La pandemia del COVID-19 ha provocado un cambio en la manera de trabajar de las empresas, el uso masivo del teletrabajo ha provocado un aumento del uso de redes privadas virtuales corporativas (VPN) y la eliminación de la verificación realizada de forma presencial para dar paso a las comunicaciones online.

Durante el verano del 2020, los ciberdelincuentes iniciaron infinidad de campañas de vishing, obteniendo en muchos casos acceso a las herramientas de los empleados y, posteriormente rentabilizando de forma fraudulenta dicho acceso.

Cuando hablamos de Vishing nos referimos a un tipo de estafa que aprovecha la comunicación por voz. Esta técnica se puede combinar con otras formas de ingeniería social que incitan a la víctima a llamar a un determinado número y divulgar información de caracter confidencial. Los ataques de vishing avanzados suelen producirse a través de comunicaciones de voz mediante la explotación de las soluciones y los servicios de transmisión de voz sobre protocolo de Internet (VoIP). la tecnología de VoIP permite falsificar con facilidad la identidad de la persona que llama (ID).

Vishing, o phishing de voz, es una técnica de ingeniería social utilizada por ciberdelincuentes, con llamadas de voz suplantan la identidad de cualquier persona, desde un falso técnico de soporte de sistemas de la organización, hasta un proveedor externo. Las técnicas de engaño utilizadas suelen ser bastante convincentes y conllevan un conocimiento previo de la estructura de la empresa y de la víctima, generando confianza como paso previo para sonsacarle información.

Muchos expertos aseguran que la reciente vulneración acontecida a mediados de Julio del 2020 a perfiles en Twitter (entre ellos los de Barack Obama, Elon Musk, Joe Biden, Bill Gates, Jeff Bezos y Kim Kardashian entre otros) podrían haber sido el resultado de un ataque vishing. Los atacantes utilizaron las cuentas para enviar tweets pidiendo a los usuarios de Twitter que enviaran Bitcoin a una billetera de criptomonedas, también se accedió a las bandejas de entrada y a los datos de Twitter de algunas de las cuentas afectadas.

 

¿Qué es Vishing y cómo funciona?

Los ataques de Vishing se producen cuando las víctimas reciben llamadas telefónicas fraudulentas de piratas informáticos que se hacen pasar por otra persona, a menudo por un responsable de algún servicio de asistencia técnica o de soporte de TI; entidad financiera, operador telefónico, organismo público…. Utilizan la llamada para extraer información personal de la víctima y así poder acceder a sistemas seguros.

En múltiples casos, los ciberdelincuentes registran dominios y crean páginas de phishing, duplicando la página de inicio de sesión de interna de una empresa, y en muchas ocasiones, capturan la autenticación de dos factores (2FA) o las contraseñas de un solo uso (OTP).

Posteriormente, recopilan expedientes sobre los empleados de las empresas mediante la captura masiva de datos sobre perfiles públicos en plataformas de redes sociales, herramientas de marketing y de captación de recursos humanos, así como cualquier antecedente disponible públicamente, también se observa cada vez más el uso de herramientas de código abierto para recopilar información personal de forma masiva.

Estos ciberdelincuentes especializados en ataques de Vishing usan números de teléfono bajo VoIP no asignados (es decir de uso anónimo), los actores del ataque se comunican con los empleados objetivo preferiblemente en sus teléfonos móviles personales y luego comienzan a incorporar números falsificados de otras oficinas de la empresa víctima y de los empleados.

Utilizan el conocimiento de los datos personales del empleado para ganarse su confianza antes de enviarles un enlace solicitando que ingresen su nombre de usuario, incluida la autenticación de dos factores (2FA) o las contraseñas de un solo uso (OTP),, que luego usarán para obtener acceso a los sistemas de la empresa.

Son muchos los empleados desprevenidos que en los últimos meses han sido víctimas de este tipò de ataque de ingeniería social.

Cómo prevenir el vishing en su organización

 Recomendaciones para aquellos usuarios que deseen asegurarse de que la amenaza que representan los ataques vishing se reduzcan al mínimo:

  • Acotar las conexiones VPN y reservarlas sólo para los dispositivos administrados, utilizando técnicas como comprobaciones de hardware o certificados instalados, de modo que la entrada del usuario con su acceso no sea suficiente para acceder a la VPN corporativa.
  • Delimitar el horario de acceso a la VPN para reducir el acceso fuera de los tiempos de trabajo.
  • Usar la supervisión de dominios para realizar un seguimiento de la creación o de los cambios en los dominios corporativos de la empresa.
  • Monitorear y escanear activamente las aplicaciones web en busca de accesos no autorizados, modificaciones y/o actividades anómalas.
  • Aplicar el principio de privilegios mínimos e implementar políticas de restricción de software u otros controles tales como supervisar los accesos y el uso de datos de los usuarios autorizados.
  • Considerar la posibilidad de utilizar un proceso de autenticación formalizado para las comunicaciones de empleado a empleado realizadas a través de la red telefónica pública utilizando un segundo factor de seguridad para autenticar la llamada telefónica antes de que se pueda comentar la información confidencial.
  • Mejorar la mensajería 2FA y OTP para disminuir la confusión sobre los intentos de autenticación de los empleados.

 

¿Qué hacer sin sospechas que eres una víctima de Vishing?

  • Si piensas que has revelado información confidencial sobre datos de tu empresa, informa a las personas adecuadas, incluidos los administradores del sistema para que estén alerta ante cualquier actividad sospechosa o inusual.
  • En el caso de que sospeches que tus cuentas bancarias pueden estar comprometidas, comunícate con tu banco de inmediato y cancela las cuentas que puedan haber sido expuestas.
  • Está atento a cualquier cargo inexplicable en tu cuenta bancaria.
  • Cambia inmediatamente cualquier contraseña que hayas revelado. Si usaste la misma contraseña para varios recursos, asegúrate de cambiarla para cada cuenta y no vuelvas a usar esa contraseña en el futuro.
  • Permanece alerta a cualquier señal de robo de identidad.

Si has tenido un incidente o has sido víctima de un caso de fraude electrónico puedes reportarlo a INCIBE-CERT a través de dirección Incidencias INCIBE-CERT detallando en el mismo la información de contacto y una descripción lo más completa posible del incidente.

 

Luis Navarro

ciberseguridad.global

@desafinando