El smishing, una amenaza virtual para las pymes
Con frecuencia, los responsables de una pyme creen que la ciberseguridad consiste simplemente en desarrollar protocolos informáticos para evitar que puedan ejecutarse virus cuando se descarga un programa o mientras se navega por Internet. Sin embargo, las cifras muestran que el mayor número de ataques virtuales se produce como consecuencia de alguna negligencia de un empleado, como, por ejemplo, clickar en un enlace que no se debe. En esto se basa el smishing, una amenaza virtual para las pymes debido, principalmente, a la falta de educación en ciberseguridad de su capital humano.
Claves principales del smishing
La técnica fraudulenta del smishing consiste en el envío de un mensaje de texto en el que un ciberdelincuente se hace pasar por una entidad bancaria (a veces, también, por una institución pública o por una empresa de telefonía) y en el que solicita al receptor distintos datos sensibles junto a un enlace. Si el criminal tiene éxito conseguirá información relevante de la víctima con la que podrá robar su dinero accediendo, por ejemplo, a su cuenta bancaria online.
Habitualmente, las personas están mucho más sensibilizadas en relación a no hacer caso a los enlaces de correos electrónicos que resulten sospechosos, pero no así con los SMS de sus celulares, ya que los consideran como simples mensajes publicitarios. Por ello, es más previsible que caigan en la trampa, clickando en enlaces que les llevan a páginas web falsas en las que se les pide que rellenen cierta información crítica.
En el caso de que la víctima sea el encargado de finanzas de la empresa y termine compartiendo claves bancarias de la entidad, las consecuencias pueden ser catastróficas, ya que lo más frecuente es que no se detecte el engaño hasta varios días más tarde de que suceda. Esto es así porque los ciberdelincuentes suelen realizar compras o transferencias de escasa cuantía pero muy repetidas, de manera que la app del banco no requiere una autenticación extra al usuario.
Recomendaciones para evitar el smishing
La principal estrategia para conseguir que ningún intento de smishing tenga éxito en una empresa es la prevención. Esto significa para una pyme destinar parte de sus recursos a formar a sus empleados en ciberseguridad y, con carácter anual, actualizar esos conocimientos con las nuevas amenazas que puedan llegar a afectarles.
En el caso particular del smishing, lo primordial es tener siempre presente el hecho de que cualquier mensaje, correo electrónico o, en general, cualquier comunicación que se reciba a través de un dispositivo de la empresa (celular, computadora, tablet,…) debe ser de un remitente conocido, con el que se tenga la plena seguridad de su identidad. En el caso de existir alguna duda, lo más oportuno es obviar lo que se ha recibido y ponerse en contacto telefónico con el potencial emisor sobre el que se tenga dudas de cara a cerciorarse.
Además, hay que sospechar siempre de cualquier mensaje de texto en el que se solicite al receptor que rellene información relevante o que directamente acuda a una dirección web externa. Por regla general las entidades financieras no remiten este tipo de contenido.
Lo mismo ocurre con los mensajes promocionales en los que se advierte al empleado de la empresa sobre una promoción muy ventajosa económicamente y que dura muy poco tiempo. Normalmente, este tipo de descuentos no se ponen en conocimiento de las compañías de este modo, sino que es un profesional comercial el que solicita primero una reunión presencial con el responsable de la firma que pueda efectuar la compra.
En los últimos meses está creciendo una forma alternativa de smishing en el que una persona de la empresa recibe un mensaje comentando que un pedido importante ha tenido una incidencia, por lo que se deben aclarar algunos datos para que sea entregado del modo correcto. A pesar de esta variación, el fin es el mismo, es decir, que se comparta información relevante con un tercero para que éste pueda robar recursos financieros de la organización.
En cualquier caso se recomienda tener también siempre actualizado el sistema operativo y el antivirus. Además de la concienciación de los empleados, las empresas deberían contar con políticas de seguridad que protejan los terminales corporativos, evitando la descarga e instalación de aplicaciones sin permiso.
Si se tiene la certeza de que se está siendo víctima de una posible ciberestafa, el empleado debe ponerlo en conocimiento inmediato de los responsables de la compañía para evitar que otro dispositivo pueda verse afectado también y, en una segunda etapa, comunicarlo a las autoridades.
Fuente original: www.asesoresdepymes.com