Lo que debe saber sobre los ataques de phishing por SMS

¿Qué es el SMS phishing?

El phishing es un tipo de ataque digital en el que un ciberdelincuente se hace pasar por una entidad legítima o una autoridad para engañar a la víctima y lograr que pulse en un enlace o archivo malicioso. De este modo, los atacantes pueden robar información sensible o instalar software malicioso en el dispositivo del usuario.

Si bien los ataques de phishing por correo electrónico han sido habituales durante años, los delincuentes han adoptado cada vez más el SMS (mensaje de texto) como canal de ataque en los últimos tiempos. El SMS phishing, también llamado "smishing", consiste en enviar mensajes y enlaces maliciosos a cientos o miles de números de teléfono móvil para engañar a los destinatarios y que tomen decisiones perjudiciales para sus intereses.

Para los poseedores de criptomonedas, el objetivo principal del SMS phishing es acceder a la wallet o cuenta de criptomonedas del destinatario y así sustraer sus fondos. El SMS phishing presenta retos específicos en el sector cripto por dos motivos principales:

• El incremento del valor económico de los criptoactivos incentiva cada vez más a los ciberdelincuentes a robarlos
• Las transacciones de criptomonedas son irreversibles una vez que se confirman y registran en el libro mayor de la blockchain

Si inviertes en criptomonedas o estás valorando hacerlo, es fundamental que aprendas a identificar esta amenaza y sepas cómo actuar si recibes algún mensaje sospechoso.

Cómo identificar el SMS phishing

Los mensajes de phishing pueden detectarse de manera fiable siguiendo tres comprobaciones sencillas:

Número remitente. Revisa el número de teléfono desde el que se recibió el mensaje. Una búsqueda rápida en Internet suele revelar si está asociado a estafas conocidas y constituye una señal de alerta. Las organizaciones legítimas emplean números reconocibles o canales oficiales para sus comunicaciones.

Contenido del mensaje. Los errores gramaticales suelen indicar que se trata de una estafa. Incluso sin errores evidentes, analiza la intención del texto. Los mensajes de phishing buscan manipular tus emociones, generando miedo o entusiasmo. Si el mensaje provoca una reacción emocional—sea positiva o negativa—puede ser un intento de phishing y requiere atención inmediata. Las señales emocionales habituales son advertencias urgentes de seguridad, notificaciones de premios inesperados u ofertas limitadas en el tiempo.

Enlace. Examina el enlace antes de hacer clic. Si el enlace no incluye el dominio de una plataforma legítima que reconozcas, probablemente sea phishing. Presta atención a variaciones mínimas en los dominios, ya que los atacantes imitan direcciones para engañar a los usuarios.

Qué hacer si recibes un mensaje de SMS phishing

Ahora que sabes cómo detectar mensajes de SMS phishing, la siguiente cuestión es cómo actuar si recibes uno.

El paso más importante es claro: No hagas clic en el enlace. Esta acción es clave para protegerte de los ataques de SMS phishing.

Además de evitar el enlace malicioso, puedes adoptar otras medidas:

Reporta a tu operador móvil. Copia el mensaje y envíalo al 7726, un servicio creado por los principales operadores estadounidenses para identificar y bloquear mensajes maliciosos en sus redes. Al reportar el phishing al 7726, ayudas a que los operadores detecten y eliminen estas amenazas, protegiendo a otros usuarios.

Reporta a la plataforma. Haz una captura de pantalla del mensaje y remítela al equipo de seguridad de la plataforma suplantada. Si el mensaje suplanta a una plataforma cripto relevante, envía la captura a su dirección oficial de seguridad. Así, el equipo podrá investigar el enlace de phishing y gestionar reportes de abuso para que se elimine el sitio fraudulento.

A medida que las criptomonedas crecen en popularidad, los ciberdelincuentes seguirán innovando para acceder a las inversiones de los usuarios. Aunque los equipos de seguridad de las principales plataformas mantienen informados a los usuarios sobre nuevas amenazas, es esencial que tomes un papel activo en la protección de tus cuentas.

