27 de diciembre de 2024

Ojo con el ‘vishing’, la nueva forma de estafa que aprovecha el teletrabajo para robar

Ojo con el 'vishing', la nueva forma de estafa que aprovecha el teletrabajo para robar

A través de una sencilla llamada telefónica, los ciberdelincuentes suplantan la identidad de un superior y obtienen datos -como credenciales bancarias- que les facilita el propio trabajador

Check Point® Software Technologies Ltd. (NASDAQ: CHKP), proveedor líder especializado en ciberseguridad a nivel mundial, alerta del aumento de ataques de «vishing» que tienen como objetivo a los trabajadores que se encuentran fuera de sus oficinas. Esta estafa es una combinación de «voz» y «phishing» diseñada para engañar a un empleado a través de una conversación telefónica con el objetivo de que comparta información sensible. Durante la llamada, los ciberdelincuentes suplantan la identidad de un superior de la empresa, a menudo de los departamentos de finanzas, recursos humanos o jurídico, y aprovechan técnicas de ingeniería social para engañar a las víctimas para tener acceso a sus credenciales bancarias, contraseña de distintos servicios, etc. Una vez obtienen estos datos, los atacantes pueden obtener beneficios económicos por el robo de dinero o, incluso, instalar malware en sus equipos.

La advertencia de los investigadores de Check Point coincide con un aviso conjunto emitido en agosto de 2020 por la Agencia de Seguridad Cibernética y de Infraestructuras (CISA) y el FBI, en el que se advierte de una ola de ataques de «vishing» contra empresas del sector privado en los Estados Unidos. Según el aviso, los ciberdelincuentes suelen llamar a los empleados que trabajan desde casa para recoger credenciales de acceso a las redes corporativas, que luego monetizan vendiendo a otros grupos.

¿Cómo se lleva a cabo un ataque de vishing?

Como consecuencia de la pandemia, el trabajo en remoto se ha convertido en el formato predominante que aleja a los empleados de un entorno corporativo seguro y hace que sean más vulnerables frente a ataques de suplantación de identidad. Para que este tipo de ciberamenaza sea un éxito, los atacantes primero deben realizar una labor de recogida de datos sobre la empresa, así como los perfiles de aquellos empleados de alto rango a los que van a suplantar, a través de plataformas como LinkedIn.

Tras esto, llaman al centro de soporte de la empresa elegida para el ataque y se presenta como un empleado (aporta el nombre exacto de esa persona) para pedir el número de teléfono de otros dos trabajadores de la misma empresa. Además, con el objetivo de ganarse la confianza del interlocutor, el ciberdelincuente le pide que instale en su equipo el programa TeamViewer (software de gestión en remoto) alegando que quiere ayudarle a buscar la información que necesita, aunque en realidad de esta forma obtiene acceso a la red de datos corporativa.

«Los ataques de vishing son una de las mayores ciberamenazas a las que se enfrentan hoy en día los empleados que trabajan a distancia. En estos ataques, el ciberdelincuente controla los canales de información, dejando a los usuarios sin una fuente fiable a la que acceder, por lo que no pueden distinguir entre lo que es real y lo que es falso”, señala Lotem Finkelsteen, director de Inteligencia de Amenazas en Check Point. “Hemos detectado que cada vez más ciberataques utilizan el vishing como parte de sus cadenas de infección. Por tanto, es fundamental que los empleados que trabajan en remoto sean conscientes de los riesgos de compartir información si no se comprueba la identidad y veracidad del interlocutor», concluye Finkelsteen.

Los expertos de la compañía señalan que para evitar este tipo de ciberriesgos es clave evitar compartir información sensible, así como verificar la identidad de la persona que pide acceso a esos datos. Además, es primordial adoptar una postura de seguridad basada en la prevención, ya que, además de no compartir datos con desconocidos, es muy importante informar al resto de compañeros de este tipo de actividades potencialmente sospechosas.

NOTICIAS RELACIONADAS

DEJA UNA RESPUESTA

Los comentarios están cerrados.

Los lectores opinan

¿Qué tendencia en RRHH crees que transformará más las organizaciones en 2025?

Ver los resultados

Cargando ... Cargando ...
Lo más leído

Regístrate en el boletín de RRHHDigital

* indicates required
Opciones de Suscripción
En cumplimiento de lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, "LOPD"), EDICIONES DIGITALES SIGLO 21, SL., le informa de que los datos de carácter personal que nos ha proporcionado mediante la cumplimentación de cualquier formulario electrónico que aparece en nuestras Web Site, así como aquellos datos a los que EDICIONES DIGITALES SIGLO 21, SL. acceda como consecuencia de su navegación, de la consulta, solicitud o contratación de cualquier servicio o producto, o de cualquier transacción u operación realizada a través de las Webs de nuestro grupo editorial EDICIONES DIGITALES SIGLO 21, SL., serán recogidos en un fichero cuyo responsable es EDICIONES DIGITALES SIGLO 21, SL. provista de CIF B86103140 con domicilio a estos efectos en Calle Comandante Franco, 24 28016, Madrid. Con carácter general, los datos de carácter personal que nos proporcione serán utilizados para atender sus solicitudes de información, así como informarle sobre nuevas actividades, productos y servicios de EDICIONES DIGITALES SIGLO 21, SL. Aquí puede leer nuestro aviso legal y política de privacidad.
rrhhdigital