Smishing y vishing, la nueva tendencia que atrae a los hackers
En el universo cada vez más complejo de la ciberdelincuencia, los ladrones suelen correr más que la policía. Y la cosa no suele acabar como en las películas americanas, en las que siempre ganan los buenos. Aquí, en la realidad «verdadera» del mundo cibernético, los piratas saben más que el diablo y la mayor parte de las veces encuentran la manera de escapar a las verificaciones y los controles.
Entre los hallazgos de la piratería informática hay dos variantes insidiosas sobre el tema del phishing: vishing (phishing de voz) y smishing (ataques a través de SMS). Según el último informe trimestral de Threat Trends Intelligence de Agari y PhishLabs:
- los ataques de vishing aumentaron casi un 550 % entre el primer trimestre de 2021 y el primer trimestre de 2022;
- los de smishing lo hicieron en más del 700 % en los dos primeros trimestres de 2021. Por si fuera poco, según una investigación de EarthWeb, este año durante una sola semana del mes de abril los delincuentes enviaron 2 649 564 381 mensajes de smishing.
Las razones de estas nuevas estrategias son diferentes: en primer lugar, los filtros de spam de correo electrónico, que están muy extendidos, y que, junto con una mayor y más generalizada conciencia de los usuarios, cada vez más recelosos y atentos a la hora de hacer clic ante un enlace sospechoso, están fortaleciendo la barrera capaz de bloquear los mensajes de phishing.
A todo esto se añade el hecho de que, a diferencia de los correos electrónicos, los mensajes de texto tienen una tasa de apertura muy alta y la mayoría de ellos se abren en 15 minutos. Además, las compañías telefónicas aún no han implementado métodos de filtrado de mensajes adecuados al alto nivel de riesgo. Por último, hay que tener en cuenta la gran facilidad con la que un ciberdelincuente consigue hoy hacerse con contactos telefónicos.
Una vez resueltas estas fáciles tareas, al estafador solo le queda la parte más divertida: inventar una historia que sirva como trampa para el destinatario del mensaje. Puede tratarse de un problema con la cuenta bancaria, la tarjeta de crédito, un premio, un viaje o una lotería, o incluso de una oferta de asesoramiento gratuito. En definitiva, cualquier cosa que pueda llevar de manera convincente al desafortunado a hacer clic en un enlace malicioso y a entregar todos sus datos a los delincuentes.
Todos los caminos conducen al mismo punto
La Unidad de Delitos Informáticos de la Policía lleva unos meses informando de que hay que prestar mucha atención a una campaña de smishing que está afectando a los titulares de cuentas corrientes de diferentes entidades bancarias. La estafa comienza con un SMS, aparentemente proveniente del «sistema loSicuro». En el mensaje, el desafortunado usuario es advertido de un movimiento anormal en su cuenta bancaria y se le pide que haga clic rápidamente en el enlace para verificar la operación. No hace falta decir que el enlace redirige a un sitio clon del banco. Para acceder, tendrá que introducir sus credenciales de banca en casa y su número de teléfono, proporcionando así a los ciberdelincuentes todo lo que necesitan.
Los temas utilizados son de lo más imaginativo. En Estados Unidos, en 2020, casi 60 millones de estadounidenses perdieron dinero por un total de alrededor de 30 000 millones de dólares debido a estafas telefónicas y SMS. Los delincuentes ofrecían kits de prueba gratuitos para la prueba de la COVID, o ayuda gratuita para cumplimentar documentos, como la solicitud del subsidio de desempleo, o se hacían pasar por organizaciones benéficas que recaudaban fondos para ayudar a las personas afectadas por la pandemia.
En resumen, las historias pueden ser de lo más variadas, pero son caminos que llevan a todo el mundo al mismo punto: la entrega de los datos de los usuarios o la instalación de un programa malicioso en el dispositivo.
Si el smishing es peligroso, el vishing es aún peor
El vishing es todavía más sutil porque al otro lado del auricular hay una voz que parece muy convincente y que llama desde un número conocido. Un número «familiar», que puede ser el del banco, la compañía de seguros o incluso el servicio de salud.
Con la tecnología disponible hoy en día, por ejemplo, la VoIP, los delincuentes pueden crear varios números con prefijos locales (a los que las personas son mucho más propensas a responder) o que parezcan casi idénticos a los de las empresas u organizaciones existentes.
Estos números se pueden eliminar con la misma facilidad con la que se crean, por lo que rastrear al estafador se convierte en una tarea muy ardua. La suplantación de llamadas (el uso de información falsa sobre el identificador de llamadas para enmascarar la verdadera fuente de una llamada entrante) también es una operación que los estafadores utilizan regularmente para esconderse detrás de un identificador de llamadas aparentemente real y legítimo.
Por ejemplo, los delincuentes que quieren robar una cuenta bancaria o datos de acceso a menudo utilizan la suplantación de llamadas para fingir que están llamando desde un banco local o una compañía de tarjetas de crédito conocida. Es mucho más probable que la víctima responda a una llamada si la identificación dice que se trata de su banco o centro de salud en lugar de un número desconocido.
Después de responder, el desafortunado interlocutor, convencido de hablar con un operador de su banco o compañía de seguros, o con su jefe, no tendrá problemas para revelar sus datos más personales o realizar operaciones muy delicadas.
Es más, las crónicas de los últimos años han registrado historias de voces reproducidas con inteligencia artificial y que, haciéndose pasar por directores ejecutivos de empresas, han pedido a sus subordinados grandes sumas de dinero. Por supuesto, el dinero, que era mucho, acabó en la cuenta de los bandidos.
Invertir en educación y concienciación ya no es una opción
Sin duda, parece una guerra difícil de ganar. Los piratas van cada vez más por delante de un usuario medio y esta percepción los hace sentirse todavía más invencibles.
Pero es una realidad a la que hay que enfrentarse obligatoriamente y que requerirá en los próximos años cada vez más inversiones de energía, sobre todo en términos de formación y de conocimiento.
Lo cierto es que ya no se puede prescindir, sobre todo en el ámbito empresarial, de una formación actualizada y capaz de mantenerse al día con las rápidas evoluciones de la piratería. Esta última no parece querer dejar de inventar nuevas formas de estafar a empresas, administraciones, empresas y particulares.
Lo único que puede detenerla es enfrentarse a usuarios preparados y capaces de responder a los ataques con la misma astucia. Teniendo en cuenta que siempre es el factor humano el que permite a los piratas salirse con la suya, la preparación, la concienciación y la postura digital correcta de cada usuario representan la barrera más efectiva para poner freno al tsunami del riesgo cibernético que parece imparable. Pero no lo es.
Más información sobre los itinerarios formativos de Cyber Guru