Claves para proteger a la empresa del smishing

  • Actualidad

Trabajador con portatil y movil

En 2021, en torno a tres de cada cuatro organizaciones afectó al 74% de las organizaciones analizadas en 2021 experimentó un intento de fraude mediante smishing, variante del phishing utilizando SMS, según informe de Proofpoint. Para sortear este tipo de delitos, los empleados deben conocer las técnicas utilizadas por los ciberdelincuentes y aplicar una serie de buenas prácticas.

El smishing es una variante del phishing que, mediante el envío de un SMS y suplantando la identidad de una entidad o persona, persigue que el receptor entre en un enlace o un archivo adjunto fraudulento que le dirige hacia una web falsa donde, bajo la apariencia de una real, la víctima proporciona datos confidenciales como la cuenta bancaria, el DNI o CIF, etc. que, lógicamente, son utilizados por los delincuentes para sustraer dinero o datos personales. Este tipo de intento de fraude es cada vez más común.

Uno de los señuelos más habituales es un SMS urgente del banco que asegura que la cuenta de cliente ha sido bloqueada y necesita información para que vuelva a funcionar. Dada la naturaleza del delito, y al ser absolutamente necesaria la interacción humana para que éste se dé, la protección frente al smishing no requiere complicados sistemas de seguridad ni costosas soluciones tecnológicas. Por tanto, la clave está en que los empleados que sean susceptibles de actuar con datos críticos de la empresa conozcan de qué se trata este ciberataque, cómo se produce y las medidas necesarias para evitar que el smishing tenga éxito.

Así lo sostiene WTW, especialista en consultoría y tecnología de seguros. Su directora de Ciberriesgos, Carolina Daantje, directora de Ciberriesgos subraya, además, que “en las pólizas de crimen bancario BBB solo se cubre el smishing si se demuestra que el hacker ha accedido al sistema del banco para obtener los datos del cliente o ha enviado el mensaje desde el sistema del banco. Generalmente, la responsabilidad en casos de smishing no suele ser de la entidad bancaria, sino del cliente que ha sido engañado pero siempre cabe la posibilidad que un juez estime que el banco es responsable y tenga que asumir esa pérdida, por eso es importante contar con una póliza de seguros con un lenguaje amplio y que se adapta a la constante evolución de las distintas maneras de fraudes”.

Para detectar este tipo de ciberdelito hay, en primer lugar, que fijarse en el emisor, ya que algunas veces su nombre no coincidirá con el de la compañía que aparentemente envía el SMS. Después, es imprescindible leer el texto con detenimiento, puesto que el mensaje probablemente poseerá errores de gramática, ortográficos o de traducción; también es necesario observar si está especificado el protocolo https://, ya que este tipo de SMS redirigen a enlaces con direcciones no seguras que no lo utilizan.

Para evitar este tipo de ciberengaños es importante tener en cuenta que se debe sospechar de emisores no conocidos o de SMS no esperados o habituales. No hay que proporcionar nunca datos confidenciales -especialmente bancarios y de identificación-  ni acceder a los hipervínculos que proporciona el SMS, y, siempre, proteger con contraseñas robustas las cuentas bancarias de la compañía. Además de eso, conviene:

- Informar a los trabajadores sobre los posibles ciberataques: el elemento humano sigue siendo la fragilidad más utilizada por los cibercriminales. Los empleados deben de estar atentos a cualquier correo electrónico sospechoso SMS, enlace o archivo adjunto.

- Reforzar las copias de seguridad de datos y del sistema para que la recuperación de la empresa sea más eficaz y rápida.

- Identificar y proteger las cuentas críticas. Limitar los permisos de acceso o establecer niveles de autenticación más elevados para reducir riesgos.

- Conocer y analizar las cadenas de suministro para responder de manera eficaz en el mínimo tiempo posible.

-  Reforzar la estrategia de detección, gestión y respuesta.