Robar cuentas corporativas: la nueva misión del «vishing»
El «vishing» en 2021 ya no es una novedad. La primera vez que oímos hablar de esta técnica también conocida como «spear phishing telefónico» o «phishing de voz», fue en el mes de julio pasado con el ataque a Twitter, tras el cual decenas de empresas, incluidos bancos, trader de criptomonedas y empresas de hosting y tecnología fueron atacadas de la misma forma.
La intensificación de este tipo de ataques de ingeniería social se sustenta en robar cuentas corporativas y credenciales de acceso.
Dada la necesidad de distanciamiento social y restricciones de circulación por Covid-19, muchas empresas debieron acomodarse a la nueva coyuntura y adaptar los entornos tecnológicos a la nueva realidad digital.
Sin embargo, como consecuencia muchos de los controles y medidas de seguridad habituales fueron relajados, poco eficaces o simplemente no se tuvo el conocimiento para implementarlos.
Los atacantes a través de plataformas de Protocolo de Voz sobre Internet (VoIP) simulan durante una llamada ser una empresa, organismo o entidad confiable y con buena reputación con el objetivo de persuadir a empleados de empresas de todo el mundo y que así revelen datos personales, información confidencial, como credenciales bancarias o de inicio de sesión.
De esta manera, las víctimas son engañadas a iniciar sesión en sitios creados que clonan las páginas de inicio de sesión de VPN internas de las empresas para recopilar los nombres de usuario y contraseñas del usuario desprevenido.
En varios casos, la intromisión escala privilegios utilizando las cuentas robadas a los empleados, infiltrándose en las redes, con la posibilidad de generar daños con impacto significativo en materia económica o financiera.
Incluso, los ataques son comunes a través de la sala de chat de la empresa, y hasta suelen hacerse con el control de los teléfonos celulares omitiendo la autenticación en un ataque de intercambio de SIM.
Las campañas de «vishing» tienen como target a los teletrabajadores con el propósito de obtener acceso a las herramientas que usan los empleados desde sus hogares, procurando extraer las bases de datos de la empresa víctima para obtener información personal de sus clientes y así aprovechar otros ataques.
No deja de sorprender la habilidad de los estafadores y la ingenuidad de algunos usuarios que entregan sus datos personales y privados sin sospechar de una estafa.
La prevención de la nueva y creciente colección de este tipo de ataques requerirá que las organizaciones capaciten a sus empleados para detectar personas fraudulentas o sistemas de seguridad que requieran de atención pertinente.
Así como las empresas también deben implementar algunos factores como la autenticación multifactor, otorgar los privilegios justos y necesarios a los nuevos empleados, escaneo y la supervisión activos de modificaciones o accesos no autorizados.
Incluso, la segmentación de una red grande en varias más pequeñas, permite a los administradores controlar el flujo del tráfico de la red.
La nueva normalidad ha creado un mapa de riesgos nuevo, que obliga a trabajar en el factor humano, determinante para soportar la exposición a estos riesgos. Es importante concientizarlos y fortalecer su capacidad de respuesta.
(*) Gabriel Zurdo es CEO de BTR Consulting, especialista en ciberseguridad, riesgo tecnológico y de negocios.
Escrito por Gabriel Zurdo