Vishing y phishing: estafas mediante suplantación de identidad

Los correos electrónicos asociados a estafas, ahora tienen en el vishing su equivalente en mensajes de voz. Estos ataques de ciberseguridad se caracterizan por un tono urgente, ya que en el vishing se te invita a tomar una acción con rapidez.

El vishing, el phishing y sus variantes, se valen del engaño. Te compartimos información sobre qué son, sus características y consejos de seguridad para prevenir el vishing y el phishing.

Vishing y phishing ¿qué son y en qué se diferencian?

Los ataques por suplantación de identidad utilizando phishing aumentaron en     un 510% en los dos primeros meses de 2020 (Webroot, 2021, p. 21). Los ciberdelincuentes aprovecharon el incremento en el tráfico de internet y el mayor uso de aplicaciones de streaming.

En el caso del vishing, la ciberdelincuencia también se aprovecha del aumento en el uso de mensajería de voz.

Estos ataques se realizan utilizando distintas variantes que comparten factores comunes:

• Robo de identidad.
• Masificación de la comunicación.
• Fraude.

Veamos ahora en qué se diferencian estos tipos de ataques, comenzando por el más antiguo:

Phishing: el rey de las ciberestafas

Phishing viene de la palabra inglesa fishing (pescar). La escritura con “ph” está ligada a la costumbre de los hackers de sustituir la “f”. Es uno de los métodos más utilizados por los delincuentes cibernéticos para obtener información confidencial de forma fraudulenta:

• Datos personales.
• Números de cuentas.
• Datos y códigos de seguridad de tarjetas de crédito.
• Contraseñas.
• Otras credenciales de acceso.

La mayor cantidad del phishing se lleva a cabo a través del correo electrónico. Enlaces web y programas de software malicioso (malware), son otros medios para propagar estas amenazas.

Vishing: pescando víctimas a través de mensajes de voz

Es una modalidad de fraude que utiliza técnicas de ingeniería social para engañarte y convencerte de realizar una acción. Los medios utilizados en el vishing son las llamadas telefónicas y los mensajes de voz (López, 2021).

El término vishing deriva de las palabras voice y phishing. Son ataques de phishing que se realizan utilizando voz humana o robótica.

Inicio y evolución de los ciberataques por robo de identidad

A lo largo de los siglos ha existido el engaño y la estafa. Con la masificación de internet y el correo electrónico, aumentó en miles de millones el universo de posibles víctimas.

¿Cómo es el modus operandi actual?

Luego de analizar más de 905 millones de correos electrónicos, durante los primeros seis meses de 2021, los investigadores de seguridad de Avanan reportaron (Fuchs, 2021):

• Los sectores que tienen más datos sensibles son los que corren más riesgo: TI, salud y manufactura.
• La recolección de credenciales (nombre de usuario, contraseña) representa el 54% de todos los ataques. Respecto a 2019, este problema aumentó en casi el 15%.
• La táctica más utilizada es el uso de caracteres no estándar, los cuáles son incluidos en el 50,6% de los enlaces fraudulentos.
• Los delitos contra la seguridad de la información mediante suplantación de identidad y recolección de credenciales siguen siendo los principales vectores de phishing.

Apuntan los ataques hacia cargos empresariales

Otro método es el llamado fraude BEC (Business Email Compromise), en el cual se engaña a un empleado con acceso a las finanzas de la compañía.

Puede involucrar un gerente, un director financiero o incluso, un empleado de menor nivel. El objetivo es que se realice una transferencia bancaria motivada por un falso fin empresarial.

La versión de la estafa BEC conocida como “Fraude del CEO” es una de las más extendidas. En este caso, los crackers acceden a la red corporativa y examinan información de la empresa. También se familiarizan con las acciones que realiza su presidente, director (CEO) u otros ejecutivos.

Copiando el estilo de expresión que utiliza en sus comunicaciones por correo electrónico crean mensajes similares. Luego aprovechan el momento oportuno para suplantar su identidad. Esto lo logran enviando un correo electrónico en donde solicitan una transferencia a la cuenta de un proveedor o cliente.

Aunque estas comunicaciones parecen legítimas, en la realidad las cuentas pertenecen a la organización delictiva.

