Ataques

Qué es el smishing y cómo te puede atacar si trabajas en una marca de coches

Es lo más normal del mundo: que en cualquier empresa, haya muchos empleados con un móvil corporativo. Una excelente vía de entrada para ciberdelincuentes con un simple SMS, pero... ¿cómo lo hacen?

Imagen de una mesa de oficina con ordenador y móvil
Foto; mohamed_hassan en Pixabay.

Desde INCIBE han querido alertar del riesgo que puede implicar algo tan aparentemente inofensivo como recibir un mensaje de texto en el móvil, y que ese mensaje, además, parezca proveer de un remitente de confianza. Veamos una posible situación; el fabricante de coches ‘marca x’, trabaja a diario con diversos servicios de paquetería para recibir o enviar mercancías que sean de utilidad para el desarrollo del negocio.

Uno de los trabajadores, al cargo de la recepción de paquetes, recibe en su teléfono de empresa un SMS o mensaje de texto donde una de las ‘supuestas’ compañías de paquetería les asegura que hay un pedido que ha sufrido problemas de retraso en la entrega de una determinada mercancía. También le piden que se descargue una app para gestionar mejor el seguimiento de la entrega, y que solo tiene que pinchar en un enlace para instalársela en su teléfono.

A los pocos días, desde el departamento de contabilidad de esta marca de coches, llaman al empleado que se bajó la app ‘de seguimiento’ para comentarle que, por algún motivo, la factura asociada a su teléfono móvil estaba siendo inusitadamente elevada. Puestos al habla con la compañía telefónica, le aseguran que no hay ningún error y que todo está correcto. Le confirman que el gasto tan elevado se debe a que desde esa línea de teléfono se han enviado gran cantidad de SMS.

¿Qué es lo que había sucedido, teniendo en cuenta que el dueño del teléfono siempre lo tenía a mano y no se lo prestaba a nadie ni le quitaba el ojo de encima? Pues, según INCIBE, que nuestro protagonista había sido víctima de un caso de smishing.

Imagen de mensaje de Smishing

El mencionado enlace que recibió dentro de un SMS no era sino el mensaje de un ciberdelincuente que, simulando ser una empresa de paquetería, le permitió instalar una aplicación maliciosa en el teléfono y, de esta forma, acceder al control de algunas de sus funciones. Podría haber sido utilizado para conseguir información valiosa, la lista de contactos, las credenciales bancarias que utiliza la marca de coches para sus operaciones de compras…

En concreto, el teléfono de la víctima recibió el malware conocido como FluBot; tal y como nos cuentan desde INCIBE, ese programa actúa principalmente en sistemas Android y, entre otras cosas, es capaz de acceder a datos bancarios -de cuentas, tarjetas de crédito…-, robar información que llegan en forma códigos mediante SMS, utilizar el listado de contactos del teléfono para, a su vez, enviarles otros smishing, ejecutar comandos remotos para que el ciberdelincuente pueda acceder a ficheros, fotos o vídeos que haya en el dispositivo infectado, cambiar contraseñas, tener el control de la cámara…

¿Cómo evitar que esto suceda?

Desde INCIBE proponen una serie de recomendaciones, para que no nos veamos envueltos en una situación similar. Por ejemplo, cuando al descargar la aplicación, el propio teléfono nos indicará que proviene de una fuente desconocida -es decir, no desde una tienda oficial- y que solo puede hacerse si se cambian los ajustes del dispositivo. En este caso, o se comprueba que esa app existe en una de esas tiendas oficiales -App Store, Play Store… u otras como APKMirror, F-Droid o Aptoide- o no se debería instalar.

Por otro lado, siempre que nos llegue algún tipo de mensaje que incluya enlaces o documentos adjuntos, hay que desconfiar, porque, como recuerdan desde el Instituto Nacional de Ciberseguridad, «si el mensaje procede de una entidad legítima, nunca contendrá enlaces a su página de inicio de sesión o documentos adjuntos. Si recibimos un mensaje de un usuario desconocido o que no se haya solicitado, es mejor eliminarlo».

En todo caso, si incluye una URL, hay un pequeño truco para comprobar si es de fiar: si te sitúas sobre el enlace podrás ver si se trata de una dirección que proviene de una entidad legítima. Ojo, es un consejo válido si el enlace te llega vía SMS, WhatsApp o por una red social, incluso cuando se trate de mensajes que provengan de contactos conocidos.

Si lo que viene, en lugar de un enlace, es un dicho adjunto, también hay que ser cautelosos a la hora de descargarlos; lo mejor es no hacerlo, pero si surgen dudas, deberíamos ver si conocemos a quien lo envía, incluso no estaría mal contactar con esa persona para confirmarlo. En todo caso, hay que comprobar que no sean archivos ejecutables y si los hemos descargado, desde INCIBE recomiendan que utilices herramientas como VirusTotal antes de ejecutarlos.

Estos son consejos por parte del usuario; pero la empresa también debe poner de su parte; por ejemplo, teniendo siempre actualizados tanto el sistema operativo como el antivirus de todos los dispositivos de la empresa. Además, hay que contar con políticas de seguridad que ayuden a proteger los dispositivos móviles del trabajo; por ejemplo, para establecer un sistema de control para todo el mundo que defina cosas como las configuraciones establecidas, las actualizaciones periódicas, las apps cuya instalación esté permitida…

Pero si, por desgracia, se llegó tarde, la solución posiblemente sea la de restaurar el dispositivo a los valores de fábrica.

Llevo años dedicándome al mundo del motor; porque me gusta, porque es el único que he practicado y porque es un sector que no deja de evolucionar. Me gusta buscar la noticia -a veces es ella que me encuentra-, soy cotilla por naturaleza y creo que la exclusiva la puedes hallar muchas veces en el sitio más inesperado.

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.