Tres aspectos importantes que vale la pena considerar para proteger a tus usuarios de ataques de smishing

Se conoce como “smishing” el equivalente de phishing a través de SMS. Cuando un criminal cibernético obtiene ilegalmente los datos de una víctima (phishing), lo hace enviando correos electrónicos fraudulentos para engañar al usuario y persuadirlo para abrir archivos adjuntos que contienen “malware”, o un link falso capaz de capturar información sensible (datos de tarjeta de crédito, contraseñas, etc.). El smishing simplemente utiliza mensajes de texto en lugar del correo electrónico.

Los operadores móviles tienen la responsabilidad de proteger a sus suscriptores, impidiendo que este tipo de tráfico no sea enviado dentro de su red. El smishing pone en riesgo la privacidad y seguridad de los usuarios, lo que a su vez, puede provocar importantes perjuicios económicos tanto para los usuarios como para los operadores. Finalmente, el smishing puede ocasionar pérdida de confianza en el operador (daño a la reputación), y un incremento en el “churn”.

Nunca antes hemos atravesado por algo similar. La pandemia ha cambiado la forma de vida, y la manera de comunicarnos y de trabajar.

 Nos hemos transformado en el transcurso de un año, en un mundo mucho más virtual. Pasamos mucho más tiempo en línea, desde trabajar y comprar hasta ir al banco o acceder a servicios públicos, esto incrementa el riesgo de convertirnos en víctimas de smishing. Recibimos más contraseñas, confirmaciones y notificaciones vía SMS – probablemente el canal más fiable y seguro-.

Conozco esto de primera mano ya que mi madre estuvo a punto de ser víctima de un ataque de smishing recientemente. Después de hacer algunas compras en línea, ella recibió un SMS. El mensaje provenía de un origen alfanumérico con el nombre de su banco, solicitando que aprobara la compra mediante la verificación de los datos de su tarjeta de crédito, usando la URL contenida en el mensaje.

Este fue un claro ejemplo de smishing. Afortunadamente para mi madre, habiendo ella olvidado sus gafas, me pidió que realizara yo en su lugar, la acción indicada al respecto, en el mensaje.

Le expliqué que esto se trataba de un ataque de smishing. A raíz de ello, mi madre cambió de operador ya que se encontraba preocupada por el hecho de no verse protegida por él en este tipo de tráfico.

Desde aquel incidente, por curiosidad realicé mi propia prueba, y ello fue muy sencillo usando las amplias capacidades en este aspecto, de GTC.

Simplemente envié un SMS con contenido smishing a mis dos números móviles de diferentes operadores, usando el identificador de remitente que esas redes utilizan para enviar a sus usuarios mensajes importantes.

Y, saben qué?

¡Que ambos mensajes fueron entregados!

Esto podría sonar extraño, especialmente para las personas que están en el negocio de la mensajería, quienes conocen que los operadores móviles instalan costosos “firewalls” para proteger sus redes de mensajes A2P no deseados. Pero, ¿es suficiente el “firewall”? ¿Sabe el “firewall” que debe bloquear y que debe dejar pasar?

Blog - smishing attacks

Si tú eres un operador móvil, aquí hay tres aspectos importantes a tomar en cuenta si quieres proteger a tus usuarios de ataques de smishing y resguardar tu propia reputación:

1. Asegúrate de tener una visión completa del tipo de tráfico que está llegando a tu red y a tus usuarios. Averigua cómo lo están haciendo. Ésta es una tarea frecuente dado que el crimen cibernético evoluciona constantemente. Los mecanismos de “bypass” y “spam” se están volviendo cada vez más creativos y sofisticados.

2. Invierte en pruebas de red constantes.

Soluciones de pruebas independientes y especializadas entregarán resultados medibles que ayudarán a ajustar y mejorar constantemente los mecanismos de bloqueo de tu red, logrando imitar el comportamiento actual y potencial de los defraudadores.

3. Sé proactivo y no reactivo. No esperes a que tus usuarios realicen anuncios o peor aún, dejen de usar tus servicios y contraten los de un competidor.

Protege tu red y a tus suscriptores, antes que esto se convierta en un problema para ellos.

Si los bloqueos de rutas grises y SIM box son importantes desde la perspectiva de aseguramiento de ingresos, los bloqueos de spam y smishing son importantes desde la perspectiva de tu reputación y experiencia de usuario.

Como operador móvil, uno de tus principales objetivos es asegurar que el SMS se mantenga como un canal confiable para el tráfico A2P.

Al final del día, todos somos usuarios móviles, así que todos corremos el riesgo de sufrir un ataque de smishing. Sin embargo, como operador móvil respetable, tú puedes y deberías proteger a tus suscriptores de recibir este tipo de mensajes. ¿Quieres saber qué está sucediendo en tu propia red? ¿Estás interesado en observar cómo de abierta está tu red y qué mensajes no solicitados pueden ser o están siendo entregados a tus usuarios? Nosotros estamos aquí para ayudar. Déjanos un mensaje en www.globaltelcoconsult.com

Global Telco Consult (GTC) es una consultora de mensajería empresarial, independiente y de confianza, con un profundo conocimiento en el ámbito de la comunicación de aplicación a persona (A2P). GTC proporciona estrategias de mensajería a medida a empresas, proveedores de servicios de mensajería, operadores y carriers de voz. Tenemos experiencia en múltiples canales de mensajería como RCS, Viber, WhatsApp, Telegram y SMS para el sector mayorista y minorista.

GTC apoya a sus clientes desde la estrategia de mercado hasta el lanzamiento del servicio, pasando por la gestión de las operaciones y el apoyo de la actividad de ventas y compras. La empresa comenzó en 2016 con el objetivo de guiar a los operadores y a las empresas de telecomunicaciones para que aprovechen las nuevas y emocionantes oportunidades y saquen el máximo partido a la mensajería empresarial. Para obtener más información o conocer el sector, eche un vistazo a nuestro blog o síganos en LinkedIn.

Any questions?