El phishing de voz , o vishing , [1] es el uso de la telefonía (a menudo telefonía de voz sobre IP ) para realizar ataques de phishing .
Los servicios de telefonía fija han sido tradicionalmente confiables, con conexiones a ubicaciones físicas conocidas por la compañía telefónica y asociadas a un pagador de facturas. Sin embargo, ahora los estafadores de vishing a menudo utilizan funciones modernas de Voz sobre IP (VoIP), como suplantación de identidad de llamada y sistemas automatizados ( IVR ), para impedir que los organismos encargados de hacer cumplir la ley los detecten. El phishing de voz se utiliza normalmente para robar números de tarjetas de crédito u otra información utilizada en esquemas de robo de identidad de personas.
Por lo general, los ataques de phishing de voz se llevan a cabo utilizando sistemas automatizados de texto a voz que indican a la víctima que llame a un número controlado por el atacante, sin embargo, algunos utilizan llamadas en vivo. [1] Haciéndose pasar por un empleado de un organismo legítimo como el banco, la policía, el proveedor de teléfono o de Internet, el estafador intenta obtener detalles personales e información financiera sobre tarjetas de crédito, cuentas bancarias (por ejemplo, el PIN), así como información personal de la víctima. Con la información recibida, el estafador podría acceder y vaciar la cuenta o cometer fraude de identidad . Algunos estafadores también pueden intentar persuadir a la víctima para que transfiera dinero a otra cuenta bancaria o retire efectivo para entregárselo directamente. [2] Las personas que llaman también se hacen pasar por agentes de la ley o por un empleado del Servicio de Impuestos Internos . [3] [4] Los estafadores a menudo se dirigen a inmigrantes y ancianos, [5] a quienes se les obliga a transferir cientos o miles de dólares en respuesta a amenazas de arresto o deportación. [3]
Los datos de cuentas bancarias no son la única información confidencial que se busca obtener. Los estafadores a veces también intentan obtener credenciales de seguridad de consumidores que utilizan productos de Microsoft o Apple falsificando el identificador de llamadas de Microsoft o Apple Inc.
Los deepfakes de audio se han utilizado para cometer fraudes, engañando a las personas haciéndoles creer que están recibiendo instrucciones de una persona de confianza. [6]
Los motivos más comunes son la recompensa económica, el anonimato y la fama. [13] La información bancaria confidencial puede utilizarse para acceder a los activos de las víctimas. Las credenciales individuales pueden venderse a personas que quieran ocultar su identidad para realizar determinadas actividades, como adquirir armas. [13] Este anonimato es peligroso y puede resultar difícil de rastrear para las fuerzas del orden. Otra razón es que los estafadores pueden buscar fama entre la comunidad de ciberataques. [13]
El phishing por voz se presenta de diversas formas. Existen varios métodos y estructuras operativas para los diferentes tipos de phishing. Por lo general, los estafadores emplean la ingeniería social para convencer a las víctimas de un papel que están desempeñando y para crear una sensación de urgencia que les permita aprovecharse de ellas.
