La voz es uno de los elementos de identificación de los que gozamos las personas. Cierto es que, desde tiempos inmemoriales, hay personas, pocas capaces de emular la voz de cualquiera, pero la situación ha cambiado. Según informábamos en Escudo Digital, los intentos de cometer estafas telefónicas mediante el uso de grabaciones de voz manipuladas, aumentan día a día, pero no terminan de ser efectivos.
No ocurre lo mismo con el "voice phishing" o "vishing", que ha incrementado su presencia debido a la implantación masiva del teletrabajo y también gracias en parte alincremento de redes privadas virtuales (VPN), como advierten agencias de seguridad de Estados Unidos, y según recoge Europa Press.
'Vishing' es un tipo de fraude telefónico en el que alguien suplanta la voz de una persona de confianza, por ejemplo, un supervisor, con el fin de conseguir información sensible de los usuarios. Para lograrlo, aplica técnicas de ingeniería social. Así consigue acceso a redes internas corporativas o bases de datos.
La Oficina de Investigación Federal (FBI) y la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) de Estados Unidos han advertido del crecimiento de las campañas que emplean los ataques de tipo 'vishing' en el marco de la pandemia de coronavirus, como recoge el portal del investigador de ciberseguridad Brian Krebs.
El uso de técnicas de ingeniería social
La implantación masiva del teletrabajo ha llevado al incremento del uso de las VPN y a la eliminación de la verificación en persona. En este contexto, los cibercriminales han empezado a realizar llamadas mediante voz sobre el protocolo de Internet (VoIP) a sus potenciales víctimas, empleados de los que buscan obtener información sensible hasta conseguir las credenciales de acceso corporativas.
Para ello emplean técnicas de ingeniería social, es decir, recopilan información de sus víctimas a partir de lo que se ha compartido de forma pública en Internet, por ejemplo, en las redes sociales, para ganarse su confianza.
En algunos casos, como explican, estas acciones se complementan con una web que simula ser la de la empresa y un enlace a una nueva VPN falsa, en la que las víctimas tienen que introducir un segundo factor de autenticación o una contraseña de un único uso, para conseguir las credenciales.
El objetivo fundamental es logar el acceso a las redes corporativas o bases de datos de las multinacionales o empresas víctimas del ataque con el fin de monetizar el ataque. Los imitadores tienen en este ámbito una posible fuente de ingresos al margen del mundo del espectáculo, pero completamente ilegal.