WTW muestra cómo proteger a la empresa del smishing, no siempre cubierto por las pólizas de crimen bancario BBB
El ciberataque conocido como smishing es una variante del phishing mediante el envío de un SMS y suplantando la identidad de una entidad o persona. Persigue que el receptor entre en un enlace o un archivo adjunto fraudulento que le dirige hacia una web falsa donde, bajo la apariencia de una real, la víctima proporciona datos confidenciales como la cuenta bancaria, el DNI o CIF, etc. que, lógicamente, son utilizados por los delincuentes para sustraer dinero o datos personales.
Este tipo de intento de fraude afectó al 74% de las organizaciones analizadas en 2021 por Proofpoint para elaborar su informe State of the Phish Report 2022, realizado mediante una encuesta a 600 profesionales de seguridad de TI en compañías de Australia, Francia, Alemania, Japón, España, Reino Unido y Estados Unidos.
Los anzuelos más típicos del smishing
Entre los “anzuelos” más habituales destaca un SMS urgente del banco que asegura que la cuenta de cliente ha sido bloqueada y necesita información para que vuelva a funcionar. Dada la naturaleza del delito, y al ser absolutamente necesaria la interacción humana para que éste se dé, la protección frente al smishing no requiere complicados sistemas de seguridad ni costosas soluciones tecnológicas. La clave está en que los empleados que sean susceptibles de actuar con datos críticos de la empresa (cuentas bancarias, datos corporativos, identificaciones…) conozcan de qué se trata este ciberataque, cómo se produce y las medidas necesarias para evitar que el smishing tenga éxito.
Esto es clave porque, como explica Carolina Daantje, directora de Ciberriesgos en WTW, “en las pólizas de crimen bancario BBB solo se cubre el smishing si se demuestra que el hacker ha accedido al sistema del banco para obtener los datos del cliente o ha enviado el mensaje desde el sistema del banco. Generalmente, la responsabilidad en casos de smishing no suele ser de la entidad bancaria, sino del cliente que ha sido engañado pero siempre cabe la posibilidad que un juez estime que el banco es responsable y tenga que asumir esa pérdida, por eso es importante contar con una póliza de seguros con un lenguaje amplio y que se adapta a la constante evolución de las distintas maneras de fraudes”.
¿Cómo puede protegerse una empresa del smishing?
Para detectar este tipo de ciberdelito hay, en primer lugar, que fijarse en el emisor, ya que algunas veces su nombre no coincidirá con el de la compañía que aparentemente envía el SMS. Después, es imprescindible leer el texto con detenimiento, puesto que el mensaje probablemente poseerá errores de gramática, ortográficos o de traducción; también es necesario observar si está especificado el protocolo https://, ya que este tipos de SMS redirigen a enlaces con direcciones no seguras que no lo utilizan.
Para evitar este tipo de ciberengaños es importante tener en cuenta que se debe sospechar de emisores no conocidos o de SMS no esperados o habituales. No hay que proporcionar nunca datos confidenciales -especialmente bancarios y de identificación- ni acceder a los hipervínculos que proporciona el SMS, y, siempre, proteger con contraseñas robustas las cuentas bancarias de la compañía. Además de eso, conviene:
- Informar a los trabajadores sobre los posibles ciberataques: el elemento humano sigue siendo la fragilidad más utilizada por los cibercriminales. Los empleados deben de estar atentos a cualquier correo electrónico sospechoso SMS, enlace o archivo adjunto.
- Reforzar las copias de seguridad de datos y del sistema para que la recuperación de la empresa sea más eficaz y rápida.
- Identificar y proteger las cuentas críticas. Limitar los permisos de acceso o establecer niveles de autenticación más elevados para reducir riesgos.
- Conocer y analizar las cadenas de suministro para responder de manera eficaz en el mínimo tiempo posible.
- Reforzar la estrategia de detección, gestión y respuesta.
Plan de seguridad informática
La existencia de un plan de seguridad informática es crucial para guiar a todos los miembros de la empresa sobre cómo actuar para proteger la información que se maneja en la compañía de la manera más segura. Como aclara Carolina Daantje, “Un smishing no persigue objetivos muy diferentes a otros ciberataques: engañar al usuario para que revele datos que permitan a los ciberdelincuentes acceder a información privada; lograr que el usuario descargue un malware o ransomware para tomar el control de su sistema; y, por último, conseguir el envío de dinero. Pero las consecuencias suelen ser mayores para una empresa que para una persona física porque podría implicar el robo de datos de clientes y proveedores y/o de cantidades económicas muy abultadas. Es fundamental que los empleados estén al día de estas técnicas y mantengan una serie de buenas prácticas.”
El mercado de los seguros contra problemas causados por la ciberdelincuencia, y muy en particular el europeo, está aún en desarrollo, lo que exige redoblar el esfuerzo de investigación para saber si las soluciones existentes cubren las necesidades de cada empresa en particular. “Si los daños que hay que garantizar no están excluidos o si las pólizas pudieran dar lugar a una interpretación ambigua la empresa puede quedar desprotegida. Sabiendo que en la actualidad las pólizas tradicionales suelen excluir las pérdidas como consecuencia de ciberataques, la transferencia debería hacerse a través de pólizas específicas y, en nuestra opinión, con el apoyo de corredores especializados para obtener un mejor enfoque de cada necesidad concreta”, concluye Daantje.
Fuente: WTW
También te puede interesar:
- Resona (ASISA) introduce el uso de la teleradiología
- Allianz Partners ayuda a evitar fraudes al contratar un viaje