El phishing por voz tiene atributos únicos que lo distinguen de otras alternativas similares, como el phishing por correo electrónico. Con el aumento del alcance de los teléfonos móviles, el phishing permite atacar a personas sin conocimientos prácticos de correo electrónico pero que poseen un teléfono, como las personas mayores. La prevalencia histórica de los centros de llamadas que solicitan información personal y confidencial también permite extraer más fácilmente información confidencial de las víctimas debido a la confianza que muchos usuarios tienen al hablar con alguien por teléfono. A través de la comunicación por voz, los ataques de vishing pueden ser personalizados y, por lo tanto, más impactantes que alternativas similares, como el correo electrónico. El tiempo de respuesta más rápido a un intento de ataque debido a la mayor accesibilidad a un teléfono es otro aspecto único, en comparación con un correo electrónico donde la víctima puede tardar más tiempo en responder. [14] Un número de teléfono es difícil de bloquear y los estafadores a menudo pueden simplemente cambiar los números de teléfono si un número específico está bloqueado y, a menudo, encuentran formas de eludir las normas y regulaciones. Las compañías telefónicas y los gobiernos buscan constantemente nuevas formas de frenar las llamadas fraudulentas falsas. [15]
Un ataque de phishing de voz puede iniciarse a través de diferentes mecanismos de entrega. [16] Un estafador puede llamar directamente a una víctima y pretender ser una persona confiable falsificando su identificador de llamadas, apareciendo en el teléfono como un funcionario o alguien cercano. [16] Los estafadores también pueden enviar mensajes amenazantes pregrabados a los buzones de correo de voz de las víctimas para obligarlas a tomar medidas. [16] Las víctimas también pueden recibir un mensaje de texto que les solicita que llamen a un número específico y se les cobre por llamar a ese número específico. [16] Además, la víctima puede recibir un correo electrónico haciéndose pasar por un banco; luego, la víctima puede ser coaccionada para que proporcione información privada, como un PIN, número de cuenta u otras credenciales de autenticación en la llamada telefónica. [16]
Los atacantes de phishing de voz a menudo emplean ingeniería social para convencer a las víctimas de que les den dinero y/o acceso a datos personales. [17] Generalmente, los estafadores intentarán crear una sensación de urgencia y/o miedo a la autoridad para usarlo como una herramienta contra las víctimas. [16]
Los ataques de phishing de voz pueden ser difíciles de identificar para las víctimas porque las instituciones legítimas, como los bancos, a veces solicitan información personal confidencial por teléfono. [8] Los esquemas de phishing pueden emplear mensajes pregrabados de bancos regionales importantes para que no se los pueda distinguir de las llamadas legítimas. [ cita requerida ] Además, las víctimas, en particular los ancianos, [8] pueden olvidar o no saber sobre la capacidad de los estafadores para modificar su identificador de llamadas, lo que los hace más vulnerables a los ataques de phishing de voz. [ cita requerida ]
La Comisión Federal de Comercio de los Estados Unidos (FTC) sugiere varias formas para que el consumidor promedio detecte estafas telefónicas. [22] La FTC advierte contra realizar pagos con efectivo, tarjetas de regalo y tarjetas prepagas, y afirma que las agencias gubernamentales no llaman a los ciudadanos para discutir información personal como números de Seguro Social. [22] Además, las víctimas potenciales pueden prestar atención a las características de la llamada telefónica, como el tono o el acento de la persona que llama [8] [28] o la urgencia de la llamada telefónica [22] para determinar si la llamada es legítima o no.
La principal estrategia recomendada por la FTC para evitar ser víctima de phishing de voz es no responder llamadas de números desconocidos. [9] Sin embargo, cuando un estafador utiliza VoIP para falsificar su identificador de llamadas, o en circunstancias en las que las víctimas responden llamadas, otras estrategias incluyen no presionar botones cuando se les solicite y no responder a ninguna pregunta que haga un interlocutor sospechoso. [9]
El 31 de marzo de 2020, en un esfuerzo por reducir los ataques de vishing que utilizan la suplantación de identidad del llamante, la Comisión Federal de Comunicaciones de los EE. UU. adoptó un conjunto de mandatos conocidos como STIR/SHAKEN , un marco destinado a ser utilizado por las compañías telefónicas para autenticar la información del identificador de llamadas. [29] Todos los proveedores de servicios telefónicos de EE. UU. tenían hasta el 30 de junio de 2021 para cumplir con la orden e integrar STIR/SHAKEN en su infraestructura para disminuir el impacto de la suplantación de identidad del llamante. [29]
