Hola mis estimados lectores, en el día de hoy vengo hablarles sobre otro de los ataques más conocidos en el ciberespacio, se trata en esta ocasión de dos variantes de suplantación de identidad que se han puesto muy de moda recientemente, asociado al creciente uso de los dispositivos móviles y en particular de los teléfonos celulares inteligentes. Por un lado, nos encontramos con el vishing que combina las palabras “voice” (voz) y “phishing”. Este implica suplantar la identidad de una organización o persona de confianza mediante llamadas telefónicas para acceder a datos sensibles de los usuarios.
Según el Panorama de Amenazas de la Agencia de la Unión Europea para la Ciberseguridad (ENISA) publicado el año pasado, se prevé que en el futuro se produzcan más ataques de ingeniería social selectivos con tecnología basada en Inteligencia Artificial (IA). Uno de los usos más destacados serían los ataques de vishing que emplean la clonación de voz basada en IA. La clonación de voz es el proceso de crear una voz sintética a partir de las grabaciones de audio de una persona real. Los atacantes pueden crear los clones capturando una muestra de la voz de una persona, lo que podría conseguirse extrayendo un vídeo de YouTube, TikTok o cualquier otra red social. Incluso unos pocos segundos pueden bastar para crear una voz falsa razonable. Los ciberdelincuentes utilizan la IA para crear clones de la voz de las personas con el fin de hacerse pasar por un amigo o un familiar y estafar a la víctima pidiéndole dinero.
Los ataques de vishing basados en inteligencia artificial no sólo se dirigen al público en general, sino también a las empresas. El primer ataque dirigido a una empresa se produjo en 2019, cuando los ciberdelincuentes utilizaron la clonación de voz para hacerse pasar por un director general por teléfono y convencieron al director general de una empresa del Reino Unido para que transfiriera 243 000 dólares a la cuenta de un atacante. Este fue un caso muy raro en ese momento, pero esperamos ver un repunte de ataques similares en el futuro.
También se han observado casos en los que actores de amenazas utilizaron un vídeo deepfake en tiempo real en un intento de ser contratados fraudulentamente por empresas para obtener acceso a información personal y financiera. Los vídeos deepfake son una intrigante mezcla de nuevas tecnologías y creatividad. Utilizan técnicas avanzadas de aprendizaje automático y aprendizaje profundo para sustituir la cara de un vídeo por otra. El resultado a menudo es tan preciso y de alta calidad que estos vídeos falsos son indistinguibles de los reales. Estos ataques fueron en su mayoría infructuosos debido a que el estado de la técnica de las herramientas de deepfake en tiempo real aún no es lo suficientemente bueno, pero esperamos que lo sea en un futuro no muy lejano.
Por otra parte, se encuentra el smishing, que es una técnica de estafa informática que se basa en el envío masivo de mensajes de texto (SMS) a particulares y empresas. En este caso los atacantes se hacen pasar por una entidad legítima (como un banco, una red social o una institución pública) y envía mensajes fraudulentos. Estos generalmente contienen enlaces maliciosos, o simplemente solicitan datos confidenciales a los consumidores.
Algunos ejemplos de estos ataques más comunes pudieran ser:
- Estafas de verificación de cuenta: Los atacantes se hacen pasar por empresas o proveedores de servicios confiables (como bancos o transportistas) y solicitan verificación de cuenta o datos personales. Cuidado con las cuentas en nuestras redes sociales y en particular en las plataformas de pago en línea.
- Estafas de premios o loterías: Los atacantes informan a las víctimas que han ganado un premio, lotería o sorteo para engañarlas y obtener información. Recordarán seguro los mensajes relacionados con el supuesto acceso anticipado al iPhone 12 de Apple que circularon mucho tiempo por nuestras redes de datos.
Lo cierto es que en ambos casos se generan condiciones propicias, para que las víctimas proporcionen voluntariamente información valiosa, como nombres, direcciones y números de tarjetas de crédito. Luego, solicitan pagos fraudulentos, como reparaciones inexistentes o supuestas compras en línea de productos y servicios. Las técnicas de ingeniería social utilizadas en estos ataques muchas veces no requieren conocimientos técnicos avanzados y pueden resultar muy efectivas. Algunos principios claves de dichas técnicas que se aplican en estos ataques son:
- Urgencia: Crean situaciones urgentes para presionar a las víctimas a actuar rápidamente. Por ejemplo, “Su cuenta está comprometida; haga clic ahora para resolverlo”.
- Reciprocidad: Se basa en la idea de que las personas tienden a devolver favores. Los atacantes pueden ofrecer algo pequeño (como un regalo o cumplido) para obtener información o acceso.
- Confianza: Los atacantes se hacen pasar por figuras de confianza, como colegas, amigos o autoridades. La víctima baja la guardia y comparte información sensible.
- Consistencia: Atacar las costumbres y hábitos de las personas. Si alguien ha realizado una acción previamente (como hacer clic en un enlace), es más probable que lo haga de nuevo.
- Autoridad: Los atacantes se presentan como expertos o figuras de autoridad. Las personas tienden a seguir instrucciones de quienes perciben como líderes.
- Validación social: Si otros lo están haciendo, debe ser seguro, ¿verdad? Los atacantes explotan la tendencia de las personas a seguir la multitud.
Ciertamente, resulta, a veces, difícil detectar este tipo de ataques a tiempo. Las víctimas pueden no darse cuenta de que están siendo estafadas hasta que ya han compartido sus credenciales. Algunos consejos que ofrece este autor para protegerse pudieran ser:
- Desconfía de llamadas inesperadas: No reveles información personal sin verificar la autenticidad de la llamada. Nunca envíes por mensaje de texto una contraseña ni un código de recuperación de cuenta.
- Verifica la identidad de quien te contacta: Pregunta por detalles específicos antes de compartir datos.
- No sigas instrucciones apresuradamente: Tómate tu tiempo para evaluar la situación.
- Informa a las autoridades: Si caes en una estafa, denúnciala a las autoridades competentes para proteger a otros usuarios.
Por hoy es todo, hasta acá hemos compartido algunos de los consejos que pueden resultar útiles a la hora de protegernos ante un ataque de suplantación de identidad. Como siempre les recordamos mantener una actitud responsable en el ciberespacio. Nos vemos la próxima semana.