OpiniónSeguridad

¿Por qué el smishing debería preocupar al CISO?

Phil Richards, Chief Security Officer at Ivanti.

Cualquiera que utilice un teléfono inteligente probablemente haya sido objeto de al menos un ataque de smishing. El smishing es muy parecido a las estafas de phishing por correo electrónico, pero en su lugar envía enlaces engañosos o maliciosos a través de mensajes de texto.

Al igual que el phishing, el smishing intenta engañar a los usuarios para que faciliten información valiosa, como las credenciales de acceso al banco, convenciendo al destinatario de que el mensaje procede de una fuente de confianza. Aunque este tipo de estafas lleva décadas explotando las cuentas de correo electrónico, los profesionales de la ciberseguridad deberían estar especialmente preocupados por el espectacular aumento de los ataques de smishing en los últimos dos años.

Incluso antes de que la era del COVID-19 obligara a las empresas a cambiar al trabajo remoto casi de la noche a la mañana, aproximadamente el 81% afirmó que sus empleados habían sufrido un ataque de smishing en sus dispositivos móviles. En 2020, después de que los bloqueos estuvieran en vigor en todo el mundo, los ataques de smishing proliferaron exponencialmente. Un estudio descubrió que entre marzo y julio de 2020, estos ataques aumentaron en un alarmante 29%.

¿Por qué la gente se ha vuelto más vulnerable al smishing?

Aunque los ataques de phishing han existido siempre, existen algunas razones por las que el smishing resulta hoy en día más preocupante para la seguridad informática:

Es mucho más fácil bloquear el phishing en los ordenadores de la empresa. Pero dado que los empleados remotos en la actualidad acceden a las aplicaciones y datos corporativos desde sus dispositivos personales, no resulta fácil verificar la autenticidad de las URL que reciben en sus teléfonos inteligentes, por lo que con frecuencia se limitan a hacer clic y a esperar lo mejor.

En 2020, 2.800 millones de usuarios de todo el mundo utilizaban teléfonos inteligentes. Los dispositivos están literalmente en todas partes, proporcionando un vasto y explotable panorama de amenazas para los hackers.

Los usuarios móviles suelen abrir y responder a los mensajes de texto con mucha más frecuencia que al correo electrónico. Hay que tener en cuenta que el 90% de los mensajes de texto se abren y se leen casi inmediatamente, mientras que la tasa media de apertura del correo electrónico ronda el 20%.

Y es una realidad que los dispositivos personales suelen carecer de la robusta seguridad que se utiliza para proteger los dispositivos corporativos.

Tenemos que admitirlo: con demasiada frecuencia, no prestamos atención. ¿Cuántos de nosotros consultamos nuestros teléfonos mientras realizamos otras actividades, como comprar, comer, ver películas o pasear al perro?

Y lo peor es que los hackers saben perfectamente todo esto. Si se lo proponen, con un poco de paciencia pueden engañar fácilmente a un empleado para que desvele sus credenciales corporativas. Una vez dentro de la empresa, en pocos minutos los hackers se pueden convertir en una pesadilla de ciberseguridad para cualquier organización de TI. Un buen ejemplo es el hackeo de Twitter del pasado mes de julio.

Dado que la nueva era del “teletrabajo masivo” ha destruido prácticamente lo que quedaba del perímetro de red tradicional, los CISO necesitan nuevas estrategias para proteger las aplicaciones y los datos corporativos dondequiera que estén, en cualquier red, dispositivo o nube. La buena noticia es que la mayoría de los CISO ya parecen entender que proteger a sus organizaciones de las amenazas móviles debe ser su mayor prioridad en el futuro.

La lista de tareas de seguridad móvil del CISO

En diciembre de 2020, mi empresa, Ivanti, encargó un estudio de investigación independiente a Vanson Bourne para conocer mejor las prioridades de los CISO. Reveló que el 87% de los CISO en toda la región de EMEA reconoció que la seguridad de los dispositivos móviles se ha convertido en el foco principal de sus estrategias de ciberseguridad. Casi el 80% de estos CISO saben que las contraseñas ya no son un medio eficaz o seguro de autenticación de los usuarios, y casi dos tercios (64%) creen que la inversión en software de detección de amenazas móviles será una de sus principales prioridades en el 2021.

La experiencia del usuario resulta esencial para la seguridad móvil

Por supuesto, ninguna estrategia de seguridad móvil tendrá  éxito si no conlleva una mejora en la experiencia del usuario. Esto es aún más importante hoy en día, con el espectacular aumento del número de empleados que trabajan a distancia, quizás de forma permanente.

La eliminación de las contraseñas en favor de la autenticación multifactorial (MFA) es una de las tareas más fáciles que los CISO pueden hacer ahora para ayudar a los trabajadores remotos a seguir siendo productivos, al tiempo que se minimizan las amenazas a la seguridad. Al requerir la biometría u otros factores para la autenticación, el departamento de TI puede reducir la suplantación de las credenciales de inicio de sesión con nombre de usuario y contraseña, que son increíblemente fáciles de robar por medios relativamente sencillos. Es importante mencionar que la MFA mejora notablemente la experiencia del usuario, al eliminar la necesidad de teclear en pantallas pequeñas contraseñas complejas y fáciles de olvidar.

Aunque la autenticación simplificada del usuario es un paso necesario, la automatización es una parte esencial de cualquier estrategia de seguridad móvil. Los CISO saben que no pueden confiar únicamente en las buenas intenciones de los empleados para impedir la cibercriminalidad.  Un modelo de seguridad móvil completo y "siempre activo" (disponible en la mayoría de los proveedores de ciberseguridad), que pueda detectar y prevenir las amenazas móviles sin afectar al acceso de los empleados, debería ser la principal prioridad de los CISO en 2021.

             

Computing 805