El phishing ha encontrado en los móviles un nuevo y fértil terreno de juego. Bajo la denominación de mishing, este tipo de ataque –que combina técnicas de ingeniería social con las particularidades de los dispositivos móviles– ha evolucionado de forma alarmante, convirtiéndose en una amenaza crítica tanto para usuarios como para empresas. Así lo revela el último Mishing Threat Report Q1 2024, elaborado por Zimperium, que alerta sobre el aumento exponencial y la creciente sofisticación de este tipo de campañas.
Según el informe, los móviles son especialmente vulnerables por su reducido tamaño de pantalla, la interfaz táctil que dificulta la inspección de enlaces y la confianza inherente que los usuarios depositan en ellos. Además, los canales preferidos por los ciberdelincuentes para ejecutar estos ataques están completamente integrados en el uso cotidiano: SMS, apps de mensajería, correos electrónicos móviles, llamadas de voz y códigos QR.
Más allá del fraude tradicional
Las campañas de mishing ya no se limitan al fraude bancario. Algunas son capaces de instalar malware que intercepta contraseñas de un solo uso (OTP), simula interfaces reales para engañar al usuario o roba credenciales de acceso a aplicaciones corporativas. Un ejemplo impactante es la campaña descubierta por Zimperium que distribuyó más de 100.000 muestras de malware en 113 países, utilizando anuncios engañosos y bots de Telegram.
Zimperium ha analizado los vectores más comunes de entrada durante 2024, situando al SMS (27,8%) y las apps de mensajería (24,4%) como las principales puertas de entrada de estos ataques. Les siguen el correo electrónico móvil (18,8%), los PDFs maliciosos (14,4%) y, aunque en menor medida, los códigos QR (1,7%) y redes sociales (12,9%).
Técnicas cada vez más avanzadas
Los atacantes han perfeccionado métodos para evitar su detección, como redireccionamientos condicionales según el dispositivo: si un enlace malicioso se abre desde un ordenador, se redirige al usuario a una página legítima como Google o Facebook, mientras que si se abre desde un móvil, se activa el ataque. Un 3% de los sitios analizados por Zimperium ya usan este tipo de evasión.
Además, el uso de la geolocalización permite a los atacantes adaptar sus mensajes a usuarios de países o incluso ciudades específicas, aumentando la credibilidad y eficacia de la campaña.
Lejos de ser ataques aislados, muchos mishing responden a campañas bien organizadas que reutilizan infraestructura alojada en bloques de direcciones IP concretos. El informe identifica el bloque CIDR 162.241.124.0/22 como uno de los más utilizados, con dominios maliciosos orientados a suplantar entidades financieras (Chase, Crédit Agricole, Brookline Bank), tecnológicas (Apple, Microsoft) y servicios fintech como PayPal y Square.
España fuera del foco principal… por ahora
Aunque el informe no sitúa a España entre los países más afectados (India, EE.UU. y Brasil lideran los casos de smishing; Japón, EE.UU. e India en quishing), la tendencia global hace pensar que el riesgo es inminente. El uso creciente del móvil en trámites bancarios, compras online y gestión empresarial convierte al usuario español en un objetivo potencial.
El informe de Zimperium concluye que las soluciones tradicionales de ciberseguridad, pensadas para entornos de escritorio, resultan ineficaces ante amenazas móviles. Propone un enfoque multicapa que incluya:
- Análisis del comportamiento en el propio dispositivo.
- Detección en tiempo real de URLs maliciosas con contexto del dispositivo.
- Identificación basada en IA de patrones de infraestructura.
- Correlación de amenazas entre diferentes canales (email, SMS, apps, QR…).
En un contexto donde el móvil es ya una extensión crítica del entorno empresarial, las organizaciones deben actualizar sus estrategias de protección. El mishing no es una adaptación del phishing tradicional: es una amenaza completamente nueva que exige soluciones específicas.
