Es muy probable que un nefasto SMS o mensaje de texto esté en camino hacia su smartphone ahora mismo. Este mensaje podría decir que es de su banco y pedirle datos financieros o personales, como su número de cajero o de cuenta. Proporcionar esta información es como entregar la llave de su cuenta bancaria a los ladrones. Al igual que su pariente cercano, el phishing, este tipo de ataque es, por desgracia, más frecuente que nunca, y con mayor éxito.
En este artículo, explicaremos dónde se originó el smishing, por qué es tan frecuente y cómo puede protegerse para no morder el anzuelo en el futuro.
Carnadas utilizados por los pescadores
¿Qué es el smishing? Smishing es un término derivado de SMS, que significa Servicio de Mensajes Cortos - o lo que más casualmente llamamos "mensajes de texto". El uso de mensajes de texto es una de las formas más populares de comunicarse con los teléfonos inteligentes, especialmente entre los adultos jóvenes. Hay un par de factores más que hacen del smishing una amenaza especialmente insidiosa. Mientras que la mayoría de la gente conoce el fraude por correo electrónico y los riesgos que conlleva, son menos precavidos cuando utilizan sus teléfonos móviles. Se considera que los teléfonos inteligentes son más seguros que los portátiles.
Pero la seguridad de los teléfonos inteligentes tiene limitaciones y no puede proteger al usuario directamente contra el smishing. Los ciberdelitos dirigidos a los dispositivos móviles se están disparando con el uso de los smartphones. Los dispositivos Android son los principales objetivos de este malware porque hay muchos de ellos, pero como con cualquier otra forma de ciberamenaza, nadie está completamente a salvo de ser el receptor de un ataque de smishing. Incluso los usuarios de iPhone están en riesgo, a pesar de que puedan sentirse más protegidos.
Aunque los smartphones ofrecen una gran flexibilidad a los usuarios finales, la plataforma también beneficia a los ciberdelincuentes. El problema es que la gente utiliza los teléfonos móviles sobre la marcha y, cuando uno está distraído, es mucho más probable que lo sorprendan con la guardia baja y responda a los mensajes entrantes sin pensar. Un mensaje de smishing puede ser algo tan inocuo como un cupón.
En la mayoría de los casos, los smishermen intentan robar información personal, pero también pueden intentar engañarle para que descargue e instale malware en su teléfono. El malware puede disfrazarse de una aplicación legítima, y así engañarle para que escriba su información confidencial y envíe los datos recogidos a los ciberdelincuentes. O el enlace contenido en el mensaje de smishing podría llevarle a un sitio web falso en el que se le pedirá que proporcione información sensible que posteriormente será utilizada por los ciberdelincuentes para robar su identificación en línea. Dado que cada vez más personas optan por utilizar sus teléfonos inteligentes para el trabajo de la empresa, el smishing se ha convertido en una amenaza viable también para las empresas.
Cómo pueden protegerse las empresas contra los ataques de smishing
Estas son algunas de las cosas que las empresas pueden hacer para proteger a su gente y sus datos:
1. Averigüe el grado de formación de sus empleados en materia de ciberseguridad. Antes de empezar nada, puede ser muy útil conocer la conciencia de ciberseguridad de sus empleados realizando una sencilla encuesta con preguntas específicas que mida su nivel de alerta ante diferentes intentos de estafa. Puedes hacerlo fácilmente utilizando un creador de encuestas, gratuito, como JotForm. Conocer el nivel de conocimiento de sus empleados sobre el tema te ayudará a desarrollar su programa de formación en ciberseguridad.
2. Tenga políticas claras y restricciones en torno al BYOD. Si los empleados pueden usar sus smartphones para trabajar, tenga una política de Bring Your Own Device (BYOD) que establezca expectativas y directrices claras en torno a todo, desde el uso de aplicaciones hasta la detección de ciberamenazas.
3. Utilice el control de acceso. Todos los miembros de la organización no necesitan acceder a todos los archivos. Limite el acceso a las bases de datos, los sitios web y las redes sólo a las personas que necesitan utilizarlos. Esto reduce la exposición potencial a los ataques de smishing. Instruya a los empleados para que compriman los archivos y los envíen por correo electrónico en lugar de utilizar otros métodos, porque generalmente es una opción más segura.
4. Ofrezca a sus empleados una forma de notificarle sobre posibles estafas. Asegúrese de que su equipo entiende cómo informar de las amenazas y obtener asesoramiento sobre los mensajes sospechosos. Necesitará toda la ayuda posible para rastrear y detener nuevos ataques.
5. Mantenga a todos informados sobre posibles ataques de smishing. Si se da cuenta de que alguien está utilizando su empresa como parte de una estafa de smishing o phishing, informe a sus clientes y consumidores lo antes posible para evitar violaciones de datos no deseadas u otros daños corporativos. Reitere las políticas de su empresa relativas a la solicitud de información de cuentas y a los métodos de comunicación aprobados.
Conclusión
Las estafas por mensajes de texto de smishing no son nuevas. Pero es importante recordar que no van a desaparecer pronto. Todas las empresas deberían incluir el smishing como una prioridad en su formación en ciberseguridad. A medida que más individuos continúan utilizando teléfonos móviles personales o de la empresa para manejar funciones relacionadas con el negocio, el problema se está volviendo más - no menos - significativo. Hay que tener en cuenta que los ciberdelincuentes siempre están buscando mejores métodos para atacar a nuevas víctimas y dar un nuevo giro a sus viejos trucos. Por ello, vale la pena mantenerse alerta y asegurarse de que usted y los empleados de su empresa no sean víctimas de una estafa de smishing.
Nota: Este artículo del blog ha sido escrito por un colaborador invitado con el fin de ofrecer una mayor variedad de contenidos a nuestros lectores. Las opiniones expresadas en este artículo del autor invitado son únicamente las del colaborador y no reflejan necesariamente las de GlobalSign.
