El smishing es tan peligroso como el phishing: son SMS que parecen reales, pero que esconden una estafa para robar datos personales, contraseñas o accesos a cuentas bancarias. En comparación con un correo electrónico de este tipo, los mensajes de texto engañosos pueden suponer una amenaza aún peor porque el usuario está menos protegido en este canal y todavía no está acostumbrado a los ataques a teléfonos móviles.
Igual que en el fraude por email, se suplanta la identidad de una entidad bancaria, administración pública, ONG, servicio de mensajería o cualquier gran empresa conocida de la que pueda ser usuario el destinatario del SMS con el objetivo de robar información personal que les sirva para cometer un delito. El punto de partida de la trampa es precisamente que se reconozca al remitente como de confianza, no se dude del contenido y se haga lo que se pide sin preguntar, alertan desde la plataforma de email marketing Acrelia.
Cómo protegerse del smishing
Según la experiencia de Acrelia, el ejemplo más habitual es que llegue un mensaje del banco online del usuario en el que se pide confirmar la tarjeta de crédito o débito, un préstamo rápido o similar haciendo clic en un enlace acortado. Como cualquier otro mensaje de texto, seguramente se abrirá sin prestar mucha atención a quién lo envía. Y la clave para evitar el fraude cuando se ha recibido un SMS dudoso es no clicar en el link con la misma rapidez, sino pararse un momento a mirar los detalles.
Para detectar un SMS fraudulento Acrelia cree que hay tres elementos clave en los que fijarse: el emisor del mensaje, el contenido que se recibe y la llamada a la acción que se solicita, es decir, lo que se pide al receptor que haga con ese mensaje.
El remitente. Los SMS que provienen de números sin identificar se ven fácilmente como engañosos y se pueden eliminar sin dudarlo. Pero los ciberdelincuentes pueden falsearlos para que sí aparezca un nombre conocido. Así, quedan entre la cadena de mensajes que ya se han recibido, por ejemplo, para confirmar un pago previo o notificar una compra online. Parece más real, pero no lo es, por eso para protegerse no es suficiente con mirar el número de quién lo envía.
El contenido. Aunque el remitente parece de confianza, hay que leer bien el mensaje porque ninguna entidad pide los datos bancarios ni otra información privada por SMS (¡ya la tienen!). Como en el phishing, se busca la reacción rápida, por lo que siempre hay sensación de urgencia para corregir un problema, de alarma si no se hace algo o de pérdida de alguna gran oportunidad que parece un chollo, como algún cupón o regalo deseado. Y es posible que haya algún error ortográfico o incluso lo etiqueten como “Publi” para disimular su procedencia.
Lo que te piden: casi siempre es el clic, pero la mayoría incluye un enlace acortado para que no pueda verse a simple vista que la página de destino no es la oficial, sino alguna con un nombre parecido, un dominio extranjero y sin certificado de seguridad que garantice el intercambio de datos. Otra petición puede ser que se ingrese una donación en Bizum, se llame a un número de tarificación especial para ganar dinero, se modifiquen los datos para la entrega de un paquete o se instale una actualización de una app que en realidad esconde un malware. Los dispositivos móviles disponen de antivirus, pero lo mejor es la prevención y no descargar nada ni hacer clic en ningún sitio.
Si al recibir un mensaje SMS (o un WhatsApp) surgen dudas por alguno de los motivos expuestos, se puede evitar ser víctima del smishing acudiendo a la fuente oficial y sin responder al mensaje. Es mejor llama al número de atención al cliente, acudir a la tienda para preguntar o incluso se puede consultar alguna red social de la empresa para ver si avisan de que están sufriendo ataques. También es posible denunciar este tipo de actividades de estafa y fraude para que no puedan afectar a colectivos más vulnerables.
Cómo proteger el email marketing del smishing
En Acrelia son conscientes de los beneficios del SMS marketing, rechazando por completo estas prácticas fraudulentas. “Desde nuestra plataforma nos tomamos muy en serio la seguridad de nuestros clientes y del usuario final, y hacemos todo lo posible por protegerles de ataques contra su marca y para evitar que les roben sus datos”, explica Lidia Castillejo, responsable de desarrollo de negocio de Acrelia.
Con este objetivo, Acrelia ha implantado una serie de mecanismos que evitan que se envíe smishing desde su plataforma, como validar la información de cada nuevo registro para confirmar que detrás hay una empresa real y no un ciberdelincuente, así como verificar cada remitente para asegurar que se utilizan marcas, nombres de empresa o de servicios propios y no los registrados por terceros. Tampoco permite utilizar números de teléfono como remitentes para evitar la suplantación de identidad, ni el uso de remitentes con nombres genéricos, como «info», «aviso», «notificación» o cualquier otro que no represente claramente a la empresa. Y, por supuesto, se revisa manualmente el SMS antes de enviarlo. “Nuestro equipo se fija tanto en el contenido del mensaje como en sus destinatarios para defenderlos también a ellos”. Castillejo explica que estas medidas les permiten controlar que no se hace un mal uso de su herramienta, ofrecer un mejor servicio a su clientes y cuidar al usuario final.
“Con nuestra plataforma se pueden gestionar envíos de forma segura y profesional, con garantía de entrega y estadísticas avanzadas que ayudan a mejorar las acciones de marketing móvil”.