La pantalla de tu teléfono se enciende. Al mirarlo, descubres que una atractiva propuesta, de supuestas empresas conocidas del país, te ha llegado por mensaje de texto: “Tus puntos están por caducar. Puedes canjearlos por regalos”. El escrito también va acompañado de un link para concretar la acción.

Una vez que entras al sitio, la supuesta empresa te indica que debes poner tus datos bancarios para que pagues el envío del artículo. Aunque la oferta parece caída del cielo, la realidad es que se trata de una práctica fraudulenta que se conoce como smishing.

Qué es el smishing, el fraude que utiliza SMS

El smishing, que combina las siglas SMS y phishing, es un ciberataque que consiste en el envío de mensajes de texto para que los usuarios compartan cualquier tipo de información confidencial que, después, les permita a los hackers cometer fraude financiero o suplantación de identidad.

En esos datos sensibles se incluye el nombre completo, RUT, número de tu tarjeta bancaria, fecha de vencimiento de ésta y contraseñas.

Tal como se ha visto en el phishing, que utiliza el correo electrónico en lugar de los SMS, los mensajes generalmente fingen ser enviados por empresas muy conocidas por el público, para así generar mayor confianza y engañar a las víctimas fácilmente.

“Estos mensajes masivos muchas veces vienen de números locales. Siempre tienen un tono de urgencia, lo que hace que el usuarios se sienta ansioso y no verifique en enlace. Ahí accede a una página falsa, donde entrega información, creyendo que está en un sitio oficial”, explica a La Tercera Patricio Campos, especialista en ciberseguridad y CEO de Resility.

Este fraude no es nuevo, pero se ha vuelto mucho más habitual en el último tiempo. De hecho, el mensaje que exige canjear puntos antes de la fecha de vencimiento es parte de una extensa lista de otros similares que se han visto y que también se mandan con los mismos fines maliciosos, como el que asegura que tu paquete está retenido en una empresa de envíos o que tienes una multa pendiente.

Uno de los principales motivos que ha potenciado el fenómeno, según Hernán Möller, gerente de operaciones de NIVEL4, es la digitalización y el uso masivo de dispositivos móviles. “Prácticamente todo el mundo tiene acceso a un celular, desde los niños hasta los adultos mayores”, explica.

Rafael Leonardo Ochoa Urrego, académico del Departamento de Tecnologías de Gestión de la Universidad de Santiago, asegura que otro factor importante es el hecho de que es bastante complejo realizar un filtro en quién puede enviarnos un SMS.

“Los correos electrónicos nos han blindado un poco de esto, porque si miras tu bandeja de spam o un correo no deseado, hay un montón de mensajes que nunca habías leído porque se filtran automáticamente. El SMS no tiene eso, a excepción de que hayas bloqueado un número. Es decir, se forma la tormenta perfecta”, detalla el experto.

La llegada de herramientas de Inteligencia Artificial de fácil acceso para el público, como ChatGPT y Gemini, también ha potenciado el fenómeno considerablemente, dicen los especialistas.

Cómo protegerse del smishing

Afortunadamente, existen varias medidas de seguridad que se pueden tomar para evitar ser víctima de un ataque de smishing. Estas son algunas:

1. Desconfiar

Los especialistas coinciden en que la regla de oro para prevenir estafas en un mundo cada vez más digitalizado es desconfiar siempre de los mensajes de texto alarmantes o prometedores, especialmente si piden apretar algún enlace.

“Lo que buscan ellos (ciberdelincuentes) es el sentido de urgencia, que pienses poco y actúes rápido. Si te llega un mensaje así, sospecha inmediatamente”, detalla Ochoa.

2. Consultar con fuentes oficiales

Aunque los mensajes de texto son un método de comunicación legítimo de muchas compañías, hay que recordar que los hackers se aprovechan de su credibilidad para cometer fraude. Si te llega un mensaje tentador y estás dudando si es real o no, la solución es ponerse en contacto con los canales oficiales de la empresa que se menciona.

“Generalmente todas las entidades, como bancos o tiendas, están al tanto de estas estafas porque ya tienen casos similares. Entonces son capaces de decirle al usuario si se trata de una oferta real o un fraude”, señala Möller.

3. Nunca entregar datos confidenciales

Ninguna compañía va a contactar por mensaje de texto -u otro canal- para pedir datos confidenciales como contraseñas, códigos de verificación o datos bancarios, destacan los expertos.

4. Utilizar autenticación en dos pasos

De acuerdo al CEO de Resility, otras estrategias adicionales que pueden ser útiles en este proceso es mantener los dispositivos móviles actualizados y usar en las aplicaciones la autenticación en dos pasos (2FA), una opción de seguridad de las aplicaciones que exige dos formas diferentes de identificación.