicación y mensajería omnicanal, detalló para InnovaciónDigital360 esta forma predominante de fraude por SMS, conocida como “smishing”. Consiste en enviar enlaces maliciosos a través de SMS. Al hacer clic en estos enlaces, se instala un malware en sus dispositivos.

Es importante saber que, aunque los ataques de smishing suelen dirigirse a particulares, las empresas y organizaciones también corren peligro.

Este problema se extiende más allá de Latam. En Estados Unidos, los consumidores sufrieron pérdidas por fraude superiores a los 5.800 millones de dólares en 2022. En el Reino Unido, los ataques de SMS smishing experimentaron un asombroso aumento del 700% durante la primera mitad del mismo año. Esta escalada se atribuye, en parte, al aumento de las entregas a domicilio y las notificaciones por SMS asociadas a compras y registros en línea.

Detección de los cuatro fraudes por SMS más frecuentes

Smishing

El smishing es un tipo de fraude en el que los delincuentes contactan a las víctimas potenciales a través de SMS para convencerlas de que transmitan información personal o información de cuentas bancarias haciendo clic en enlaces que posteriormente instalan malware en sus teléfonos. Smishing es, por lo tanto, el equivalente de SMS del phishing vía correo electrónico tradicional. El mecanismo acá es el mismo –se envía un enlace malicioso– pero el “anzuelo” es otra plataforma.

Estos ataques de smishing cada vez más sofisticados emplean técnicas de ingeniería social. Para recopilar información sobre las posibles víctimas, incluido su domicilio, interacciones en línea y afiliaciones con bancos y compañías de tarjetas de crédito. Estos datos se aprovechan después para crear mensajes SMS convincentes y engañosos que a menudo hacen creer a las víctimas que proceden de entidades legítimas.

Angélica Arévalo, Jefa de Ingeniería de Ventas de Infobip para LATAM, explica a InnovaciónDigital360 que “es particularmente importante que los usuarios presten siempre atención al remitente de cada mensaje. Los SMS verificados, por ejemplo, son una buena manera de asegurarse de que el remitente es genuino”. 

Suplantación de identidad en SMS

La suplantación de identidad en SMS consiste en manipular la información del remitente para mostrar un texto alfanumérico en lugar de un número de móvil. Aunque cambiar los datos del remitente de un SMS no es intrínsecamente ilegal -existen aplicaciones legítimas y servicios gratuitos de suplantación de SMS en Internet-, los estafadores se aprovechan de esta técnica para imitar a empresas de buena reputación en sus intentos de smishing.

Los destinatarios desprevenidos, creyendo que el mensaje es auténtico, pueden bajar la guardia y hacer clic en los enlaces, invitando involuntariamente a programas maliciosos o conduciendo a sitios web falsos destinados a extraer datos privados. Los estafadores, astutos, incluso utilizan la suplantación de identidad por SMS para falsificar confirmaciones de pago de compras caras, afirmando falsamente que transferirán los fondos por transferencia bancaria.

Intercambio de SIM

Al igual que la suplantación de identidad por SMS, el intercambio de tarjetas SIM surge de una necesidad legítima: una persona que cambia su tarjeta SIM al cambiar de celular. Sin embargo, esta práctica ha sido manipulada por delincuentes para apropiarse de los números de teléfono de otras personas. Para ello, se ponen en contacto con el operador, facilitan datos personales mediante ingeniería social y ejecutan el intercambio de la tarjeta SIM.

Una vez tomado el control de la cuenta, los delincuentes acceden a los datos personales y a la bandeja de entrada de mensajes del destinatario, obteniendo las notificaciones 2FA imprescindibles para alterar las contraseñas bancarias y de tarjetas de crédito.

“Los servicios de detección de intercambio de la SIM utilizan una serie de algoritmos para poder notificar tanto los intentos como los procedimientos de intercambio exitosos. Los operadores móviles que implementan estas soluciones pueden proteger a sus usuarios de este fraude, también conocido como SIM Swap y de todo el estrés y peligros que implica el robo de la identidad”, agrega la ejecutiva de Infobip.

Spam por SMS

Aunque recibir mensajes SMS no solicitados tiene aplicaciones válidas e incluso útiles -como alertar a los usuarios de posibles fraudes o notificarles fenómenos meteorológicos extremos o campañas de vacunación obligatorias-, el spam por SMS contradice las leyes de cumplimiento de la mayoría de los países. Lamentablemente, las empresas con frecuencia compran listas de números e inundan a los destinatarios con promociones irrelevantes.

Enviar comunicaciones no autorizadas a los usuarios incumple la Ley General de Protección de Datos (LGPD), salvo que exista una base legal por urgencia inminente. Los usuarios pueden responder directamente desde sus dispositivos, bloqueando las notificaciones de números desconocidos o canalizándolas hacia una bandeja de entrada independiente. Sin embargo, este enfoque puede implicar la pérdida de comunicaciones cruciales.

En última instancia, los proveedores de telecomunicaciones tienen la responsabilidad de mitigar el spam por SMS y los intentos de fraude, idealmente antes de que estos problemas lleguen a los usuarios finales.

Prohibida su reproducción total o parcial.

¿Qué te ha parecido este artículo?

¡Su opinión es importante para nosotros!

Franco Della Vecchia
Sígueme en
Temas principales

Personajes

A
Angélica Arévalo

Empresas

I
Infobip

Especificaciones

A
Ataques
E
Estafas
S
seguridad

Nota 1 de 5