El ciberataque por smishing es una variante del phishing. Mediante el envío de un SMS y suplantando la identidad de una entidad o persona, persigue que el receptor entre en un enlace o un archivo adjunto fraudulento que le dirige hacia una web falsa donde, bajo la apariencia de una real, la víctima proporciona datos confidenciales como la cuenta bancaria, el DNI o CIF. Estos datos, lógicamente, son utilizados por los delincuentes para sustraer dinero o información personal.

Según el informe State of the Phish Report 2022, del que se hace eco WTW, este tipo de intento de fraude afectó al 74% de las organizaciones analizadas en 2021 por Proofpoint.

Al ser absolutamente necesaria la interacción humana para que este ciberataque se produzca, WTW explica que la protección frente al smishing no requiere complicados sistemas de seguridad ni costosas soluciones tecnológicas y que la clave está en que los empleados que sean susceptibles de actuar con datos críticos de la empresa conozcan de qué se trata este ciberataque, cómo se produce y las medidas necesarias para evitarlo.

"En las pólizas de crimen bancario BBB solo se cubre el smishing si se demuestra que el hacker ha accedido al sistema del banco para obtener los datos del cliente o ha enviado el mensaje desde el sistema del banco. Generalmente, la responsabilidad en casos de smishing no suele ser de la entidad bancaria, sino del cliente que ha sido engañado pero siempre cabe la posibilidad de que un juez estime que el banco es responsable y tenga que asumir esa pérdida, por eso es importante contar con una póliza de seguros con un lenguaje amplio y que se adapta a la constante evolución de las distintas maneras de fraudes", ha detallado Carolina Daantje, directora de Ciberriesgos en WTW.

Por tanto, para detectar este tipo de ciberdelito, WTW resalta que en primer lugar hay que fijarse en el emisor ya que algunas veces su nombre no coincidirá con el de la compañía que aparentemente envía el SMS. Después, es imprescindible leer el texto con detenimiento, puesto que el mensaje probablemente poseerá errores de gramática, ortográficos o de traducción. Y también es necesario observar si está especificado el protocolo https://, ya que este tipo de SMS redirigen a enlaces con direcciones no seguras.

Asimismo, para evitarlo, WTW hace hincapié en que se debe sospechar de emisores no conocidos o de SMS no esperados o habituales. Y advierte de que no hay que proporcionar nunca datos confidenciales -especialmente bancarios y de identificación- ni acceder a los hipervínculos que proporciona el SMS.

También, recomienda a las empresas que cuenten con un plan de seguridad informática ya que es crucial para guiar a todos los miembros de la empresa sobre cómo actuar para proteger la información que se maneja en la compañía de la manera más segura. 

En resumen, propone a las empresas que lleven a cabo 5 acciones: informar a los trabajadores, reforzar las copias de seguridad de datos y del sistema, identificar y proteger las cuentas críticas, conocer y analizar las cadenas de suministro para responder de manera eficaz en el mínimo tiempo posible, y reforzar la estrategia de detección, gestión y respuesta.

Si quiere recibir diariamente y GRATIS noticias como esta, pinche aquí.