Por Dana Smith, Especialista Senior en Comunicación, Seguridad de la Información en BCD Travel
A medida que las amenazas cibernéticas evolucionan, también debe hacerlo nuestra comprensión sobre cómo los atacantes intentan aprovecharse de nosotros. La mayoría estamos familiarizados con el phishing: esos correos electrónicos engañosos que simulan provenir de fuentes legítimas. Pero, ¿has oído hablar del mishing?
¿Qué es el mishing?
Mishing es la abreviatura de phishing móvil. En concreto, se refiere a ataques de phishing realizados a través de llamadas telefónicas, mensajes de texto SMS o mensajes de voz (de ahí la “m”, por mobile o messaging). Los ciberdelincuentes utilizan el mishing para hacerse pasar por instituciones confiables—como bancos, soporte técnico, departamentos de RR. HH. o incluso agencias gubernamentales. ¿Su objetivo? Engañar a las víctimas para que revelen información sensible como contraseñas, datos financieros o acceso a cuentas. Existen múltiples formas de mishing, entre ellas:
- Smishing (phishing por SMS)
- Quishing (phishing de código QR)
- Vishing (phishing de voz)
- Ataques basados en Wi-Fi (Evil Twin)
El smishing es una modalidad común actualmente, y probablemente ya lo hayas experimentado si tienes un teléfono móvil. En EE. UU., miles de usuarios están recibiendo mensajes que afirman que deben dinero por peajes impagos. A nivel global, circulan estafas similares, como mensajes prometiendo oportunidades de trabajo increíbles desde casa o notificaciones de paquetes no entregados por direcciones inválidas. Esta táctica es cada vez más frecuente.
Riesgos del mishing para los viajeros de negocios
Para los viajeros de negocios, el mishing presenta riesgos únicos. Los viajeros que están en constante movimiento pueden ser más propensos a responder rápidamente a mensajes sin verificar su autenticidad. A continuación, algunos ejemplos de cómo el mishing puede afectar a los viajes de negocios:
- Reservas de viaje: Un viajero podría recibir un mensaje de texto indicando que su vuelo ha sido cancelado, lo que lo llevaría a hacer clic en un enlace malicioso para volver a reservar.
- Gestión de gastos: Los estafadores podrían hacerse pasar por el departamento financiero de la empresa, solicitando que el viajero confirme los datos de su tarjeta de crédito para informes de gastos. También podrían recibir un mensaje de alguien que afirma ser de una institución bancaria, advirtiendo sobre una actividad sospechosa. En un momento de pánico, el viajero podría llamar o responder, entregando sin saberlo sus credenciales bancarias.
- Reservas de hotel: Un mensaje podría simular ser de un hotel, solicitando confirmar los detalles de la reserva a través de un sitio web falso.
Cómo detectar y detener el mishing
- Desconfíe de la urgencia. Los estafadores suelen utilizar amenazas o plazos cortos para generar pánico. Las organizaciones legítimas rara vez envían mensajes urgentes por voz o texto.
- Nunca compartas información sensible por mensaje de voz o texto. Esto incluye contraseñas, números de seguridad social o información financiera, incluso si quien llama parece ser legítimo.
- Verifica de forma independiente. Si un mensaje solicita que devuelvas la llamada, no uses el número proporcionado. En su lugar, contacta a la institución usando un número conocido y confiable.
- Usa autenticación multifactor (MFA). Incluso si tus credenciales son comprometidas, la MFA puede bloquear el acceso no autorizado.
