Qu¨¦ es el Vishing y por qu¨¦ el FBI alerta sobre ¨¦l

La implantaci¨®n masiva del teletrabajo ha llevado al incremento del uso de las VPN, las Redes Privadas Virtuales, y a la eliminaci¨®n de la verificaci¨®n en persona. En este contexto, los cibercriminales han empezado a complementar sus estafas Phishing usando una nueva t¨¦cnica: realizar llamadas mediante voz sobre el protocolo de Internet (VoIP) a v¨ªctimas en potencia, empleados de los que buscan obtener informaci¨®n sensible hasta conseguir elementos que buscan, como credenciales de acceso corporativas a empresas. A esta t¨¦cnica se le conoce como Vishing.

Vishing o Voice Phishing

¡®Vishing¡¯ b¨¢sicamente consiste en una variante que mezcla el Phishing con una llamada telef¨®nica, en la que el atacante se vale de datos extra¨ªdos de Internet para usarlos en una llamada de voz, y de esta forma buscar lograr que la v¨ªctima sea inducida a revelar datos personales. De hecho, compa?¨ªas como Amazon o Microsoft han registrado casos de este delito de suplantaci¨®n de identidad durante 2019, con usuarios quej¨¢ndose por ejemplo de llamadas supuestamente en nombre del equipo de servicio t¨¦cnico de Windows.

??Quienes usan el Vishing emplean t¨¦cnicas de ingenier¨ªa social, es decir, recopilan informaci¨®n de sus v¨ªctimas a partir de lo que se ha compartido de forma p¨²blica en Internet, por ejemplo, en las redes sociales, para ganarse su confianza. La Oficina de Investigaci¨®n Federal (FBI) y la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) de Estados Unidos han advertido del crecimiento de las campa?as que emplean los ataques de tipo 'vishing' en el marco de la pandemia de coronavirus, como se?ala en su web el investigador de ciberseguridad Brian Krebs.??

El FBI alerta sobre el Vishing

Seg¨²n el informe del FBI, el criminal comienza ¡°utilizando primero n¨²meros no atribuidos de Voz sobre Protocolo de Internet (VoIP) para llamar a los empleados elegidos a sus m¨®viles personales, y m¨¢s tarde empiezan a incorporar n¨²meros falsos de otras oficinas y empleados de la empresa de la que quieren obtener informaci¨®n¡±.

Utilizando t¨¦cnicas de ingenier¨ªa social, e incluso haci¨¦ndose pasar por miembros del servicio de asistencia inform¨¢tica de la empresa v¨ªctima, los atacantes usan ¡°su conocimiento de la informaci¨®n personal identificable del empleado -incluido el nombre, el cargo, la duraci¨®n en la empresa y la direcci¨®n de su domicilio- para ganarse la confianza del empleado objetivo".

En casos reales de Vishing, los cibercriminales convencieron al empleado objetivo de una compa?¨ªa de que se enviar¨ªa un nuevo enlace VPN y le pidieron su login, incluyendo cualquier 2FA [autenticaci¨®n de 2 factores] u OTP [contrase?as de un solo uso]. El criminal guard¨® la informaci¨®n proporcionada por el empleado y la utiliz¨® en tiempo real para acceder a las herramientas corporativas utilizando la cuenta del empleado.

Sonsacando la informaci¨®n

La alerta del FBI se?ala que en algunos casos los empleados desprevenidos aprobaron el aviso 2FA o OTP, ya sea accidentalmente o creyendo que era "el resultado del acceso anterior concedido al imitador del servicio de asistencia". En otros casos, los atacantes fueron capaces de interceptar los c¨®digos de una sola vez apuntando al empleado con el intercambio de SIM, lo que implica que los ingenieros sociales de las empresas de telefon¨ªa m¨®vil les den el control del n¨²mero de tel¨¦fono del objetivo.

Las agencias dijeron que los ladrones usan las credenciales VPN visadas para minar las bases de datos de la compa?¨ªa v¨ªctima para la informaci¨®n personal de sus clientes para aprovechar en otros ataques.

Consejos y medidas para evitar el Vishing

No contestes una llamada de un tel¨¦fono sospechoso

D¨ªa tras d¨ªa nos dan la lata servicios de llamadas autom¨¢ticas -las ¡®robocall¡¯- que intentan vendernos o sacarnos algo. Por ello, antes de descolgar una llamada debes fijarte en la numeraci¨®n que sale en la pantalla del tel¨¦fono. Desconf¨ªa en el acto de llamadas con prefijos internacionales que desconozcas, ya que algunos delincuentes realizan llamadas breves desde este tipo de prefijos para que el usuario no tenga tiempo de responder y la devuelva, algo que supone costes.??

Nunca reveles datos bancarios y/o personales

Seguro que esto os suena, porque es un consejo habitual para evitar una estafa phishing. Puede que te llamen haci¨¦ndose pasar por Microsoft, por una operadora m¨®vil, por tu compa?¨ªa del gas o por tu entidad bancaria, y te pidan datos como contrase?as o la tarjeta que usas. NINGUNA entidad bancaria, compa?¨ªa de software u operadora te va a llamar para pedir datos privados ni por tel¨¦fono ni por email, por lo que cuelga inmediatamente si has descolgado.

Pregunta qui¨¦n es la persona que te llama

Es muy f¨¢cil llamar a alguien y hacerse pasar por un servicio de atenci¨®n al cliente de un compa?¨ªa conocida de la que uses su servicio. Si no te f¨ªas, preg¨²ntale por datos de la empresa que deber¨ªa conocer. Pregunta tambi¨¦n el n¨²mero de tel¨¦fono desde el que llama, y el nombre de quien lo hace. Luego cuelga si sigues sin fiarte y llama al servicio de atenci¨®n al cliente de esa compa?¨ªa que te ha llamado, para verificar que se trata de uno de sus trabajadores o no.