En algunos países, las redes sociales se utilizan para llamar y comunicarse con el público. En ciertas plataformas de redes sociales, los perfiles gubernamentales y bancarios están verificados, mientras que los perfiles no verificados serían perfiles falsos. [30]
La estrategia de mitigación más directa y eficaz es capacitar al público en general para que comprenda las características comunes de un ataque de phishing por voz y así detectar los mensajes de phishing. [31] Un enfoque más técnico sería el uso de métodos de detección de software. Por lo general, estos mecanismos son capaces de diferenciar entre llamadas de phishing y mensajes honestos y pueden implementarse de manera más económica que la capacitación pública. [31]
Un método sencillo para detectar el phishing es el uso de listas negras. Investigaciones recientes han intentado hacer distinciones precisas entre llamadas legítimas y ataques de phishing utilizando inteligencia artificial y análisis de datos. [32] Para seguir avanzando en la investigación en el campo del audio falso, se han explorado diferentes diseños de funciones y mejoras. [33] Al analizar y convertir las llamadas telefónicas en textos, se pueden utilizar mecanismos de inteligencia artificial como el procesamiento del lenguaje natural para identificar si la llamada telefónica es un ataque de phishing. [32]
Los sistemas especializados, como las aplicaciones de teléfono, pueden enviar datos falsos a las llamadas de phishing. Además, varias agencias de aplicación de la ley están haciendo esfuerzos continuos para disuadir a los estafadores de realizar llamadas de phishing al imponerles sanciones más severas. [31] [29]
Entre 2012 y 2016, una red de estafadores de phishing de voz se hizo pasar por empleados del Servicio de Impuestos Internos y de inmigración ante más de 50.000 personas, robando cientos de millones de dólares, así como información personal de las víctimas. [5] Los presuntos co-conspiradores de los Estados Unidos y la India amenazaron a los encuestados vulnerables con "arresto, prisión, multas o deportación". [5] En 2018, 24 acusados fueron sentenciados, siendo la pena de prisión más larga de 20 años. [5]
El 28 de marzo de 2021, la Comisión Federal de Comunicaciones emitió un comunicado en el que advertía a los estadounidenses sobre el creciente número de estafas telefónicas relacionadas con productos fraudulentos contra el COVID-19. [34] La Administración de Alimentos y Medicamentos también ha monitoreado los esquemas de phishing de voz que intentan vender productos que supuestamente "previenen, tratan, mitigan, diagnostican o curan" el COVID-19. [35]
A principios de 2015, un estafador de phishing se hizo pasar por maquilladores de Hollywood y ejecutivas poderosas para obligar a las víctimas a viajar a Indonesia y pagar sumas de dinero bajo la premisa de que recibirían un reembolso. Utilizando ingeniería social, el estafador investigó exhaustivamente las vidas de sus víctimas para extraer detalles que hicieran que la suplantación de identidad fuera más creíble. El estafador llamaba a las víctimas directamente, a menudo varias veces al día y durante horas para presionarlas. [36]
La campaña de ciberataques de 2015 contra la académica israelí Dra. Thamar Eilam Gindin ilustra el uso de un ataque de vishing como precursor de futuros ataques con la nueva información obtenida a la fuerza de una víctima. Después de que la académica experta en Irán mencionara conexiones dentro de Irán en la radio del ejército israelí, Thamar recibió una llamada telefónica para solicitar una entrevista con la profesora para la BBC persa. Para ver las preguntas antes de la entrevista propuesta, se le indicó a Thamar que accediera a un documento de Google Drive que solicitaba su contraseña para acceder. Al ingresar su contraseña para acceder al documento malicioso, el atacante puede usar las credenciales para futuros ataques de alto nivel. [37]
En Suecia, Mobile Bank ID es una aplicación de teléfono (lanzada en 2011) que se utiliza para identificar a un usuario en la banca por Internet. El usuario inicia sesión en el banco en una computadora, el banco activa la aplicación del teléfono, el usuario ingresa una contraseña en el teléfono y se conecta. En esta estafa, los actores maliciosos llamaron a personas que decían ser un funcionario del banco, afirmaron que había un problema de seguridad y le pidieron a la víctima que usara su aplicación Mobile Bank ID. Los estafadores pudieron iniciar sesión en la cuenta de la víctima sin que esta proporcionara su contraseña. El estafador luego pudo transferir dinero desde la cuenta de la víctima. Si la víctima era cliente del banco sueco Nordea , los estafadores también pudieron usar la cuenta de la víctima directamente desde su teléfono. En 2018, la aplicación se modificó para requerir que los usuarios fotografíen un código QR en la pantalla de su computadora. Esto garantiza que el teléfono y la computadora estén ubicados en el mismo lugar, lo que ha eliminado en gran medida este tipo de fraude.
{{cite web}}
: |last=
tiene nombre genérico ( ayuda )