Cada día, los ciberdelincuentes crean nuevos métodos engañosos para obtener información financiera privada de individuos desprevenidos y el Smishing se ha convertido en una práctica habitual de los estafadores. El smishing, una forma de phishing (suplantación de identidad) que utiliza el servicio de mensajes cortos (SMS) o mensajes de texto, puede ser utilizado por los estafadores para acceder a su cuenta bancaria, conducir al robo de identidad o incluso a la extorsión.

Los estafadores utilizan el Smishing para incitar a las víctimas a hacer clic en enlaces de internet o a enviar información clasificada o personal a través de mensajes de texto. Los ciberatacantes intentan el Smishing a través de mensajes de texto u otras aplicaciones de mensajería a través de dispositivos móviles, por lo que es imprescindible tomar precauciones para conocer los tipos de métodos utilizados y así disponer de la información necesaria para protegerse. 

Los ciberdelincuentes utilizan a menudo una táctica llamada falsificación, en la que se hacen pasar por un remitente conocido o transmiten un mensaje desde un número legítimo. Esto significa que, aunque conozca al remitente, es importante verificar que el mensaje es legítimo antes de responder, abrir un archivo adjunto o hacer clic en un enlace que podría poner en peligro su dispositivo.

Los ataques se están volviendo más sofisticados

Los ciberdelincuentes comparten credenciales robadas e información personal con más facilidad ahora y trabajan en bandas, lo que en última instancia amplifica la amenaza. Esta es una de las razones por las que el Smishing está en aumento. A través de la ingeniería social de la información pública disponible, a menudo obtenida de las redes sociales, y los datos privados que han conseguido por medios ilícitos, los estafadores son capaces de elaborar mensajes de texto dirigidos específicamente a bajar sus defensas. Esto significa que la comunicación puede parecer enviada por una persona o número conocidos, posiblemente haciendo referencia a conocimientos compartidos. Con esa táctica, los estafadores pueden aplicar un sentido de urgencia u otra táctica de miedo que le incite a reaccionar rápidamente en lugar de tomarse el tiempo necesario para ser minucioso con una solicitud.

Además, las plataformas de inteligencia artificial (IA, por sus siglas en inglés), como la IA generativa, han facilitado a los estafadores el desarrollo de intentos de Smishing que reflejan fielmente el lenguaje y la conversación humanos. A medida que se recopilan más datos e información, las capacidades de las herramientas de IA generativa mejoran rápidamente, lo que hace más sencillo y asequible para los estafadores distribuir ciberataques a una gran audiencia. Esto significa que se necesitan niveles adicionales de escrutinio para proteger a las víctimas potenciales.

“A medida que avanza la IA Generativa, los usuarios ya no son capaces de distinguir tan fácilmente los textos de Smishing o los correos electrónicos de suplantación de identidad,” dice Raina Kanakis, especialista en seguridad del Centro de Fusión de Seguridad Global de PNC. “Hay menos errores gramaticales u ortográficos. Los mensajes de texto y de correo electrónico son relativamente más concisos, mientras que los anteriores mensajes de Smishing y suplantación de identidad a menudo no tenían sentido. La IA generativa hace que los mensajes sean mucho más fáciles de crear y mucho más difíciles de identificar”.

En conclusión: No dé por hecha la legitimidad de una solicitud por mensaje de texto sin verificarla antes.

Unas sencillas precauciones pueden mitigar el riesgo

La vigilancia es la clave para combatir el Smishing, sobre todo porque los ataques son cada vez más sofisticados y parecen comunicaciones legítimas. Una clave de esta vigilancia es verificar el remitente. Para ello, PNC ha creado un nuevo recurso de códigos cortos que permite a los clientes verificar la legitimidad de los mensajes de texto.

¿Cómo funciona? Los clientes pueden navegar la Página de códigos cortos de PNC y hacer una referencia cruzada para ayudar a determinar si el mensaje de texto que se les envió, diciendo ser de PNC, se originó a partir de un código corto que utilizamos para ese propósito. Se utilizan códigos específicos para enviar mensajes relativos a alertas de pago, actividad de tarjetas, consultas sobre préstamos, etc. Al utilizar este método de verificación, los clientes pueden comprobar mejor la validez de estas comunicaciones y ayudar a detectar y evitar posibles fraudes de suplantación de identidad.

También se pueden emplear otras prácticas recomendadas que pueden ayudar a frustrar los intentos de los atacantes de poner en peligro sus cuentas, información o dispositivos a través de mensajes de texto.

  1. Si no espera el mensaje, proceda con cautela.
  2. No responda inmediatamente al mensaje.
  3. No haga clic en ningún enlace del mensaje. PNC jamás incluirá enlaces en los mensajes de texto.
  4. Si el mensaje parece proceder de una compañía conocida, póngase en contacto con ella por otro canal para confirmar su legitimidad.
  5. Si recibe un mensaje de texto y una llamada telefónica posterior, esto no aumenta la legitimidad. Cuelgue y llame directamente a la empresa o institución financiera utilizando un número de teléfono conocido.
  6. Haga una captura de pantalla y envíe cualquier mensaje sospechoso que parezca proceder de PNC Bank a abuse@pnc.com.
  7. Para denunciar el Smishing a todos los proveedores de telecomunicaciones móviles, haga una captura de pantalla y envíe el mensaje al 7726. Para mayor protección, también puede utilizar la función “Informar de correo no deseado” del sistema de su proveedor de telefonía móvil.
  8. Familiarícese con la lista de códigos cortos de PNC.
  9. Visite el sitio web de la FCC para obtener más información sobre cómo evitar las estafas de Smishing.1

Para más información sobre cómo combatir el Smishing, visite Cómo detectar y evitar la suplantación de identidad (phishing). Si es víctima de un robo de identidad, es importante que denuncie el fraude inmediatamente.