Vishing: la suplantación de identidad en las llamadas de voz

Publicado el

En el vasto panorama de las amenazas cibernéticas, el phishing ha evolucionado de diversas maneras, y una de las tácticas más sofisticadas y preocupantes es el «vishing» o phishing de voz. Esta forma de ataque utiliza llamadas telefónicas para engañar a las personas y obtener información confidencial. Antes de sumergirnos en las limitaciones del protocolo VoIP en este contexto, es esencial comprender los diferentes tipos de phishing que existen.

Tipos de Phishing:

  1. Phishing Tradicional: El phishing tradicional se basa en el envío de correos electrónicos fraudulentos que parecen legítimos. Los mensajes persuaden a los destinatarios para que revelen información personal al hacer clic en enlaces maliciosos o descargar archivos comprometidos.
  2. Smishing: El smishing se centra en el envío de mensajes de texto fraudulentos. Los atacantes utilizan técnicas persuasivas para engañar a las personas y hacer que revelen información confidencial o descarguen enlaces peligrosos a través de mensajes de texto.
  3. Vishing: El vishing, también conocido como phishing de voz, es una táctica más avanzada. Aquí, los atacantes utilizan llamadas telefónicas para engañar a las víctimas. Este método se ha vuelto más común con el auge de la tecnología VoIP.

Introducción al Vishing y la Vulnerabilidad de VoIP:

El vishing se destaca como una amenaza significativa debido a su capacidad para utilizar la voz humana y crear un sentido de urgencia en las víctimas. A medida que las comunicaciones telefónicas se han trasladado a la infraestructura de VoIP (Voz sobre Protocolo de Internet), han surgido nuevas oportunidades para los ciberdelincuentes.

Limitaciones del Protocolo VoIP en Vishing:

  1. Dificultad en la Autenticación de Llamadas: El protocolo VoIP presenta dificultades en la autenticación de llamadas. A diferencia de las redes telefónicas tradicionales, donde la autenticación es más sólida, VoIP permite que los atacantes manipulen fácilmente los datos de llamadas, haciendo que las llamadas fraudulentas parezcan legítimas al mostrar números de teléfono falsificados. Ejemplo: Imagine recibir una llamada que aparentemente proviene de su banco, indicando que hay un problema con su cuenta y solicitando información confidencial. El atacante podría falsificar el número de teléfono del banco, haciendo que la llamada parezca genuina.
  2. Problemas de Identificación de Usuarios: VoIP carece de un sistema robusto de identificación de usuarios. Esto significa que los atacantes pueden ocultar fácilmente su identidad al realizar llamadas vishing, dificultando la tarea de rastrear y detener a los perpetradores. Ejemplo: Un atacante podría utilizar técnicas de ingeniería social para hacerse pasar por un representante de servicios al cliente de una empresa de telecomunicaciones. Al falsificar el número de teléfono, puede convencer a la víctima de proporcionar información personal sensible.
  3. Riesgo de Suplantación de Identidad de Empresas: VoIP presenta un riesgo significativo de suplantación de identidad de empresas. Los atacantes pueden aprovechar las vulnerabilidades para suplantar la identidad de empresas legítimas, engañando a las víctimas para que divulguen información sensible. Ejemplo: Imaginemos una llamada en la que el atacante se hace pasar por un representante de una compañía de servicios financieros, alertando a la víctima sobre una transacción sospechosa. Al proporcionar detalles convincentes, el atacante busca obtener información de la cuenta.
  4. Falta de Encriptación Efectiva: Aunque muchas implementaciones de VoIP incorporan algún nivel de encriptación, no siempre es suficiente. La falta de encriptación efectiva puede permitir a los atacantes interceptar y acceder a las comunicaciones, comprometiendo la seguridad de la información transmitida durante una llamada. Ejemplo: Supongamos que una empresa realiza negociaciones confidenciales a través de llamadas VoIP. Un atacante podría utilizar métodos de interceptación para obtener información sensible y comprometer la integridad de las conversaciones.

Ejemplos de Estafas de Vishing:

  1. Fraude de Soporte Técnico: Los atacantes se hacen pasar por representantes de soporte técnico de empresas de renombre, como Microsoft o Apple. Llaman a los usuarios informando sobre problemas de seguridad ficticios en sus dispositivos y solicitan acceso remoto o información de inicio de sesión.
  2. Llamadas de Phishing Bancario: Los vishers se hacen pasar por empleados bancarios y llaman a los clientes, alertándolos sobre actividades sospechosas en sus cuentas. Solicitan detalles personales, como números de tarjetas de crédito o contraseñas, bajo la premisa de asegurar la cuenta.
  3. Estafas de Impersonación de Autoridades Legales: Los atacantes fingen ser abogados, agentes de la ley o funcionarios gubernamentales. Amenazan con acciones legales inmediatas o arrestos a menos que la víctima proporcione información personal o realice pagos.
  4. Falsas Ofertas de Empleo: Los vishers se hacen pasar por reclutadores de empresas respetables y ofrecen empleos falsos o oportunidades de inversión. Solicitan información personal o pagos anticipados como parte del proceso.

Conclusiones:

El vishing representa una amenaza seria en la era digital, y las limitaciones del protocolo VoIP han amplificado sus impactos. La autenticación de llamadas, la identificación de usuarios y la encriptación efectiva son aspectos críticos que deben abordarse para mitigar el riesgo asociado con estas tácticas cibernéticas. A medida que la tecnología avanza, es esencial que tanto los proveedores de servicios VoIP como los usuarios adopten medidas proactivas para protegerse contra las amenazas emergentes y garantizar la integridad de las comunicaciones telefónicas. La conciencia y la educación continua son clave para resistir y combatir eficazmente las estafas de vishing en la era digital en constante evolución.