Vishing: una amenaza creciente contra las empresas
Es muy probable que ya hayas escuchado el término phishing por ahí. Este es el nombre que le damos a la técnica delictiva de engañar a un internauta con un mensaje falso, generalmente con la intención de incitar a la víctima a que baje un archivo maligno o informe datos sigilosos. Sin embargo, no todos conocen el famoso vishing, una fusión de los términos en inglés “voice” (voz) y “phishing” que designa un fraude efectuado por medio de llamadas telefónicas.
Menos común que el “phishing tradicional”, la comunidad de seguridad de la información siempre ha visto el vishing como una táctica más enfocada en dañar al usuario final. Sin embargo, a lo largo de los últimos años, se ha podido observar un aumento en el uso de esta estafa en campañas contra ambientes empresariales, generalmente con el objetivo de robar propiedades intelectuales o robar dinero por medio de supuestos cobros al departamento financiero. Incluso, el Centro de Coordinación de Seguridad Cibernética de Salud de EE. UU. (HC3) ha emitido un alerta sobre el tema.
“El phishing de voz, también conocido como vishing, es la práctica de obtener información o incitar a la realización de acciones por medio del teléfono. A lo largo de 2021, el HC3 notó un aumento acentuado de esos ataques en todos los sectores. Las técnicas de ingeniería social siguen siendo exitosas en proporcionar acceso inicial a organizaciones y el sector de la salud debe permanecer alerta con respecto a ese escenario de amenazas en evolución, dando énfasis a la capacitación con vistas a la toma de conciencia por parte del usuario”, enfatiza el órgano.
Hay un porqué
Existen algunos factores que explican el aumento de ataques de vishing contra empresas y el principal es la popularización del trabajo remoto. Con el equipo de colaboradores disperso, muchas veces un empleado usa el propio smartphone y número de teléfono para recibir llamadas sobre sus actividades profesionales. En general, el ser humano está más susceptible a caer en la labia de un delincuente que emplea ingeniería social durante una conversación que al leer algo escrito en la pantalla de la computadora. A fin de cuentas, cuando conversamos, tenemos menos tiempo para pensar y necesitamos responder rápido.
Como ya lo hemos mencionado, las motivaciones que animan al estafador que efectúa un vishing pueden ser diversas. Este tipo de ataque se puede usar para entregar malwares, robar datos, realizar estafas financieras o simplemente causar disrupciones en las operaciones de la empresa. Si se combina con el comprometimiento del e-mail corporativo (business e-mail compromise o BEC) —estafa en la que el delincuente se hace pasar por el CEO u otro ejecutivo de la empresa—, el vishing también es un arma poderosa para extorsionar a colaboradores, especialmente a los de bajo nivel jerárquico.
A propósito, hablando de combinaciones con otras tácticas maliciosas, es importante mencionar que el vishing puede ocurrir por dos vías. Lo más común es que la víctima reciba la llamada del malhechor. Sin embargo, la víctima también se la puede incentivar —por medio de phishing convencional— a llamar por cuenta propia a los delincuentes. Generalmente, los estafadores encuentran alguna forma de convencer al blanco de su ataque de que necesita entrar en contacto con una supuesta central de contacto, soporte técnico de algún software usado en el ambiente corporativo y así sucesivamente.
¿Cómo protegerse?
Afortunadamente, no es muy difícil identificar un ataque de vishing, visto que sus características son muy parecidas a las del phishing tradicional. Debes estar alerta si notas que, durante una llamada telefónica, el interlocutor deja trasparecer un sentido de urgencia y trata de que te apresures para “resolver un problema urgente” o te solicita demasiada información. Además, recuerda siempre que bancos e instituciones gubernamentales, por ejemplo, jamás entran en contacto solicitando contraseñas o datos personales. Por lo tanto, redobla tu atención contra supuestos portavoces de esas empresas.