Cómo prevenir el smishing, una de las principales amenazas virtuales para las pymes

Con frecuencia, los responsables de una pyme creen que la ciberseguridad consiste simplemente en desarrollar protocolos informáticos para evitar que puedan ejecutarse virus cuando se descarga un programa o mientras se navega por Internet. Sin embargo, las cifras muestran que el mayor número de ataques virtuales, sobre todo, entre las pymes, se produce como consecuencia de alguna negligencia de un empleado, como, por ejemplo, clickar en un enlace que no se debe. En esto se basa el smishing, una práctica en boga que está afectando en especial a las pequeñas y medianas empresas debido principalmente a la falta de educación en ciberseguridad de su capital humano.

Claves principales del smishing

La técnica fraudulenta del smishing consiste en el envío de un mensaje de texto en el que un ciberdelincuente se hace pasar por una entidad bancaria (a veces, también, por una institución pública o por una empresa de telefonía) y en el que solicita al receptor distintos datos sensibles junto a un enlace. Si el criminal tiene éxito conseguirá información relevante de la víctima con la que podrá robar su dinero accediendo, por ejemplo, a su cuenta bancaria online.

Habitualmente, las personas están mucho más sensibilizadas en relación a no hacer caso a los enlaces de correos electrónicos que resulten sospechosos, pero no así con los SMS de sus smartphones, ya que los consideran como simples mensajes publicitarios. Por ello, es más previsible que caigan en la trampa, clickando en enlaces que les llevan a páginas web falsas en las que se les pide que rellenen cierta información crítica.

En el caso de que la víctima sea el CFO o el controller de la empresa y termine compartiendo claves bancarias de la entidad, las consecuencias pueden ser catastróficas, ya que lo más frecuente es que no se detecte el engaño hasta varios días más tarde de que suceda. Esto es así porque los ciberdelincuentes suelen realizar compras o transferencias de escasa cuantía pero muy repetidas, de manera que la app del banco no requiere una autenticación extra al usuario.

Recomendaciones para evitar el smishing

La principal estrategia para conseguir que ningún intento de smishing tenga éxito en una empresa es la prevención. Esto significa para una pyme destinar parte de sus recursos a formar a sus empleados en ciberseguridad y, con carácter anual, actualizar esos conocimientos con las nuevas amenazas que puedan llegar a afectarles.

En el caso particular del smishing, lo primordial es tener siempre presente el hecho de que cualquier mensaje, correo electrónico o, en general, cualquier comunicación que se reciba a través de un dispositivo de la empresa (teléfono móvil, ordenador, tablet,…) debe ser de un remitente conocido, con el que se tenga la plena seguridad de su identidad. En el caso de existir alguna duda, lo más oportuno es obviar lo que se ha recibido y ponerse en contacto telefónico con el potencial emisor sobre el que se tenga dudas de cara a cerciorarse.

Además, hay que sospechar siempre de cualquier mensaje de texto en el que se solicite al receptor que rellene información relevante o que directamente acuda a una dirección web externa. Por regla general, ni los bancos ni ninguna entidad relacionada con la Administración remiten este tipo de contenido.

Lo mismo ocurre con los mensajes promocionales en los que se advierte al empleado de la empresa sobre una promoción muy ventajosa económicamente y que dura muy poco tiempo. Normalmente, este tipo de descuentos no se ponen en conocimiento de las compañías de este modo, sino que es un profesional comercial el que solicita primero una reunión presencial con el responsable de la firma que pueda efectuar la compra.

En los últimos meses, según el Instituto Nacional de Ciberseguridad (INCIBE), también está creciendo una forma alternativa de smishing en el que una persona de la empresa recibe un mensaje comentando que un pedido importante ha tenido una incidencia, por lo que se deben aclarar algunos datos para que sea entregado del modo correcto. A pesar de esta variación, el fin es el mismo, es decir, que se comparta información relevante con un tercero para que éste pueda robar recursos financieros de la organización.

En cualquier caso, desde entidades como VU recomiendan tener también siempre actualizado el sistema operativo y el antivirus. Además, desde esta firma señalan que junto a la concienciación de los empleados, las empresas deberían contar con políticas de seguridad que protejan los terminales corporativos, evitando la descarga e instalación de aplicaciones sin permiso.

Si se tiene la certeza de que se está siendo víctima de una posible ciberestafa, el empleado debe ponerlo en conocimiento inmediato de los responsables de la compañía para evitar que otro dispositivo pueda verse afectado también y, en una segunda etapa, comunicarlo a las autoridades.