Blog WPersona

Si le llega uno de estos mensajes, lo están tratando de estafar

Escrito por Gabriel Quiroga | 12-06-23

Empresas están capacitando con urgencia a su personal para que no caiga en fraudes por smishing.

Al concentrar buena parte de nuestras vidas en ellos, los smartphones se han convertido en blancos apetitosos para hacer caer a incautos con el clásico 'cuento del tío', ahora reconvertido en lo que se conoce como smishing. En simple, se trata de una variante del phishing (la suplantación virtual de identidad, personal o corporativa), donde mediante un SMS se tienta a potenciales víctimas para abrir un link malicioso con el fin de robarle datos como contraseñas de banco.

Nunca abra estos links

Ejemplos reales de ataques por smishing (SMS)

  • 'Abre tu tarjeta preaprobada y prepárate para el lanzamiento del evento más esperado del año! Haz click en este link para comenzar'.
  • 'Tu envío ha sido despachado con número de guía ####, ingresa aquí para hacerle seguimiento'.
  • 'Hay un intento de ingreso a tu cuenta desde un nuevo dispositivo. Si no eres tú, ingresa ahora mediante este link'.

Ejemplos reales de ataques por phishing (email)

  • 'Felicidades, se le han transferido fondos a través de Paypal, por favor ingrese mediante este link para validar sus fondos'.
  • 'Porque apreciamos su opinión, le invitamos a participar en esta encuesta de Spotify para evaluar su experiencia utilizando la aplicación, si realiza la encuesta entrará a un sorteo de una gift card de 50 dólares'.
  • 'Tercer aviso de entrega. Su paquete no ha podido ser entregado, por favor tome contacto con nosotros antes de que sea devuelto al país de origen. Nos puede contactar a través de este link'.

La sofisticación de los ladrones es tal que cualquiera puede caer en estos engaños, incluidos trabajadores con acceso a datos sensibles para sus compañías. Ya existen casos de hackeos graves y masivos a instituciones públicas y privadas: por eso ha crecido tanto la demanda por cursos para capacitar empleados de diferentes tipos de empresas para identificar ciberdelitos.

En WSecurity, por ejemplo, implementaron mediante e-learning el programa WPersona, acreditado por Sence, donde entregan contenido teórico y práctico para educar a colaboradores en los diferentes riesgos que existen en la red.

'Nos ajustamos a los tiempos y dispositivos que les acomoden y usamos una metodología de enseñanza que nos permite entregar contenido y luego evaluarlo. Primero entregamos las bases teóricas con ejemplos y luego los sometemos a un Ethical Phishing, que son ataques simulados para ir comprobando el avance de su aprendizaje', detalla Gabriel Quiroga, gerente general de la empresa.

En sus lecciones también se valen de la inteligencia artificial. 'La IA hoy se utiliza para generar fraudes clonando la voz de una persona para solicitar, por ejemplo, una transferencia de fondos; en otros casos, para crear ataques mediante nuevos códigos maliciosos. Pero para cometer estos fraudes se utilizan los mismos vectores de ingreso: links o descargas fraudulentas que solicitan códigos sensibles o ejecutar contenido. Por eso son importantes los ataques simulados, para preparar a los alumnos a identificar estas señales', agrega.

Muchos caen


Según Quiroga, a la fecha han capacitado a 15.000 colaboradores de diferentes empresas y organizaciones como universidades, retail, seguros, energía, gobierno, manufactura y proveedores de servicios tecnológicos, entre otros.

'Según un estudio de la empresa Verizon, el 90% de los fraudes cibernéticos ocurre por falla humana', advierte.

Y de acuerdo a datos recopilados en sus evaluaciones, en promedio '71% de los alumnos abrió correos de phishing; de ellos, 67% hizo clic en el enlace y 35% cayó en el ataque realizado; una vez terminado el curso, esas cifras caen al 6%'. Su curso, promete, 'sirve para proteger la empresa a nivel corporativo, pero también para que los propios colaboradores aprendan a cuidarse, a sí mismos y sus familias'.

Fabio Ravagni, gerente de Servicios Profesionales de BVS, empresa de TI, contrató este curso para sus empleados. 'Me gustó porque tiene muchos ejemplos prácticos y no se vuelve tedioso. No hay que leer mucho; se enseña principalmente mediante el ejemplo y el ensayo y error', detalla. Tras la capacitación, dice, 'aumentó el nivel de conciencia sobre los fraudes: ahora todos, y me incluyo, tenemos más cuidado al abrir y correo y revisar el remitente'.

Fuente: Las Últimas Noticias