“Gracias a la alianza con Delta Protect, Atrato ha logrado avances significativos hacia la certificación ISO 27001, fortaleciendo notablemente su seguridad y cumplimiento. El soporte continuo y las asesorías expertas de Delta, combinadas con la innovadora plataforma Apolo, han sido fundamentales para acelerar y optimizar nuestro roadmap, permitiéndonos enfrentar y superar eficazmente cualquier desafío en seguridad de la información.”
“Tras 3 meses de colaboración efectiva con Delta Protect, estamos impresionados con los resultados y la cobertura del programa de Pentesting de CISO As a Service. Hemos detectado y abordado vulnerabilidades clave, mejorando significativamente nuestra seguridad de la información. Los entrenamientos de Ciberseguridad y ejercicios de Phishing han sido cruciales para aumentar la conciencia de nuestros colaboradores. Agradecemos el seguimiento y apoyo continuo de Delta Protect y esperamos alcanzar más objetivos juntos.”
“Nuestra colaboración con Delta Protect marcó un hito en nuestra seguridad digital. Su enfoque meticuloso y detallado en el Pentest reveló vulnerabilidades ocultas que habían pasado inadvertidas, demostrando una eficacia y rapidez impresionante en su resolución. Además, su servicio de CISOaaS transformó nuestra estrategia de ciberseguridad, donde su equipo experto nos guió en el desarrollo de políticas robustas y procesos efectivos.”
“Me complace enormemente relatar la experiencia positiva y enriquecedora que hemos tenido con Delta Protect y su sobresaliente servicio de Chief Information Security Officer as a Service (CISOaaS). Representando al departamento de TI de Sperientia, quiero expresar mi profunda gratitud y aprecio por el alto nivel de calidad y profesionalismo evidenciado en nuestra colaboración con el equipo de Delta Protect. Desde el inicio de nuestra asociación con Delta Protect, hemos observado un compromiso y una excelencia excepcionales, superando ampliamente nuestras expectativas.”
“Mi experiencia con el equipo de especialistas de Delta Protect ha sido tremendamente positiva. En todo momento, han mostrado un alto grado de profesionalismo, experiencia y conocimiento, manejándose con una ética impecable. Su atención al detalle y su disposición para resolver problemas y brindar apoyo han sido imprescindibles. Como CISO, valoro enormemente contar con aliados tan confiables y competentes, que contribuyen significativamente a fortalecer la postura de ciberseguridad de mi compañía.”
Nuestra reciente experiencia con Delta Protect en el pentesting fue excepcional. Nos brindaron asistencia crucial para identificar y fortalecer aspectos de seguridad en variados sistemas e interfaces, abarcando front-end, back-end y aplicaciones móviles. Su enfoque ágil y sumamente profesional fue notable. Sin duda, confiaríamos nuevamente en Delta Protect para asegurar la integridad de nuestros sistemas.
Estoy absolutamente impresionado con la experiencia brindada por Delta Protect. Son, sin duda, el proveedor más responsable y cumplidor que hemos tenido el placer de colaborar.
Mi trayectoria con DeltaProtect se remonta a mi empleo anterior, donde ya tenía contacto con ellos desde el equipo de Ciberseguridad. Solicitamos pruebas de penetración (PT) para aplicaciones web y móviles. Mi experiencia con varios proveedores, grandes y pequeños, me ha demostrado que DeltaProtect se destaca significativamente. Sus informes y hallazgos son superiores, identificando vulnerabilidades que otros proveedores no detectaron. Lo que más valoro es la profundidad de sus pruebas y el enfoque en vulnerabilidades que requieren un análisis más detallado, más allá de los resultados automáticos.
"Delta Protect fue una solución óptima para nosotros. Buscábamos un proveedor bien actualizado técnicamente, que entendiera nuestro modelo de negocio y que nos diera la certeza de poder transmitir solidez a nuestros clientes. El trato del equipo Delta y sus procesos han superado nuestras expectativas, sin duda seguiremos trabajando juntos.”
"¡La experiencia general de trabajar con Delta Protect ha sido simplemente excelente! El equipo responde con velocidad, aclaran todas las preguntas a medida que surgen y el apoyo brindado durante todo el proceso es excelente. Lo Recomendaría sin dudarlo.”
"El servicio de Delta Protect es altamente profesional. Quedamos muy satisfechos con el resultado. Ofrecieron acompañamiento en todo momento para encontrar y solucionar las vulnerabilidades que encontraron en nuestro sistema.”
¿Qué es Smishing y cómo protegerse?
Ciberseguridad y Cumplimiento Simplificado para Startups y PYMEs en México y LATAM 🔐
¿Qué es Smishing y cómo protegerse?
