Guía de seguridad: Smishing & Vishing

7 enero, 2020
5 Compartido 886 Visualizaciones

Columna de Alan Abreu, suscriptor líder de Cyber de Hiscox

Crece el número y la sofisticación de los ciberataques que enmarcamos dentro de la categoría ingeniera social, es decir, aquellos que tratarán de embaucar a un usuario, o empleado en el caso del mundo empresarial, para que realice una acción que abra la puerta de su dispositivo o compañía al ciberdelincuente. Los estafadores de toda la vida pero en su versión 5.0.

El canal más habitual para desarrollar este tipo de ataques suele ser el correo electrónico, pero existen otras dos variables, que por salirse de lo común, pueden tener mayor éxito ya que nuestro nivel de alerta será menor. Nos referimos al phishing de voz (vishing) y phishing de SMS (smishing).

Smishing

El SMS sigue vigente, y aunque su uso ha ido a menos, es un canal que todavía utilizan sectores como organismos públicos o banca para entrar en contacto con usuarios o clientes. El smishing utilizará esta tecnología para hacer llegar un mensaje de texto a la víctima con la intención de que haga clic en un enlace malicioso o realice una tarea sin que sea consciente de su peligro y consecuencias.

¿Qué podemos tener en cuenta para detectar que estamos ante un ataque de smishing?

  • Hay que ser cautos y escépticos ante cualquier mensaje de texto no solicitado o inesperado
  • Pensemos que si somos cliente de un servicio, lo habitual es que se dirijan a nosotros por nuestro nombre, así que precaución con aquellos mensajes que utilicen saludos formales genéricos como «Señor» o «Señora»
  • Si el mensaje contiene errores gramaticales u ortográficos es poco probable que provenga de una fuente legítima
  • Alerta máxima e inmediata ante mensajes que nos pidan hacer clic en un enlace sospechoso
  • Si dudamos de la veracidad, podemos comparar el mensaje nuevo con otro recibido en el pasado por la misma fuente para comparar estilo, formato, etc.

Además, debemos ser conscientes de que los atacantes disponen de los conocimientos necesarios para suplantar un número telefónico, pudiendo así aparentar que el mensaje ha sido recibido desde una fuente conocida por nosotros.

Por último, actualiza el software del dispositivo siempre que sea posible. Reducirás el riesgo de aparición de malware que infecte el terminal. Y, recuerda, aplica el sentido común: la mayoría de las organizaciones o empresas que entraran en contacto con nosotros no nos pedirá que le revelemos ningún tipo de información personal o confidencial a través de un SMS.

Vishing

Estamos ante un ataque de phishing de voz cuando los delincuentes intentan persuadir a las víctimas para conseguir una información o completar una tarea a través de una llamada telefónica o mensaje de voz.

Estas son algunas técnicas que los atacantes pueden emplear:

  • Familiaridad. Piensa que internet está lleno de datos personales de cada uno de nosotros y que los atacantes podrían haber investigado de antemano. Pueden saber nuestro nombre, correo electrónico, dirección, hobbies, restaurante en el que hemos comido, etc. Esto permite al delincuente personalizar la conversación para convencernos de que se trata de una llamada real.
  • Urgencia. Los atacantes a menudo recrean una sensación de premura o miedo provocando que actuemos rápidamente y sin pensar.
  • Suplantación de número. Los delincuentes pueden modificar el número de teléfono para aparentar estar llamando desde un contacto conocido que nos condicionará a la hora de gestionar la llamada.
  • Ruido de fondo. Es muy sencillo, a partir de ciertos efectos, poder fingir fácilmente sonidos que nos darán la impresión de estar ante una llamada realizada desde una zona concurrida o un entorno de oficina, por ejemplo.
  • Manteniendo la línea. Técnicamente los atacantes pueden hacerse con nuestra línea de teléfono, lo que significa que si finalizamos la llamada y realizamos un nuevo marcado volveremos a ser conectados con los delincuentes.
  • Clonación de voz. El machine learning actual permite recrear tonos de voz y acentos con sorprendente precisión. Si creemos que alguien conocido está siendo suplantado, debemos intentar ponernos en contacto con él o ella a través de otro canal.

Además de estas pistas que ya conocemos, como método de prevención aplicaremos de nuevo el sentido común intentando evitar dar información personal o confidencial por teléfono.

Ante esta ingeniera social, y para cualquier otro asunto relacionado con la ciberseguridad en  el entorno laboral, si eres un directivo o gerente de una compañía, pon a disposición de los empleados un canal de comunicación a través del que puedan notificar la existencia de un texto sospechoso o una llamada telefónica recibida en un dispositivo de la empresa.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Por una «Vuelta al Cole» más responsable y sin ciberacoso
Sin categoría
10 compartido1,196 visualizaciones1
Sin categoría
10 compartido1,196 visualizaciones1

Por una «Vuelta al Cole» más responsable y sin ciberacoso

Alicia Burrueco - 18 septiembre, 2019

ESET recopila una serie de recomendaciones para los padres sobre el uso de dispositivos conectados en el regreso a las…

Alerta: campaña de phishing contra el BBVA
APTS
18 compartido2,789 visualizaciones
APTS
18 compartido2,789 visualizaciones

Alerta: campaña de phishing contra el BBVA

Mónica Gallego - 18 enero, 2019

La Oficina de Seguridad del Internauta ha detectado una campaña de correos electrónicos fraudulentos que suplantan al BBVA, su objetivo es dirigir…

Más de un tercio de las profesionales TI descarta trabajar en el sector tecnológico ante la falta de diversidad de género
Actualidad
28 compartido1,293 visualizaciones
Actualidad
28 compartido1,293 visualizaciones

Más de un tercio de las profesionales TI descarta trabajar en el sector tecnológico ante la falta de diversidad de género

Vicente Ramírez - 22 marzo, 2019

El último estudio de Kaspersky Lab, en el que participaron 5.000 profesionales TI de toda Europa, destaca las causas del…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.