Robar cuentas corporativas: la nueva misión del ¨vishing¨

El "vishing" en 2021 ya no es una novedad. La primera vez que oímos hablar de esta técnica también conocida como "spear phishing telefónico" o "phishing de voz", fue en el mes de julio pasado con el ataque a Twitter, tras el cual decenas de empresas, incluidos bancos, trader de criptomonedas y empresas de hosting y tecnología fueron atacadas de la misma forma.

La intensificación de este tipo de ataques de ingeniería social se sustenta en robar cuentas corporativas y credenciales de acceso. Dada la necesidad de distanciamiento social y restricciones de circulación por COVID-19, muchas empresas debieron acomodarse a la nueva coyuntura y adaptar los entornos tecnológicos a la nueva realidad digital.

Sin embargo, como consecuencia muchos de los controles y medidas de seguridad habituales fueron relajados, poco eficaces o simplemente no se tuvo el conocimiento para implementarlos.

Los atacantes a través de plataformas de Protocolo de Voz sobre Internet (VoIP) simulan durante una llamada ser una empresa, organismo o entidad confiable y con buena reputación con el objetivo de persuadir a empleados de empresas de todo el mundo y que así revelen datos personales, información confidencial, como credenciales bancarias o de inicio de sesión.

De esta manera, las víctimas son engañadas a iniciar sesión en sitios creados que clonan las páginas de inicio de sesión de VPN internas de las empresas para recopilar los nombres de usuario y contraseñas del usuario desprevenido.

En varios casos, la intromisión escala privilegios utilizando las cuentas robadas a los empleados, infiltrándose en las redes, con la posibilidad de generar daños con impacto significativo en materia económica o financiera.

Vishing

Incluso, los ataques son comunes a través de la sala de chat de la empresa, y hasta suelen hacerse con el control de los teléfonos celulares omitiendo la autenticación en un ataque de intercambio de SIM.

Las campañas de "vishing" tienen como target a los teletrabajadores con el propósito de obtener acceso a las herramientas que usan los empleados desde sus hogares, procurando extraer las bases de datos de la empresa víctima para obtener información personal de sus clientes y así aprovechar otros ataques.

No deja de sorprender la habilidad de los estafadores y la ingenuidad de algunos usuarios que entregan sus datos personales y privados sin sospechar de una estafa. La prevención de la nueva y creciente colección de este tipo de ataques requerirá que las organizaciones capaciten a sus empleados para detectar personas fraudulentas o sistemas de seguridad que requieran de atención pertinente.

Así como las empresas también deben implementar algunos factores como la autenticación multifactor, otorgar los privilegios justos y necesarios a los nuevos empleados, escaneo y la supervisión activos de modificaciones o accesos no autorizados. Incluso, la segmentación de una red grande en varias más pequeñas, permite a los administradores controlar el flujo del tráfico de la red.

La nueva normalidad ha creado un mapa de riesgos nuevo, que obliga a trabajar en el factor humano, determinante para soportar la exposición a estos riesgos. Es importante concientizarlos y fortalecer su capacidad de respuesta. (*) - CEO de BTR Consulting, especialista en ciberseguridad, riesgo tecnológico y de negocios. GZ/MAF/CJ NA