Actualmente, los ciberdelincuentes utilizan los bots como herramienta para realizar estafas telefónicas, comúnmente conocidas como ‘vishing’. El uso de bots con voz a menudo ayuda a convencer a los usuarios desprevenidos de que se trata de una llamada legítima y se utiliza para obtener una contraseña de un solo uso (OTP) o un código de verificación, también conocido como autenticación de dos pasos.
De esta forma, los ciberdelincuentes logran acceder a cuentas de usuarios en servicios como PayPal, Amazon, Coinbase o bancos, entre otros.
Le recomendamos leer: La robótica, cada vez más sofisticada, ¿al servicio o contra la humanidad?
La palabra vishing se deriva de una combinación de ‘voice’ y ‘phishing’, lo que significa que incluye ataques de phishing que involucran voz, ya sea robot o humana. En él, los atacantes pueden comunicarse con las víctimas a través de llamadas telefónicas, como el centro de llamadas de una empresa, o dejando mensajes en el correo de voz. Además, entre los favoritos elegidos por los delincuentes para estas comunicaciones, se encuentran referencias a cuestiones económicas o de seguridad de nuestro ordenador o dispositivo móvil, o hacerse pasar por un supuesto familiar o conocido, etc.
Para entender con un ejemplo de lo que es vishing, imagine que después de un largo día de trabajo, recibe el siguiente mensaje de voz en su teléfono móvil: “Hola, me llamo José Torres y trabajo en la empresa encargada para asegurar su ordenador. Dejaremos de brindar nuestros servicios la próxima semana y le reembolsaremos USD$ 500. Llame a este número de lunes a viernes durante el horario comercial”.
Este ejemplo describe qué es vishing, un ataque peligrosamente efectivo basado en técnicas sociales y en el que el delincuente se comunica por teléfono o por mensaje de voz haciéndose pasar por una empresa u organización, con la intención de engañar a la víctima y persuadirla para que actúe en contra de sus intereses.
Cómo realizan el vishing los ciberdelincuentes
Cuando una empresa o departamento experimenta una violación de datos, esa información a menudo está a la venta en una fecha posterior o incluso se publica de forma gratuita en foros clandestinos, y contiene información de identificación del usuario o de otras personas.
Una vez que los ciberdelincuentes poseen el nombre de usuario y la contraseña de la cuenta que desean comprometer, ingresan el número de teléfono junto con el comando y el nombre del servicio o cuenta seleccionados; por ejemplo: Amazon. El bot luego llamará a la víctima, haciéndose pasar por este servicio con un pretexto, como una acción sospechosa. En un momento de la conversación, el bot le pide a la víctima que verifique su identidad ingresando un código que recibirá en su teléfono. La víctima ingresa la contraseña y el atacante la reconoce automáticamente a través de la herramienta.
Estos bots se comercializan en los chats de Telegram o Discord, y se pueden obtener por entre USD$ 100 y USD$ 1000 por una sola suscripción. Además, algunos ofrecen alcance global. Su uso muestra una vez más cómo los delincuentes buscan nuevas formas de cometer fraudes, y parece que su popularidad aumenta constantemente.
Formas de engaño donde se utiliza el vishing como método
Como tipo de ataque similar al phishing, el uso de imágenes como recursos por parte de delincuentes puede verse en varios esquemas de fraude. Algunas de las más comunes podrían ser:
– Problemas financieros/Problemas legales/Suplantación de identidad de organismo estatal:
Es quizás una de las formas de exhibición más destacadas. Aquí, los atacantes no utilizan los recursos de tener grandes habilidades informáticas, sino que se hacen pasar por la voz de una entidad como la policía, un banco o un bufete de abogados para denunciar un problema o un acto fraudulento que involucre a la víctima.
Por este motivo, los atacantes solicitan información personal y, en algunos casos, incluso acceden a la computadora del usuario, que pueden tener a información confidencial de inicio de sesión en alguna plataforma importante.
Reembolso por servicio informático:
En esta ocasión, el criminal hace una llamada telefónica inicial para reportar un supuesto reembolso por un servicio que un usuario adquirió hace años y que la compañía supuestamente descontinuó. Entonces el estafador convence a la víctima de que primero instale un software de acceso remoto en su computadora, lo que le permitirá acceder a la información de la víctima. Así, luego solicitará que acceda a la cuenta bancaria desde su computadora y, en paralelo, simular la transferencia real al sitio web incorrecto o desde el mismo terminal del sistema operativo.
Al simular esta transferencia de dinero falsa, permiten al usuario ingresar la cantidad que se le ha pedido que devuelva, y luego de ingresar las cifras, los delincuentes modifican rápidamente la cantidad para que parezca que el usuario se equivocó, pues supuestamente ingresó un valor diferente, y transfirió más dinero del que le corresponde.
Soporte técnico/Infección con un malware:
En este modelo de estafa, cualquier persona que se comunique con una víctima finge pertenecer a una empresa con un nombre genérico, que se dice que se especializa en seguridad informática, asegurando a las víctimas que les está brindando protección a su equipo.
Mediante la ingeniería social, el atacante convence al individuo de que le permita acceder a su computadora a través de herramientas de acceso remoto, como TeamViewer, permitiéndole incluso tomar el control del dispositivo al que está accediendo en todo momento, incluso cuando el propietario está ausente.
Luego, al ejecutar aplicaciones comúnmente instaladas de fábrica en la computadora de la víctima o al ver los archivos supuestamente dañados, se le mostrarán indicios falsos de infección.
Una vez que los atacantes creen que el usuario está lo suficientemente preocupado, lo amenezan con comprar un software antivirus de proposito similar o una solución por una gran cantidad de dinero para resolver el problema.
Recomendaciones para no ser víctima de vishing
Además de las pérdidas monetarias, los ataques de vishing pueden traer consecuencias no tan obvias para la víctima, como por ejemplo el uso de su identidad para futuros engaños a otros usuarios.
El Jefe del Laboratorio de Investigación de ESET Latinoamérica, Camilo Gutiérrez Amaya, aconseja lo siguiente: “las principales recomendaciones para evitar ser víctima de este tipo de fraude son: ante la recepción de algún llamado sospechoso verificar la fuente de este. Es importante también desconfiar de la procedencia y en caso de ser algo dudoso terminar la comunicación lo antes posible. Si quien nos contactó alegó ser de alguna compañía con la cual estamos asociados, es aconsejable comunicarse con la empresa a través de los canales de comunicación oficiales.”