Moltes empreses permeten que els empleats facin servir els dispositius personals per accedir a plataformes internes. I això implica assumir riscos.

Moltes empreses han adoptat Polítiques BYOD, i permeten que els seus empleats facin servir els dispositius personals per accedir a eines, correus corporatius i plataformes internes. I és clar, vet aquí quan la ciberseguretat es troba en un estat crític.

Aquesta pràctica, que ofereix comoditat i estalvi de recursos, també obre una porta perillosa per als ciberdelinqüents. L’smishing, una modalitat de pesca que fa servir missatges SMS per enganyar els usuaris, ha trobat a l’entorn BYOD un terreny fèrtil per expandir-se.

La combinació de dispositius personals amb accés a informació empresarial i una sofisticació creixent dels atacs converteix aquesta unió en una amenaça silenciosa però extremadament efectiva per a les organitzacions.

Què és l‘smishing i per què és tan efectiu

L’smishing o la pesca per SMS es basa en l’enviament de missatges de text que aparenten ser legítims i que insten l’usuari a fer clic a un enllaç maliciós o proporcionar dades delicades. Aquests missatges, sovint disfressats de notificacions de bancs, serveis de missatgeria o plataformes conegudes, aconsegueixen enganyar les víctimes mitjançant l’ús de tècniques d’enginyeria social.

En un context empresarial, quan un empleat utilitza el telèfon personal per a assumptes laborals, l’impacte d’un atac de smishing es multiplica. En comprometre’s un dispositiu, no només està en joc la informació personal, sinó també l’accés a sistemes corporatius, xarxes internes i aplicacions amb dades delicades. Tot això sense necessitat que l’atacant comprometi els sistemes de l’empresa directament.

El perill del model BYOD

El model BYOD ha estat adoptat per nombroses companyies que busquen més flexibilitat, reduir l’ús de dispositius corporatius i millorar la productivitat. No obstant això, moltes vegades s’implementa sense una estratègia de seguretat sòlida, cosa que deixa una bretxa oberta per a amenaces com ara la pesca per SMS.

Els dispositius personals solen estar fora de l’abast de les polítiques de ciberseguretat tradicionals. Sovint, no compten amb protecció antivirus empresarial, no tenen xifratge adequat i estan connectats a xarxes wifi no segures. Tot això converteix el dispositiu en una baula feble que pot ser explotada amb facilitat.

A més, quan els empleats reben missatges maliciosos als seus telèfons personals, és menys probable que activin els protocols d’alerta que sí que seguirien en un equip corporatiu. Això es tradueix en una reacció més lenta i en una probabilitat més gran que l’engany tingui èxit.

La sofisticació de l‘smishing actual

Els ciberdelinqüents han perfeccionat les tècniques de smishing per adaptar-se al comportament dels usuaris. Avui no només envien missatges genèrics, sinó que personalitzen els textos, utilitzen el nom de l’usuari, esmenten empreses reals i fins i tot imiten els tons i les estructures de comunicació interna.

En alguns casos, els atacants no es conformen a obtenir informació inicial, sinó que intenten convèncer la víctima de canviar cap a altres plataformes de missatgeria, on poden continuar la conversa i incrementar el nivell d’engany. Aquest tipus d’atac sostingut és especialment perillós en dispositius BYOD que no estan subjectes a vigilància constant per part del departament de TI.

L’ús d’eines d’intel·ligència artificial també ha potenciat l’abast de l’smishing. Els missatges es poden generar en massa, adaptar-se a l’idioma de l’usuari, i fins i tot incloure enllaços que redirigeixen a pàgines clonades gairebé impossibles de distingir de les originals.

L’empresa també en paga el preu

Quan un atac de smishing aconsegueix comprometre un dispositiu personal amb accés a recursos empresarials, el mal pot estendre’s ràpidament. Informació de clients, contrasenyes, documents interns i credencials d’accés a plataformes crítiques poden estar a l’abast de l’atacant en pocs minuts.

Aquest tipus de bretxes pot tenir un cost reputacional elevat per a l’empresa, a més de possibles implicacions legals si es veuen afectades normatives com el RGPD. Les auditories posteriors, la necessitat de reforçar mesures de seguretat i el temps perdut a la recuperació de sistemes també representen un impacte econòmic directe.

La sensació de seguretat que moltes empreses tenen en permetre l’ús de dispositius personals sol ser enganyosa. El fet que el dispositiu no pertanyi a l’organització no l’eximeix de la responsabilitat de protegir la informació que s’hi emmagatzema o gestiona.

Què es pot fer per minimitzar els riscos

Encara que l’escenari sembli complex, hi ha mesures eficaces que poden reduir significativament l’exposició a l’smishing en entorns BYOD. Establir polítiques clares d’ús, exigir la instal·lació de programari de seguretat i educar de manera constant els empleats són alguns passos fonamentals.

També és important implementar eines de gestió de dispositius mòbils (MDM) que permetin monitorar, aïllar o eliminar informació corporativa en cas d’incident, i  alhora, fomentar una cultura de ciberseguretat proactiva, on els treballadors se sentin capacitats per identificar i informar sobre intents de pescar per SMS; tot això pot marcar la diferència.

Les imatges utilitzades provenen de bancs d’imatges lliures de drets d’autor. Han estat seleccionades de plataformes que permeten l’ús gratuït sense necessitat d’atribució.