Avanan indica en su informe “1H 2021 Global Phish Cyber Attack Report” que los ataques de phishing ahora se apuntan hacia ejecutivos de menor nivel (Fuchs, 2021). El 51,9% de los correos electrónicos con suplantación de identidad intentaron pasarse por mensajes de personal no ejecutivo de la organización.

El fraude por correo electrónico es la mayor amenaza

El Internet Crime Complaint Center (IC3), del FBI, reporta en su informe anual Internet Crime Report que en 2020 las pérdidas totales por ciberataques fueron de 4.200 millones de dólares (IC3-FBI, 2021).

Los fraudes tipo BEC/EAC (compromiso de cuentas de correo-e corporativas) generaron pérdidas de más de 1.800 millones de dólares. Esto representa el 44% de las pérdidas declaradas en 2020, siendo 64 veces más relevantes que el ransomware.

De los fraudes mediante técnicas de phishing que inicialmente realizaban los crackers a clientes de AOL a la actualidad, han variado las artimañas. Ahora tenemos que protegernos del SMiShing, el pharming, el hijacking, entre un sinfín de técnicas que se utilizan para realizar delitos informáticos.

Estrategias de defensa contra el vishing y el phishing

No existe una única solución, debido a la gran variedad de los ataques. También hay que considerar que estamos utilizando con más frecuencia las aplicaciones de voz, por donde se distribuyen mensajes con vishing.

Pero sí hay dos grandes recomendaciones que te compartimos:

Mantén buenos hábitos de navegación

• Nunca respondas un e-mail, hagas clic en un enlace o suministres información delicada por teléfono.
• Verifica la URL escribiéndola en la barra del navegador.
• En el caso de enlaces acortados, pasa el cursor del ratón por encima para verificar la dirección de destino.

• No abras archivos adjuntos, los cuales, por lo general, llevan extensiones inusuales.
• Si vas a enviar información financiera (número de tarjeta de crédito o de cuentas), fíjate que el sitio cuente con el ícono de seguridad del candado y cuente con el protocolo seguro “https”.
• Para evitar el vishing y el phishing recuerda que las empresas alertan de que no solicitan datos confidenciales, ni por correo-e, ni por teléfono.
  
  

Usa tecnologías de protección

• Es indispensable que cuentes con protección antivirus, antispam, cortafuegos (firewall), detección de spyware.
• Para datos e información corporativa o personal que es sensible, es conveniente utilizar software de encriptación.
• No descuides el uso y actualización de tecnologías de protección, tanto en equipos de computación, como en dispositivos móviles.

Por encima de todo, mantén las buenas costumbres de navegación, ya que algunos sitios web o e-mails pueden eludir el software de seguridad.

La mejor manera de protegerte es no abrir correos-e o hacer clic en enlaces dudosos. En el caso del vishing, no respondas mensajes que te solicitan el suministro de datos alegando “situaciones urgentes”. Complementando con el uso de tecnologías de seguridad, evitarás caer en estafas electrónicas que involucren el robo de tu identidad.

Referencias bibliográficas

Dir&Ge. (2021). Los ataques de phishing aumentaron un 34,4% en 2020 como consecuencia de la pandemia. Recuperado de https://directivosygerentes.es/innovacion/ataques-phishing-aumentaron-34-por-ciento-2020-consecuencia-pandemia

Fuchs, J. (2021). Avanan Releases 1H 2021 Global Phish Cyber Attack Report. Recuperado de https://www.avanan.com/blog/avanan-releases-1h-2021-global-phish-cyber-attack-report

IC3-FBI. (2021). Internet Crime Report 2020. Internet Crime Complaint Center IC3, Federal Bureau of Investigation. Recuperado de https://www.ic3.gov/Media/PDF/AnnualReport/2020_IC3Report.pdf

López, M. (2021). Qué es el vishing: estafa a través de llamadas o mensajes de voz. En: ESET We Live Security. Recuperado de https://www.welivesecurity.com/la-es/2021/05/03/que-es-vishing

Webroot. (2021). The 2021 Webroot BrightCloud® Threat Report: 54% of Phishing Sites use HTTPS to Trick Users. Recuperado de https://community.webroot.com/news-announcements-3/the-2021-webroot-brightcloud-threat-report-54-of-phishing-sites-use-https-to-trick-users-347178