En un contexto donde los dispositivos móviles han pasado a ser herramientas clave tanto en el ámbito personal como profesional, los ataques de phishing han evolucionado para explotar sus características específicas.
El auge del smishing: de los SMS al QR phishing
El último informe Mishing Threat Report 26Q1 de Zimperium alerta sobre el auge del smishing, una forma de phishing móvil que combina ingeniería social y vulnerabilidades específicas de los smartphones para robar credenciales y datos sensibles. El informe destaca que los ciberdelincuentes han adoptado una estrategia «mobile-first», utilizando métodos cada vez más sofisticados para engañar a los usuarios. Entre los principales vectores de ataque detectados se encuentran el smishing, que representa el 27.8% de los ataques y se basa en mensajes de texto fraudulentos con enlaces maliciosos; el phishing en aplicaciones de mensajería, que abarca un 24,4 % de los casos y se distribuye a través de plataformas como WhatsApp o Telegram; el phishing en correos electrónicos dirigidos a móviles, que alcanza el 18.8% y se diseña específicamente para ejecutarse en dispositivos móviles; y el quishing, que, aunque solo representa el 1,7 %, está en crecimiento y emplea códigos QR para redirigir a sitios maliciosos, aprovechando la confianza que los usuarios depositan en estos elementos.
El estudio también subraya que estos ataques están geográficamente segmentados, siendo India el país más afectado por smishing con un 37 % de los casos, seguido por Estados Unidos con un 16 % y Brasil con un 9 %. En el caso del quishing, Japón lidera con un 17 %, seguido por Estados Unidos con un 15 % e India con un 11 %.
Tácticas avanzadas para evadir la detección
Los atacantes han perfeccionado diversas técnicas para eludir las soluciones de seguridad tradicionales, entre ellas la redirección basada en el dispositivo, donde algunas campañas muestran contenido diferente dependiendo de si el usuario accede desde un móvil o un ordenador de escritorio, dificultando así la detección de sitios maliciosos. Otra táctica común es la geo-segmentación de ataques, que emplea redirecciones específicas por país o región para aumentar la tasa de éxito personalizando los ataques. También se ha detectado la infraestructura compartida, donde múltiples campañas de phishing reutilizan los mismos servidores y direcciones IP para atacar a diversas entidades financieras y tecnológicas. Por último, el uso de redirecciones a sitios legítimos permite que los sitios de phishing redirijan a Google, Facebook o bancos reales cuando se accede desde una PC, lo que complica la detección por parte de los sistemas de seguridad.
El informe advierte que la creciente adopción de políticas BYOD (Bring Your Own Device) en entornos empresariales ha ampliado la superficie de ataque, facilitando el robo de credenciales y la propagación de malware en infraestructuras corporativas. Entre los riesgos clave se encuentran el uso de dispositivos móviles para autenticación multifactor (MFA), lo que los convierte en objetivos prioritarios; el almacenamiento de datos personales y corporativos en un mismo dispositivo, lo que incrementa el riesgo de fugas de información; y la falta de medidas de seguridad avanzadas en móviles, ya que muchas empresas aún no implementan soluciones específicas para estos dispositivos.
Medidas para combatir el smishing
Zimperium recomienda un enfoque de seguridad específico para dispositivos móviles, dado que las soluciones tradicionales de detección de phishing no son efectivas en estos casos. Entre las estrategias más eficaces se encuentran el análisis en tiempo real del comportamiento del dispositivo para detectar patrones sospechosos, la verificación y análisis de URLs con contexto de dispositivo, el uso de inteligencia artificial para identificar patrones de ataque y compartir información entre distintas plataformas, y la implementación de defensas multi-capa que integren seguridad móvil con detección de amenazas en correos electrónicos, mensajes y aplicaciones.
El estudio pone de manifiesto que el smishing ha dejado de ser una simple adaptación del phishing tradicional y se ha convertido en una amenaza independiente, altamente sofisticada y en constante evolución. La combinación de tácticas avanzadas y la creciente dependencia de los dispositivos móviles hace necesario un enfoque de seguridad especializado para evitar que tanto usuarios como empresas sean víctimas de estos ataques.