Mensajería segura: cómo prevenir la violación de datos
The complete guide about secure messaging
Tabla de contenidos
Hemos entrado en una nueva era de ciberdelincuencia. Luego de la pandemia, el fraude en la mensajería móvil es más grande, complicado y está aumentando a un ritmo alarmante. En esta guía explicaremos en detalle por qué la mensajería segura es crucial para evitar violaciones de datos.
La mensajería móvil llegó a las empresas para quedarse. Es imporrante que continúes usándola para hablar con tus clientes, empleados, pacientes o ciudadanos. Ahora bien, como las personas realizan sus actividades exclusivamente desde dispositivos móviles, los riesgos de fraude y violaciones de seguridad son mayores.
La gente usa sus teléfonos para cuestiones personales y laborales. Por ejemplo, almacenan su número de tarjeta de crédito para realizar compras, acceden a sus cuentas bancarias y envían correos electrónicos importantes de trabajo
Probablemente te ocupas de proteger a tus consumidores en entornos digitales y educarlos sobre la prevención de ataques, pero no es suficiente. Existen nuevas y numerosas formas de fraude, como el intercambio de SIM, SMS Pumping, los ataques de intermediarios y el secuestro de números. Como ves, son tantos que puede ser difícil estar al tanto de todos.
Y es que a medida que existen esquemas más sofisticados, debes evitar sus costosas repercusiones. Las infracciones de seguridad provocan interrupciones en el servicio, como pérdida de datos y daño a la reputación, lo que se suma a los altos costos comerciales.
Como sabrás, cuando tu audiencia es atacada con mensajes de spam o smishing, los estafadores podrían usar tu marca para atraerlos. La buena noticia es que las empresas y organizaciones de todo el mundo están evitando las consecuencias costosas de las infracciones de seguridad.
Profundicemos en la importancia de usar mensajería segura para evitar la violación de datos.
¿Por qué es fundamental prevenir las filtraciones de datos?
Incluso grandes empresas como Facebook y Telegram sufrieron violaciones de seguridad. Entonces, no estás exento de eso.
El informe de IBM sobre violación de datos establece que el ataque inicial más común informado por las empresas fue el robo de credenciales con el 19%, lo que costó un costo promedio de USD 4,50 millones. En segundo lugar quedó el phishing con un 16%. De hecho, dejó un costo de USD 4,91 millones en 2022. Otros factores de ataques iniciales fueron la mala configuración de la nube en un 15% y la vulnerabilidad de software de terceros en un 13%.
Según el informe, la cifra total promedio global de filtración de datos es de $4,35 millones, y solo en los EE. UU. es de $9,44 millones. ¡Eso es una diferencia de USD 5,09 millones!
Este país ostenta el título por el costo más alto de una violación de datos.
De ahí que las sanciones por violaciones de datos dentro de su territorio sean increíblemente altas. Además, el protocolo CCPA establece que las empresas pueden pagar hasta $7.500 por cada punto de datos. Para violaciones de HIPAA, el costo puede llegar hasta $25.000.
En la UE, las empresas tienen un escenario similar. Las leyes GDPR multan a las organizaciones con 20 millones de euros o el 4% de su facturación anual.
Otros continentes no quedan fuera de las sanciones. Recientemente, un ataque de ciberseguridad le costó al banco de Singapur $13,7 millones entre 790 víctimas. Eso es un promedio de $12.800 por víctima.
No se trata solo de dinero. Debes agregar otros costos a estos grandes números que podrían afectar la reputación y el futuro de tu negocio.
Por ejemplo, las empresas que sufren ciberataques tienden a perder clientes existentes y potenciales, ya que dañan la lealtad de los usuarios y la reputación de la marca. Además, sus costos operativos se elevan por el incremento de llamadas a atención al cliente y soporte.
El costo total promedio de una violación de datos es de USD 4,35 millones
IBM
Aquí te presentamos otras estadísticas que debes considerar:
El trabajo remoto es un factor crucial. El informe establece que cuando el trabajo remoto es el factor que casó la filtración de datos la diferencia de costos equivale a USD 1 millón. Además, el informa demuestra que las infracciones no son cosa de una sola vez. El 83% de las organizaciones encuestadas dijeron que habían tenido más de una infracción.
Es importante con quién te asocias: el 19 % de las filtraciones de datos analizadas ocurrieron debido a un compromiso con un socio de tecnología empresarial.
Tus clientes sufrirán las consecuencias. El 60% de las infracciones de las organizaciones condujo a un aumento de los precios, que ellos terminaron asumiendo.
¿Cómo ayuda la mensajería segura a prevenir la violación de datos?
