Los correos electrónicos asociados a estafas, ahora tienen en el vishing su equivalente en mensajes de voz. Estos ataques de ciberseguridad se caracterizan por un tono urgente, ya que en el vishing se te invita a tomar una acción con rapidez.
El vishing, el phishing y sus variantes, se valen del engaño. Te compartimos información sobre qué son, sus características y consejos de seguridad para prevenir el vishing y el phishing.
Los ataques por suplantación de identidad utilizando phishing aumentaron en un 510% en los dos primeros meses de 2020 (Webroot, 2021, p. 21). Los ciberdelincuentes aprovecharon el incremento en el tráfico de internet y el mayor uso de aplicaciones de streaming.
En el caso del vishing, la ciberdelincuencia también se aprovecha del aumento en el uso de mensajería de voz.
Estos ataques se realizan utilizando distintas variantes que comparten factores comunes:
Veamos ahora en qué se diferencian estos tipos de ataques, comenzando por el más antiguo:
Phishing viene de la palabra inglesa fishing (pescar). La escritura con “ph” está ligada a la costumbre de los hackers de sustituir la “f”. Es uno de los métodos más utilizados por los delincuentes cibernéticos para obtener información confidencial de forma fraudulenta:
La mayor cantidad del phishing se lleva a cabo a través del correo electrónico. Enlaces web y programas de software malicioso (malware), son otros medios para propagar estas amenazas.
Es una modalidad de fraude que utiliza técnicas de ingeniería social para engañarte y convencerte de realizar una acción. Los medios utilizados en el vishing son las llamadas telefónicas y los mensajes de voz (López, 2021).
El término vishing deriva de las palabras voice y phishing. Son ataques de phishing que se realizan utilizando voz humana o robótica.
A lo largo de los siglos ha existido el engaño y la estafa. Con la masificación de internet y el correo electrónico, aumentó en miles de millones el universo de posibles víctimas.
Luego de analizar más de 905 millones de correos electrónicos, durante los primeros seis meses de 2021, los investigadores de seguridad de Avanan reportaron (Fuchs, 2021):
Otro método es el llamado fraude BEC (Business Email Compromise), en el cual se engaña a un empleado con acceso a las finanzas de la compañía.
Puede involucrar un gerente, un director financiero o incluso, un empleado de menor nivel. El objetivo es que se realice una transferencia bancaria motivada por un falso fin empresarial.
La versión de la estafa BEC conocida como “Fraude del CEO” es una de las más extendidas. En este caso, los crackers acceden a la red corporativa y examinan información de la empresa. También se familiarizan con las acciones que realiza su presidente, director (CEO) u otros ejecutivos.
Copiando el estilo de expresión que utiliza en sus comunicaciones por correo electrónico crean mensajes similares. Luego aprovechan el momento oportuno para suplantar su identidad. Esto lo logran enviando un correo electrónico en donde solicitan una transferencia a la cuenta de un proveedor o cliente.
Aunque estas comunicaciones parecen legítimas, en la realidad las cuentas pertenecen a la organización delictiva.
Avanan indica en su informe “1H 2021 Global Phish Cyber Attack Report” que los ataques de phishing ahora se apuntan hacia ejecutivos de menor nivel (Fuchs, 2021). El 51,9% de los correos electrónicos con suplantación de identidad intentaron pasarse por mensajes de personal no ejecutivo de la organización.
El Internet Crime Complaint Center (IC3), del FBI, reporta en su informe anual Internet Crime Report que en 2020 las pérdidas totales por ciberataques fueron de 4.200 millones de dólares (IC3-FBI, 2021).
Los fraudes tipo BEC/EAC (compromiso de cuentas de correo-e corporativas) generaron pérdidas de más de 1.800 millones de dólares. Esto representa el 44% de las pérdidas declaradas en 2020, siendo 64 veces más relevantes que el ransomware.
De los fraudes mediante técnicas de phishing que inicialmente realizaban los crackers a clientes de AOL a la actualidad, han variado las artimañas. Ahora tenemos que protegernos del SMiShing, el pharming, el hijacking, entre un sinfín de técnicas que se utilizan para realizar delitos informáticos.
No existe una única solución, debido a la gran variedad de los ataques. También hay que considerar que estamos utilizando con más frecuencia las aplicaciones de voz, por donde se distribuyen mensajes con vishing.
Pero sí hay dos grandes recomendaciones que te compartimos:
Por encima de todo, mantén las buenas costumbres de navegación, ya que algunos sitios web o e-mails pueden eludir el software de seguridad.
La mejor manera de protegerte es no abrir correos-e o hacer clic en enlaces dudosos. En el caso del vishing, no respondas mensajes que te solicitan el suministro de datos alegando “situaciones urgentes”. Complementando con el uso de tecnologías de seguridad, evitarás caer en estafas electrónicas que involucren el robo de tu identidad.
Referencias bibliográficas
Dir&Ge. (2021). Los ataques de phishing aumentaron un 34,4% en 2020 como consecuencia de la pandemia. Recuperado de https://directivosygerentes.es/innovacion/ataques-phishing-aumentaron-34-por-ciento-2020-consecuencia-pandemia
Fuchs, J. (2021). Avanan Releases 1H 2021 Global Phish Cyber Attack Report. Recuperado de https://www.avanan.com/blog/avanan-releases-1h-2021-global-phish-cyber-attack-report
IC3-FBI. (2021). Internet Crime Report 2020. Internet Crime Complaint Center IC3, Federal Bureau of Investigation. Recuperado de https://www.ic3.gov/Media/PDF/AnnualReport/2020_IC3Report.pdf
López, M. (2021). Qué es el vishing: estafa a través de llamadas o mensajes de voz. En: ESET We Live Security. Recuperado de https://www.welivesecurity.com/la-es/2021/05/03/que-es-vishing
Webroot. (2021). The 2021 Webroot BrightCloud® Threat Report: 54% of Phishing Sites use HTTPS to Trick Users. Recuperado de https://community.webroot.com/news-announcements-3/the-2021-webroot-brightcloud-threat-report-54-of-phishing-sites-use-https-to-trick-users-347178