Conclusiones
Egresado de Ingeniería en Tecnologías Computacionales por el Tecnológico de Monterrey. Hácker Ético Certificado, especializado en Red Teaming, Auditorías de Seguridad en Aplicaciones Web e Infraestructura. Integrador de soluciones en el área de Ciberseguridad para empresas Fintech en México y LATAM.
Ciberseguridad y Cumplimiento Simplificado para Startups y PYMEs en México y LATAM 🔐
El phishing y otros ataques de ingeniería social llevados a cabo mediante dispositivos móviles son cada vez más frecuentes. Se trata de engaños relativamente fáciles de llevar a cabo y que, si la víctima es persuadida, puede tener grandes recompensas.
Considerando que los mensajes de texto son leídos con mucha más frecuencia que otros mensajes (como los correos electrónicos), este se convierte en un canal práctico para llevar a cabo estas estafas. Por ello, a continuación te explicamos qué es el smishing y cómo puedes proteger a tu empresa de sus efectos.
¿Qué es el smishing?
El smishing es un tipo de ataque de phishing utilizado por ciberdelincuentes para obtener información personal de los usuarios a través de mensajes de texto (SMS) y utilizarla con fines delictivos. Estos ataques se han popularizado, pues las personas tienden a pensar que este tipo de mensajes son más seguros que los correos electrónicos, que se han relacionado clásicamente con el phishing.
En los últimos años, esta práctica se ha vuelto más común en las aplicaciones de mensajería instantánea para teléfonos móviles, tales como Whatsapp Messenger, Telegram y iMessage; así como a través de los servicios de mensajería de redes sociales como LinkedIn e Instagram.
¿Cómo funciona el smishing?
Tal como ocurre en otros tipos de phishing, los ataques de smishing utilizan técnicas de ingeniería social para convencer a la víctima de proporcionar, vía mensajes de texto, datos personales o información confidencial, tales como contraseñas, nombres de usuario, números de tarjetas de crédito, números de cuenta bancaria y otros datos bancarios, entre otros.
Otra metodología popular consiste en incluir dentro del mensaje enlaces de páginas web fraudulentas que simulan sitios oficiales de organizaciones gubernamentales, empresas o instituciones bancarias, y es en estas páginas fraudulentas donde se le solicita al usuario que introduzca su información.
Una vez que el usuario ingresa a estos enlaces, queda expuesto a diversos tipos de malware que pueden ser instalados en su dispositivo móvil o PC, dejando una puerta abierta para que los hackers o smishers (como se denominan en este caso) tengan acceso a información bancaria y otros datos confidenciales.
Ejemplos de ataques de smishing
Tal como ocurre con otros ciberataques que utilizan ingeniería social, el smishing se vale de pretextos e historias falsas para convencer a las víctimas de cumplir con las demandas de los cibercriminales. Algunos ejemplos de pretextos utilizados en ataques de smishing son:
Instituciones financieras
Los smishers pueden pretender ser parte de una entidad bancaria e informar a la víctima sobre una actualización de datos o un problema con su cuenta, y enviarles un enlace para que ingresen información privada, como números de cuentas bancarias y tarjetas de crédito.
Mensajes del gobierno
Un smisher puede pretender ser un representante de un ente gubernamental, un policía u otro funcionario público que solicita el pago de una multa o que informa sobre un beneficio que el usuario puede cobrar. Usualmente, estos ataques buscan obtener datos personales como el número de seguro social para llevar a cabo un robo de identidad.
Atención al cliente
Otra estrategia común es pretender que se trata de un agente de atención al cliente de una empresa ampliamente conocida, como Microsoft o Apple, o de una empresa contratada por la víctima para proveer servicios como acceso a Internet o línea telefónica. En la mayoría de los casos, se trata de un mensaje en el que informan sobre un reembolso que debe reclamar o sobre un problema en su cuenta, de manera que lo convencen de ingresar sus datos.
Empresas de envíos de paquetes
En este caso, el smisher pretende ser parte de una empresa de envíos, como FedEx, o de una empresa de compras en línea, como Amazon, y le informa a la víctima que hubo un problema con el envío de su paquete, por lo que debe pagar una tarifa adicional o ingresar a su cuenta para verificar el problema. Suelen ser más utilizadas en épocas festivas, pues más personas realizan pedidos.
Números de teléfonos equivocados
Un ciberdelincuente puede enviar un mensaje SMS a números de teléfonos equivocados a propósito. Una vez que la víctima corrige el error, el smisher trata de mantener la conversación y ganarse la confianza de la víctima con el paso del tiempo. En algunas oportunidades, incluso fingen que tienen sentimientos románticos por la víctima para obtener su información personal, solicitarles dinero como un préstamo, pedirles que inviertan en una iniciativa, etc.
Factores de autenticación falsos
En un esfuerzo por evadir el doble factor de autenticación, los ciberdelincuentes envían un mensaje a la víctima pretendiendo ser uno de sus amigos, y le dicen que han sido bloqueados de sus redes sociales, por ejemplo, y que necesitan que la víctima reciba un código para desbloquearlos. Sin embargo, este código es un nuevo factor de autenticación, de manera que cuando la víctima lo envía al hacker, este es capaz de acceder a sus cuentas.
Aplicaciones fraudulentas
Algunos ataques de smishing convencen a sus víctimas de descargar aplicaciones fraudulentas que contienen algún tipo de malware, como ransomware o troyanos. Aunque estas aplicaciones parecen genuinas, están diseñadas para obtener datos confidenciales de la víctima o bloquearlos para solicitar el pago de un rescate para recuperarlos.
6 consejos para mantener a tu empresa protegida del smishing
Los ataques de smishing son cada vez más comunes, así como otros tipos de phishing (como el vishing y el pharming). Por ello, es primordial que las empresas tomen acciones para disminuir el riesgo de ser víctimas de este tipo de ataques, y para saber cómo responder a ellos, disminuyendo su impacto.
A continuación, te dejamos 6 consejos para que mantengas a tu empresa protegida de los ataques de smishing:
Capacitar al personal correctamente
Preparar al personal de tu empresa para que identifique las características de los mensajes de smishing es el primer paso para que puedan evitar poner en riesgo información confidencial, bien sea personal o de la empresa. Un empleado que desconfía de un SMS y decide ignorarlo o confirmar la información recibida antes de tomar acciones puede marcar la diferencia en términos de ciberseguridad.
Estas capacitaciones deberían incluir, además de una revisión de las características principales de estos mensajes de texto, técnicas de manejo de datos confidenciales y protocolos para la verificación de solicitudes y autorización de pagos.
Evitar hacer clic en links desconocidos
Hacer clic en un enlace que proviene de un número telefónico sospechoso es una acción irresponsable, pues usualmente se trata de páginas web maliciosas. Una vez que se logra identificar que se trata de un mensaje sospechoso, lo mejor es no hacer clic en enlaces ni descargar archivos adjuntos, pues pueden contener malware.
Abstenerse de compartir información personal por SMS
Las entidades bancarias, organizaciones gubernamentales y comercios electrónicos no suelen solicitar a sus clientes o usuarios que proporcionen datos para actualizar su información personal ni con otros propósitos. Los mensajes que hacen este tipo de solicitudes son casi siempre fraudulentos y deben ser ignorados.
Si hubiese duda de que sea un mensaje legítimo, lo mejor es contactar directamente a la institución financiera o tienda en cuestión mediante un canal oficial (por ejemplo, mediante una llamada a un teléfono de soporte técnico, o mediante un mensaje en su página web oficial) para saber de primera mano si se trata de una solicitud real.
Utilizar múltiples factores de autenticación
A pesar de que, como explicamos antes, los smishers tienen métodos para romper la protección de la autenticación de dos factores, este método sigue siendo eficiente como una capa adicional de seguridad. Particularmente los métodos de biometría (como las huellas dactilares y el reconocimiento facial) son difíciles de falsificar.
Verificar que el remitente sea oficial
Al recibir un mensaje sospechoso que parece ser de una organización de buena reputación, lo mejor es ponerse en contacto con la misma y verificar si fueron realmente ellos quienes enviaron el mensaje. Algunos bancos incluso tienen un servicio para denunciar smishing y otros tipos de phishing en su página web.
Apoyarse en expertos de ciberseguridad
Reforzar la ciberseguridad de una empresa es cada vez más importante para que esta logre crecer y alcanzar los objetivos productivos que se plantee. Sin embargo, mantener personal fijo en la empresa que se encargue de la ciberseguridad puede ser muy costoso, y quizás no sea la mejor solución para todas las empresas.
En Delta Protect nos encargamos de simplificar y automatizar la ciberseguridad de tu empresa a través de Apolo. Si quieres conocer cómo podemos ayudarte a evitar que tus empleados sean víctimas de ataques de smishing, no dudes en agendar una demo de Apolo con nosotros.
Egresado de Ingeniería en Tecnologías Computacionales por el Tecnológico de Monterrey. Hácker Ético Certificado, especializado en Red Teaming, Auditorías de Seguridad en Aplicaciones Web e Infraestructura. Integrador de soluciones en el área de Ciberseguridad para empresas Fintech en México y LATAM.
Sigue aprendiendo