Los datos representan la propiedad intelectual de tu empresa. Como sabrás, las organizaciones los almacenan en algún lugar: pueden estar en la nube, en servidores dentro o fuera de la empresa o en ambos.
Si bien la mensajería y los datos son diferentes, están relacionados. La mayoría de las organizaciones utilizan la comunicación móvil para interactuar con sus audiencias. De hecho, se prevé que en 2023 el 90% de las empresas adopte una plataforma de comunicaciones como esta.
En cada mensaje que envías, hay datos importantes. Puede ser un texto, un archivo o un mensaje de voz. Es por eso que las buenas características y capacidades no son suficientes cuando se usa una plataforma de comunicación para interactuar con las audiencias.
La seguridad de los mensajes debe ser tu prioridad. ¿Por qué? Porque las empresas tienen la libertad de elegir dónde almacenar sus datos, pero no cuáles pueden conservar. Por lo tanto, deben cumplir con las regulaciones que les indican qué información pueden almacenar, como GDPR y CCPA. En este sentido, una plataforma CPaaS segura y global debe encontrar soluciones que cumplan con todas las normativas para garantizar que la información esté protegida y no se transfiera a otras naciones.
En pocas palabras, eso significa que tus mensajes deben estar encriptados y almacenados de manera segura, siguiendo las regulaciones de datos de tu país. Trabajar con una plataforma de comunicación segura previene algunas de las violaciones de datos y fraudes de SMS más comunes.
¿Los mensajes de texto son seguros?
Según PCMag, el 90% de las personas abren un mensaje texto dentro de los tres minutos posteriores a su recepción. Debido a esto, representan el canal principal de comunicación para los consumidores que quieren interactuar con las empresas a través de sus teléfonos.
Pero esta popularidad los ha convertido en la vía perfecta para el fraude. Los piratas informáticos buscan continuamente nuevas formas de beneficiarse de las vulnerabilidades.
La verdad es que A2P SMS y P2P SMS no están encriptados de extremo a extremo. Además, es el canal de comunicación móvil que recibe la mayor incidencia diaria de mensajes no solicitados.
Aun así, siguen siendo seguros. Robert Gerstmann, director gerente de CLX Communications, asegura que “los mensajes de texto son el canal más confiable”. «Es probable que esto se deba a que el porcentaje de mensajes de spam es una pequeña fracción de menos del uno por ciento en general».
Para reducir la posibilidad de fraude en los mensajes de texto, las empresas deben establecer medidas de seguridad para los creadores del mensaje, asegurar su plataforma de mensajeria y evaluar cuidadosamente a los proveedores asociados. Sin embargo, lo fundamental es que todos los miembros de la cadena de comunicación de SMS, comparten la tarea prioritaria de detectar y evitar esquemas de fraude móvil.
Problemas comunes de violación de datos
Credenciales comprometidas
Según IBM, las credenciales comprometidas fueron la violación de datos más común en 2022. Es un ataque cibernético en que los piratas informáticos roban credenciales para acceder a cuentas en línea con el objetivo de obtener información personal y financiera.
Como la mayoría de la gente usa la misma contraseña para diferentes cuentas, se les hace más fácil acceder. Por lo general, usan una herramienta de automatización para iniciar sesión en diferentes sitios, servicios y cuentas de aplicaciones, probando combinaciones de nombre de usuario y contraseña.
Una vez que tienen las credenciales de sus víctimas, obtienen el poder de bloquear sus cuentas, robar y modificar información, realizar compras, enviar mensajes en su nombre, cerrar sus cuentas y más.
Lo peor es que todas las empresas están expuestas a estos eventos si no utilizan las herramientas adecuadas. En 2016, Uber sufrió una filtración de datos que expuso los nombres, números de teléfono y direcciones de correo electrónico de 57 millones de sus usuarios y conductores. Se tardó un año en revelar la filtración.
Phishing y Smishing
Todo el mundo sabe lo que es el smishing y probablemente tú mismo has recibido un SMS de smishing o un correo electrónico de phishing alguna vez.
El problema es que los piratas informáticos se han sofisticado y es casi imposible diferenciar los mensajes ilícitos de los legítimos.
Si crees que el smishing es solo problema de tus clientes, déjame decirte que estás equivocado. Es un fraude que tiene consecuencias para los consumidores, el remitente y el proveedor.
Técnicamente, no siempre se considera responsabilidad de la empresa. Pero podrías sufrir altos costos si tus clientes les dan toda su información personal a los piratas informáticos.
Toma este ejemplo que hemos mencionado antes: el banco OCBC en Singapur tuvo que pagar $13,7 millones a 790 víctimas de smishing. Además, debes considerar el daño a la reputación, la pérdida de clientes y otros costos potenciales.
