Los hackers siempre están buscando formas nuevas, creativas y persuasivas para engañar a las personas. Y su nuevo modus operandi te llamará la atención, pues trata nada más y nada menos que de ataques de vishing. Por medio de esta técnica, los delincuentes llaman por teléfono a las víctimas y mediante de ciertas tácticas las engañan para que les proporcionen datos personales. 

Los ciberdelincuentes ahora se esfuerzan para que sus ataques de vishing se vean más legítimos

En un esfuerzo para que los ataques de vishing se vean todavía más legítimos, los ciberdelincuentes están usando algo que los investigadores de ciberseguridad de Agari han descrito como ataques de vishing «híbridos». Este nuevo tipo de ataque se diferencia del vishing tradicional porque usa múltiples etapas diferentes. Esto es lo que hacen:

  • Lo primero que hacen es contactar a la víctima con un señuelo de correo electrónico de phishing, uno que contiene un número de teléfono al que se les pide que llamen. 
  • Dichos correos electrónicos suelen asustar al usuario para que este llame al número. A veces suelen afirmar que están a punto de ser bloqueados o que realizaron una transacción sin su permiso.
  • Entonces, ¿qué ocurre cuando la víctima llama? Pues esta termina conectando con un estafador y este intentará extraerle información confidencial con el pretexto de ayudar a la víctima a rectificar el problema. A diferencia de otros correos electrónicos de phishing, estos mensajes no contienen archivos adjuntos ni enlaces maliciosos. Por tanto, pueden eludir los filtros de correo no deseado y las protecciones de antivirus.

Lo que dicen los investigadores de ciberseguridad de Agari sobre los ataques

hacker vishing
Vía Unsplash

De acuerdo a una investigación de Agari, ha habido un 625% de ataques de vishing híbrido durante el último año:

«Estos correos electrónicos son particularmente hábiles para pasar los controles de ataque porque carecen de los enlaces o archivos adjuntos típicos que marcan los equipos de seguridad y, en su lugar, inician ataques a los clientes a través de números de teléfono. Esto no solo evade a los equipos de seguridad, sino que también toma desprevenidos a los usuarios ocupados”.

Estos ataques también explotan el aumento del trabajo híbrido, pues los estafadores son conscientes de que es más probable que las personas trabajen de forma remota.

Según John Wilson, miembro principal responsable de la investigación de amenazas en Agari: «Con el aumento de empleados que trabajan desde casa, los actores de amenazas saben que muchos de sus objetivos ya no trabajan cerca de un experto interno dentro de un entorno de oficina al que puedan acudir para ayudar a validar el correo electrónico. Y aunque la mayoría de las estafas promueven un sentido de urgencia, los empleados a menudo actuarán antes de pensarlo dos veces, para que puedan trabajar productivamente en sus tareas diarias”.

Este tipo de ataques seguirán siendo una amenaza

Los investigadores advierten que el vishing y otros ataques de phishing basados ​​en correo electrónico seguirán siendo un problema. Sin embargo, no todo es malo, pues hay algo de esperanza. Decimos esto porque los miembros de Agari dicen que las empresas todavía pueden tomar medidas para ayudar a prevenir los ataques.

Wilson al respecto señala: «Las capacidades para detectar y eliminar automáticamente las amenazas de todas las bandejas de entrada de los empleados infectados antes de que los usuarios puedan interactuar con ellos también juegan un papel fundamental, así como un régimen de capacitación de seguridad adecuado, para preparar a los usuarios para estar atentos a tales amenazas».

Los cibercriminales seguirán mejorando sus técnicas y volverse más peligrosos. Y es por eso que nuestras estrategias de protección y seguridad también deben evolucionar.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *