Cuando apenas se han masificado las consecuencias del fraude electrónico (phishing) en los usuarios de Internet, los ciberdelicuentes ya han liberado nuevas variantes de la estafa tanto para telefonía IP, como el vishing, y en el último tiempo, lo que McAfee AVERT ha denominado como SMiShing o phishing a través de mensajes de texto SMS por telefonía móvil.
La amenaza cobró sus primeras víctimas en China, cuando los usuarios de teléfonos celulares comenzaron a recibir mensajes SMS que decían lo siguiente: “ésta es su confirmación de suscripción a nuestro servicio de citas. Se le cobrarán US$2 por día a menos que cancele su orden en www.xxxxxx.com”. Muchos acudieron al sitio en busca de mayor información o por temor a recibir cobros por un servicio que no habían solicitado y en dicho momento se descargaba el troyano que los infectaba. En otros casos el mensaje incluía un número telefónico en el que le pedían a la víctima datos de su cuenta bancaria para luego vaciársela.
En España, por su parte, el SMiShing se manifestó en el ataque de un gusano de envío masivo orientado a los dos mayores operadores de telefonía móvil de ese país con mensajes de texto que promovían descargas gratuitas por SMS. Acá en Chile, se ha hecho cada vez más frecuente el spam móvil con mensajes que nos invitan a revelar datos para ganar supuestos premios e, incluso, para ciertos fraudes de tarjetas telefónicas.
Como se puede apreciar, este fenómeno es otro indicador más de que los teléfonos celulares y dispositivos móviles, en general, cada vez más están siendo usados por ciberdelincuentes que liberan malware y realizan fraudes electrónicos.
A pesar de que muchos usuarios reconocen en estos mensajes un intento de estafa, hay aún quiénes no creen que este tipo de fraude esté afectándolos también en su teléfono móvil e ingenuamente caen en la trampa, ya sea porque temen algún cobro por servicios que no han solicitado en las cuentas de celulares o porque efectivamente quieren ga-narse el premio ofrecido.
Las experiencias mundiales
En el caso que se originó en China, cuando el usuario visita el sitio sindicado en el mensaje, se le solicita descargar un programa que es, en realidad, un troyano que convierte el computador en un zombie, lo que permite que sea controlado por hackers. De esta forma, el equipo se convierte en parte de una red de bots, que se puede usar para lanzar ataques de denegación de servicio, instalar software capturador de teclado (keylogger) y robar información de cuentas personales y otras actividades maliciosas. Dado lo complejo que es supervisar la actividad de botnets, es realmente un desafío conocer el alcance actual del problema.
En España, en tanto, los ataques consisten en mensajes en español con algún comentario en alemán, en que intentan engañar a la víctima para que descargue el software antivirus del operador gratuitamente y una vez bajado se instala en el móvil el virus. Las pruebas sugieren que esta amenaza ha sido creada usando códigos existentes desde una gran variedad de orígenes ‘script kiddies’.
El rol de la educación
Es difícil imaginar la amenaza que significará para las redes empresariales una vez que los hackers aprendan a explotar completamente las técnicas de SMiShing. La mayoría de las grandes corporaciones tienen miles de empleados que usan una amplia variedad de dispositivos para acceder a sus redes. A pesar de que el personal de seguridad de TI hace sus mejores esfuerzos para entregar y promover pautas de seguridad, no puede controlar el comportamiento de las personas, en especial considerando que los usuarios aún no han aprendido a tratar sus teléfonos con el mismo nivel de preocupación que aplican a sus computadores portátiles. Los dispositivos móviles presentan un serio desafío a la seguridad de los datos, con el potencial de infectar tanto al portador como a las redes empresariales.
Por ello, los gerentes de las empresas deberían ser prudentes, preocuparse de este problema y pensar en políticas para asegurar con anticipación sus dispositivos móviles, en lugar de actuar y resguardarlos cuando son atacados, lo cual pasa necesariamente por un proceso de educación de sus empleados sobre los potenciales riesgos del SMiShing.