Columna de Alan Abreu, suscriptor líder de Cyber de Hiscox

Crece el número y la sofisticación de los ciberataques que enmarcamos dentro de la categoría ingeniera social, es decir, aquellos que tratarán de embaucar a un usuario, o empleado en el caso del mundo empresarial, para que realice una acción que abra la puerta de su dispositivo o compañía al ciberdelincuente. Los estafadores de toda la vida pero en su versión 5.0.

El canal más habitual para desarrollar este tipo de ataques suele ser el correo electrónico, pero existen otras dos variables, que por salirse de lo común, pueden tener mayor éxito ya que nuestro nivel de alerta será menor. Nos referimos al phishing de voz (vishing) y phishing de SMS (smishing).

Smishing

El SMS sigue vigente, y aunque su uso ha ido a menos, es un canal que todavía utilizan sectores como organismos públicos o banca para entrar en contacto con usuarios o clientes. El smishing utilizará esta tecnología para hacer llegar un mensaje de texto a la víctima con la intención de que haga clic en un enlace malicioso o realice una tarea sin que sea consciente de su peligro y consecuencias.

¿Qué podemos tener en cuenta para detectar que estamos ante un ataque de smishing?

  • Hay que ser cautos y escépticos ante cualquier mensaje de texto no solicitado o inesperado
  • Pensemos que si somos cliente de un servicio, lo habitual es que se dirijan a nosotros por nuestro nombre, así que precaución con aquellos mensajes que utilicen saludos formales genéricos como «Señor» o «Señora»
  • Si el mensaje contiene errores gramaticales u ortográficos es poco probable que provenga de una fuente legítima
  • Alerta máxima e inmediata ante mensajes que nos pidan hacer clic en un enlace sospechoso
  • Si dudamos de la veracidad, podemos comparar el mensaje nuevo con otro recibido en el pasado por la misma fuente para comparar estilo, formato, etc.

Además, debemos ser conscientes de que los atacantes disponen de los conocimientos necesarios para suplantar un número telefónico, pudiendo así aparentar que el mensaje ha sido recibido desde una fuente conocida por nosotros.

Por último, actualiza el software del dispositivo siempre que sea posible. Reducirás el riesgo de aparición de malware que infecte el terminal. Y, recuerda, aplica el sentido común: la mayoría de las organizaciones o empresas que entraran en contacto con nosotros no nos pedirá que le revelemos ningún tipo de información personal o confidencial a través de un SMS.

Vishing

Estamos ante un ataque de phishing de voz cuando los delincuentes intentan persuadir a las víctimas para conseguir una información o completar una tarea a través de una llamada telefónica o mensaje de voz.

Estas son algunas técnicas que los atacantes pueden emplear:

  • Familiaridad. Piensa que internet está lleno de datos personales de cada uno de nosotros y que los atacantes podrían haber investigado de antemano. Pueden saber nuestro nombre, correo electrónico, dirección, hobbies, restaurante en el que hemos comido, etc. Esto permite al delincuente personalizar la conversación para convencernos de que se trata de una llamada real.
  • Urgencia. Los atacantes a menudo recrean una sensación de premura o miedo provocando que actuemos rápidamente y sin pensar.
  • Suplantación de número. Los delincuentes pueden modificar el número de teléfono para aparentar estar llamando desde un contacto conocido que nos condicionará a la hora de gestionar la llamada.
  • Ruido de fondo. Es muy sencillo, a partir de ciertos efectos, poder fingir fácilmente sonidos que nos darán la impresión de estar ante una llamada realizada desde una zona concurrida o un entorno de oficina, por ejemplo.
  • Manteniendo la línea. Técnicamente los atacantes pueden hacerse con nuestra línea de teléfono, lo que significa que si finalizamos la llamada y realizamos un nuevo marcado volveremos a ser conectados con los delincuentes.
  • Clonación de voz. El machine learning actual permite recrear tonos de voz y acentos con sorprendente precisión. Si creemos que alguien conocido está siendo suplantado, debemos intentar ponernos en contacto con él o ella a través de otro canal.

Además de estas pistas que ya conocemos, como método de prevención aplicaremos de nuevo el sentido común intentando evitar dar información personal o confidencial por teléfono.

Ante esta ingeniera social, y para cualquier otro asunto relacionado con la ciberseguridad en  el entorno laboral, si eres un directivo o gerente de una compañía, pon a disposición de los empleados un canal de comunicación a través del que puedan notificar la existencia de un texto sospechoso o una llamada telefónica recibida en un dispositivo de la empresa.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Ir arriba