Ejemplos adicionales de SMS phishing

Conocer casos reales de SMS phishing ayuda a identificar estos ataques con mayor eficacia. Estos son algunos de los escenarios habituales:

Ejemplo 1: Número sospechoso y mensaje intimidatorio

El número de teléfono no es conocido y no aparece en búsquedas legítimas. El mensaje tiene errores gramaticales y busca provocar miedo alegando accesos no autorizados a la cuenta. El enlace no lleva al dominio oficial de la plataforma. Algunos atacantes emplean Nombres de Dominio Internacionalizados (IDNs), usando caracteres o acentos similares a los originales para imitar el dominio de una plataforma reconocida.

Ejemplo 2: Número anómalo y mensaje con promesa de emoción

El número es excesivamente largo y resulta sospechoso. El mensaje muestra varios errores gramaticales y promete falsamente la recepción de criptomonedas. El enlace tampoco lleva al dominio oficial, sino a un sitio fraudulento que busca obtener las credenciales del usuario.

Ejemplo 3: Número desconocido y notificación de recompensa

El número no aparece en búsquedas de empresas legítimas y es poco conocido. El mensaje genera entusiasmo sugiriendo la obtención de recompensas o bonos en criptomonedas. El enlace procede de un dominio falso o de phishing que busca engañar al usuario para que introduzca sus datos de acceso.

Estos ejemplos ilustran los patrones habituales en los ataques de SMS phishing. Si te mantienes atento y aplicas las técnicas de identificación explicadas, podrás reducir significativamente el riesgo de ser víctima de estos fraudes. Recuerda: ante la duda, nunca pulses en el enlace y verifica siempre las comunicaciones por canales oficiales.

FAQ

¿Qué es el SMS phishing y en qué se diferencia del phishing por correo electrónico?

El SMS phishing es un ciberataque que emplea mensajes de texto fraudulentos para robar información personal suplantando entidades de confianza. A diferencia del phishing por correo electrónico, que utiliza emails, el SMS phishing explota el canal de SMS para generar mayor urgencia y tasas de respuesta superiores.

¿Cómo identificar y prevenir ataques de SMS phishing? ¿Cuáles son las señales de alerta más habituales?

Detecta el SMS phishing por enlaces sospechosos, lenguaje urgente y solicitudes de información personal. Son señales de alerta los mensajes que solicitan verificar la cuenta, informan de problemas de pago o advierten sobre actividad inusual de remitentes desconocidos. Nunca pulses en enlaces ni compartas credenciales por SMS.

¿Qué tácticas y métodos de ingeniería social suelen utilizarse en ataques de SMS phishing?

Los atacantes de SMS phishing se hacen pasar por bancos, organismos públicos u otras entidades de confianza, generando urgencia para que las víctimas hagan clic en enlaces maliciosos o revelen información sensible. Utilizan manipulación psicológica mediante lenguaje urgente y falsa autoridad para comprometer wallets cripto y datos personales.

¿Qué debo hacer si hago clic por error en un enlace de un SMS phishing?

Cambia inmediatamente todas las contraseñas relevantes, desactiva cualquier tarjeta de pago potencialmente afectada y contacta con tus entidades financieras para informar de actividad sospechosa. Supervisa tus cuentas para detectar movimientos no autorizados.

¿Cómo pueden empresas y particulares protegerse del SMS phishing?

Mantente alerta, evita enlaces desconocidos y verifica la identidad del remitente. Activa la autenticación en dos pasos, emplea software de seguridad y realiza formaciones periódicas. No compartas información sensible por SMS y reporta enseguida los mensajes sospechosos.

¿Qué ejemplos reales existen de ataques de SMS phishing en el sector cripto? ¿Qué consecuencias causaron?

El caso 'Smishing Triad' atacó a usuarios mediante SMS falsos de servicios postales, robando credenciales financieras e información de pago, lo que provocó pérdidas económicas significativas y comprometió la seguridad de las cuentas afectadas.