Existen algunas prácticas recomendadas para evitarlo. En primer lugar, es fundamental educar a tus empleados y clientes sobre cómo reconocer y denunciar un SMS de smishing o un correo electrónico de phishing.
En segundo lugar, es útil enviar SMS fraudulentos simulados a tus audiencias para medir el resultado de su capacitación y conciencia sobre la seguridad.
Por último, pero no menos importante: la implementación de controles de dirección IP y 2FA en tus aplicaciones puede dificultar el acceso de los piratas informáticos a tus sistemas.
Errores de configuración en la nube
Las configuraciones incorrectas de la nube son errores o brechas que ponen en riesgo información valiosa.
Las configuraciones incorrectas más comunes están relacionadas con el acceso al almacenamiento, acceso demasiado permisivo, puertos entrantes y salientes sin restricciones y acceso ilimitado a puertos que no son HTTP/HTTPS, entre otros.
Según IBM, el 45% de la filtración de datos se produjo por esta vía. Ahora bien, aquellos en la nube pública cuestan considerablemente más que las infracciones en organizaciones con un modelo de nube híbrida.
Si bien el número es alto, es fundamental considerar que el 43% de las organizaciones que sufrieron errores de configuración de la nube no habían comenzado o estaban en las primeras etapas de aplicación de prácticas para protegerse de esto.
Mientras tanto, el 34% se encontraba en la etapa intermedia y aplicaba muchas estrategias de seguridad. Y sólo el 23% estaba en la etapa madura, empleando prácticas de seguridad en todos los dominios.
Vulnerabilidad de software de terceros
Este tipo de violación de datos ocurre cuando los piratas informáticos atacan una organización a través de partes externas en su cadena de suministro, como proveedores, socios, proveedores de servicios o vendedores. Lo hacen porque cada una de ellas tiene acceso a información crucial: procesos internos, datos de clientes, sistemas y más.
Según Veracode, siete de cada diez aplicaciones tienen fallas en sus bibliotecas de código abierto en los escaneos iniciales.
Por eso, es importante elegir un socio tecnológico enfocado en comunicación segura y privacidad de datos que cuente con las certificaciones de seguridad adecuadas, como ISO 27001, la cual evalúa los procesos de seguridad de la información de una empresa.
También hay otros fraudes comunes que se centran especialmente en los SMS, como el fraude de intercambio de SIM, ingeniería social, apropiación de cuenta (ATO), vishing, pretexting, difusión de contraseñas y relleno de credenciales.
Tips para detener la violación de datos
Es crucial implementar un plan para evaluar y abordar los riesgos comunes. Veamos algunos consejos.
Evaluar periódicamente posibles amenazas
Como mencionamos antes, la comunicación móvil es crucial para mejorar la experiencia del cliente y la lealtad a la marca. Pero a medida que surgen canales nuevos, las empresas enfrentan diariamente riesgos de fraude desconocidos.
Los que afectan a PBX y VoIP son importantes pero no los únicos. Lo mejor sería actuar para prevenir ransomware, malware y muchos otros. En este sentido, las evaluaciones periódicas sobre estas posibles amenazas te brindarán a ti y a tu equipo una visión general y clara de los riesgos que enfrentan al usar una plataforma de comunicación.
Elige un proveedor seguro como tu socio
Tus clientes quieren que estés disponible para ellos a través de múltiples canales de comunicación: WhatsApp, SMS, mensajes de voz, RCS y más. Las plataformas de comunicaciones en la nube lo permiten. Si bien los resultados son excelentes, es importante no comprometer la seguridad.
Elige un socio tecnológico comprometido con la seguridad móvil y la protección de datos. Debe ofrecer evidencia de certificaciones de seguridad y cumplimiento de regulaciones globales y específicas.
Invertir en un CPaaS con detección de fraude impulsada por IA también es crucial para ahorrar costos de filtración de datos. Según IBM, el ahorro de costos promedio asociado con la automatización y la inteligencia artificial de seguridad completamente implementada fue de USD 3,05 millones en 2022.
Políticas de control de acceso
Lo creas o no, una de las razones más comunes por las que se comprometen las credenciales son las contraseñas débiles. Según un informe de NordPass, las personas suelen usar la misma combinación para diferentes cuentas.
Ahora bien, con los controles de acceso adecuados puedes reducir significativamente el fraude. Para empezar es fundamental animar a tu equipo y empleados a actualizarlas periódicamente, asegurando que sean complejas y únicas.
Además, hay herramientas como LastPass que te ayudan a establecer contraseñas seguras para diferentes cuentas, sin necesidad de teclearlas cada vez que tienes que iniciar sesión.
Por otra parte, habilitar 2FA para las cuentas de tus empleados y clientes hará que los piratas informáticos trabajen más. Necesitarán otra contraseña de un solo uso para acceder a la cuenta, incluso teniendo tu nombre de usuario y contraseña.
