Por Redacción - 21 Marzo 2022
Las campañas realizadas a través de SMS son cada vez más habituales. Gracias a sus tasas de apertura superiores al 90% y por corresponder generalmente a usos más profesionales que otras apps de mensajería instantánea, los SMS son utilizados en numerosas áreas, que van desde la confirmación de pedidos o envíos, hasta la comunicación de contraseñas temporales para compras online, recordatorios de citas, mensajes promocionales, invitaciones a eventos...
Si a esto le sumamos nuestros estilos de vida cada vez más digitales, o el auge del ecommerce, parece evidente que nuestras vidas están cada vez más expuestas a entornos digitales. Y prueba de ello es que el Ministerio del Interior registró en 2020 un aumento del 32% de los ciberdelitos.
Con el fin de aprovechar todas las ventajas de las campañas de SMS pero protegernos de cualquier ciberamenaza, aquí destacamos 5 buenas prácticas anti smishing.
Nacido de "SMS" y "phishing", el término smishing se refiere a estafas que se realizan a través del SMS. El Instituto Nacional de Ciberseguridad de España (INCIBE) lo define como el envío de un SMS por parte de un ciberdelincuente, haciéndose pasar por una entidad legítima como un banco, una institución pública, etc.
El objetivo de los ciberdelincuentes suele ser apropiarse de información personal o de pagos que el usuario realice bajo una acción que parezca normal. Para evitar esta confusión en los usuarios, y que tus campañas de SMS sean legítimas pero también lo parezcan, es necesario seguir una serie de pautas que nos van a ayudar a proporcionar seguridad:
Referencias conocidas por el usuario en recordatorios de citas
El envío de recordatorios de citas es uno de los casos de uso más habituales del SMS. Para que el usuario reconozca fácilmente la cita, la perciba como legítima y además tenga posibilidad de reprogramarla a tiempo, es importante incorporar la información lo más precisa y completa posible. Por ejemplo, el nombre del usuario, la hora de la cita, el nombre del centro e incluso del profesional que le atenderá. Es imprescindible que el contenido del mensaje sea claro y no contenga errores ortográficos.
Además, el usuario debe saber con antelación si le vamos a pedir que confirme o es un mero recordatorio, con el fin de que pueda identificar fácilmente un posible smishing.
Remitentes alfanuméricos con SMS API
Una práctica muy recomendable es que aparezca en el SMS el nombre de la empresa remitente para que el usuario pueda leer el nombre en lugar de ver un número de teléfono móvil desde el que se envía el mensaje.
Esto es posible con una API de SMS que facilita la integración de aplicaciones y softwares empresariales para enviar y recibir mensajes de texto para uso profesional. Además, estas aplicaciones incorporan tecnología de reconocimiento HLR para comprobar si un número es correcto y válido, limpiando la base de datos antes de lanzar la campaña.
Avisar con antelación a los clientes
Si avisas con antelación a tus clientes sobre qué medio de comunicación vas a utilizar para comunicarte con ellos, evitarás despertar sospechas en caso de que se utilice un canal inesperado.
Normalmente esta notificación se hace en el momento de la contratación, o la aceptación de las condiciones de cesión de datos, y a través de un canal distinto al propio SMS,. No obstante, no está de más que lo recuerdes o destaques de algún modo.
Nunca solicitar información sensible
Informa a tus clientes de que nunca se les solicitará datos personales por teléfono, correo electrónico e incluso SMS, y que por tanto, nunca deberán facilitarlos.
Por ejemplo, si alguien les solicita contraseñas, números de cuenta bancaria o similares, los destinatarios del mensaje deben poder reconocer de inmediato un intento de fraude.
Enlaces seguros en todas las comunicaciones
Asegúrate de que todos los enlaces que envíes sean seguros e informa a los receptores de que deben desconfiar cuando no sea así. Todas las urls deben estar precedidas de "https:" y no de "http:", ya que solo en el primer caso se tiene la certeza de que la comunicación está encriptada para garantizar la seguridad de los datos.
