A través de una sencilla llamada telefónica, los ciberdelincuentes suplantan la identidad de un superior y obtienen datos -como credenciales bancarias- que les facilita el propio trabajador 

 Check Point® Software Technologies Ltd. alerta del aumento de ataques de «vishing» que tienen como objetivo a los trabajadores que se encuentran fuera de sus oficinas. Esta estafa es una combinación de «voz» y «phishing» diseñada para engañar a un empleado a través de una conversación telefónica con el objetivo de que comparta información sensible. Durante la llamada, los ciberdelincuentes suplantan la identidad de un superior de la empresa, a menudo de los departamentos de finanzas, recursos humanos o jurídico, y aprovechan técnicas de ingeniería social para engañar a las víctimas para tener acceso a sus credenciales bancarias, contraseña de distintos servicios, etc. Una vez obtienen estos datos, los atacantes pueden obtener beneficios económicos por el robo de dinero o, incluso, instalar malware en sus equipos. 

La advertencia de los investigadores de Check Point coincide con un aviso conjunto emitido en agosto de 2020 por la Agencia de Seguridad Cibernética y de Infraestructuras (CISA) y el FBI, en el que se advierte de una ola de ataques de «vishing» contra empresas del sector privado en los Estados Unidos. Según el aviso, los ciberdelincuentes suelen llamar a los empleados que trabajan desde casa para recoger credenciales de acceso a las redes corporativas, que luego monetizan vendiendo a otros grupos.

¿Cómo se lleva a cabo un ataque de vishing?

Como consecuencia de la pandemia, el trabajo en remoto se ha convertido en el formato predominante que aleja a los empleados de un entorno corporativo seguro y hace que sean más vulnerables frente a ataques de suplantación de identidad. Para que este tipo de ciberamenaza sea un éxito, los atacantes primero deben realizar una labor de recogida de datos sobre la empresa, así como los perfiles de aquellos empleados de alto rango a los que van a suplantar, a través de plataformas como LinkedIn. 

Tras esto, llaman al centro de soporte de la empresa elegida para el ataque y se presenta como un empleado (aporta el nombre exacto de esa persona) para pedir el número de teléfono de otros dos trabajadores de la misma empresa. Además, con el objetivo de ganarse la confianza del interlocutor, el ciberdelincuente le pide que instale en su equipo el programa TeamViewer (software de gestión en remoto) alegando que quiere ayudarle a buscar la información que necesita, aunque en realidad de esta forma obtiene acceso a la red de datos corporativa.

«Los ataques de vishing son una de las mayores ciberamenazas a las que se enfrentan hoy en día los empleados que trabajan a distancia. En estos ataques, el ciberdelincuente controla los canales de información, dejando a los usuarios sin una fuente fiable a la que acceder, por lo que no pueden distinguir entre lo que es real y lo que es falso”, señala Lotem Finkelsteen, director de Inteligencia de Amenazas en Check Point. “Hemos detectado que cada vez más ciberataques utilizan el vishing como parte de sus cadenas de infección. Por tanto, es fundamental que los empleados que trabajan en remoto sean conscientes de los riesgos de compartir información si no se comprueba la identidad y veracidad del interlocutor», concluye Finkelsteen.