Al elegir un proveedor de comunicaciones seguras, debes considerar si ofrece herramientas de control de acceso de alto nivel, como autenticación de dos factores, control de acceso IP y enmascaramiento de contenido.
Capacita a tus clientes y empleados
Tus clientes y empleados también son el objetivo de los piratas informáticos. Ellos son conscientes de eso y quieren que los protejas. Para mantener su lealtad y confianza, debes educarlos y estar disponible para que respondan y resuelvan sus inquietudes.
Mediante el uso de una plataforma CPaaS con chatbots de IA automatizados, puedes tener conversaciones en tiempo real, cada vez que tengan preguntas sobre un posible fraude. Además, tendrás la oportunidad de mejorar el tiempo de respuesta en todos tus canales de comunicación para mantener informados a tus clientes y empleados cuando ocurra una crisis.
Seguimiento de datos
La visibilidad de extremo a extremo es esencial para prevenir y responder rápidamente al fraude y la filtración de datos. Con las herramientas de informes y análisis implementadas, sabrás si hay actividad o comportamiento inusual, para actuar antes de que empeore.
Caso de uso: Comunicación segura en el cuidado de la salud
La mala comunicación afecta la satisfacción del paciente y la calidad de la atención. Según nuestro reciente informe de atención médica, el 80% de los pacientes desean usar sus teléfonos inteligentes para interactuar con los proveedores de cuidados médicos.
Por esto, la mayoría de las organizaciones relacionadas con estas actividades están adoptando la transformación digital mediante el uso de SMS para enviar recordatorios de citas o automatizar los procesos del personal.
Pero la industria de la salud tiene leyes federales, como HIPAA, donde contemplan qué datos se deben conservar y cómo protegerlos. Para mejorar sus comunicaciones y evitar multas costosas, deben elegir una plataforma de comunicación segura para el cuidado de la salud teniendo en cuenta todas las leyes y regulaciones.
Es fundamental centrarse en la comunicación segura en los servicios de salud, especialmente si tenemos en cuenta que es el área con más brechas de datos. De 2017 a 2019, el 93% de este tipo de instituciones sufrieron una violación de datos. Y el 57% afirmó que sucedió en cinco ocasiones.
Caso de uso #2: comunicación segura en el gobierno
La transformación digital también ha llegado a los gobiernos. Los ciudadanos prefieren nuevas formas de comunicación y las agencias gubernamentales deben comenzar a interactuar con ellos en los canales que estos prefieran.
Pero como sucede en la industria de la salud, los gobiernos también manejan datos sensibles e importantes que deben mantenerse seguros y privados. Solo una violación de datos puede generar interrupción del servicio, pérdida de información y daño a la reputación.
Por esto, deben elegir una plataforma de comunicación encriptada con controles de privacidad para proteger sus datos y reducir los riesgos.
La plataforma de comunicación adecuada para los gobiernos debería usar HTTP o FTPS para la seguridad del transporte de datos. Tener funciones de seguridad, como 2FA y centros de control para brindar el acceso correcto a las personas adecuadas.
¿Cómo se pueden prevenir las brechas de seguridad?
Estar equipado con las herramientas de comunicación adecuadas es crucial para evitar la violación de datos. No debes conformarte con las características de tu producto de comunicación móvil existente. Necesitas una plataforma de comunicación empresarial segura, con un enfoque particular en la seguridad y el cumplimiento que pueda protegerte a ti y a tu audiencia.
Implementar medidas de seguridad proactivas a lo largo de todos los puntos del viaje del cliente garantiza que tanto tú como los titulares de Tus cuentas estén protegidos. Toma en consideración que la protección proactiva contra todas las formas de fraude, desde un punto de vista integral, es especialmente crítica con el aumento de los ataques multipunto que explotan simultáneamente a los creadores, proveedores, organizadores y usuarios finales del mensaje.
Soprano CPaaS es una plataforma de comunicación segura que tiene un conjunto adecuado de funciones de seguridad para protegerte en múltiples puntos de la cadena de comunicación.
Nuestra conectividad confiable, gracias a nuestras asociaciones con MNO, nos convierte en la mejor opción de la industria para las organizaciones que necesitan mayor nivel de seguridad en las comunicaciones.
Además, el equipo de expertos de Soprano puede hacerte recomendaciones personalizadas para que elijas el paquete de seguridad que te ofrecerá la mejor protección.
Soprano Connect está diseñado para organizaciones orientadas a la seguridad y el cumplimiento. Tenemos experiencia en implementaciones complicadas y nuestros socios operadores garantizan alta capacidad de entrega en todo el mundo.