Los ciberdelincuentes y los piratas informáticos emplean una variedad de métodos para acceder y robar información confidencial de individuos y organizaciones. Un enfoque cada vez más common es el phishing de voz o de voz. Aquí, el atacante engaña a alguien para que comparta credenciales de cuenta u otra información a través de una easy llamada telefónica. Según los últimos datos de la firma de seguridad CrowdStrike, este tipo de ataques se han disparado.
También: Los piratas informáticos robaron la base de datos 1Password de este ingeniero. ¿Podría pasarte a ti?
En su 11 ° Informe anual de amenaza global de CrowdStrike 2025el proveedor de seguridad reveló que los ataques de Vishing aumentaron un 442% en la segunda mitad de 2024 en comparación con la primera mitad. A lo largo del año, CrowdStrike Intelligence rastreó al menos seis campañas similares pero distintas en las que los atacantes que pretenden ser empleados llamaron empleados en diferentes organizaciones.
Ingeniería social de la mesa de ayuda
En estas campañas particulares, los estafadores intentaron convencer a sus víctimas previstas para establecer sesiones de soporte remoto, generalmente utilizando la herramienta de asistencia rápida de Microsoft integrada en Home windows. En muchos de estos, los atacantes usaron equipos de Microsoft para hacer las llamadas telefónicas. Al menos cuatro de las campañas vistas por CrowdStrike utilizaron bombardeos de spam para enviar miles de correos electrónicos basura a los usuarios objetivo como pretexto para la supuesta llamada de soporte.
También: Cómo protegerse de los ataques de phishing en Chrome y Firefox
El tipo de chaleco utilizado en estos ataques a menudo se conoce como ingeniería social de la mesa de ayuda. Aquí, el cibercriminal que se hace pasar por una mesa de ayuda o un profesional de TI enfatiza la urgencia de la llamada como respuesta a alguna amenaza inventada. En algunos casos, el atacante solicita la contraseña de la persona u otras credenciales. En otros casos, como los documentados en el informe, el estafador intenta obtener acceso remoto a la computadora de la víctima.
Phishing de devolución de llamada
Otra táctica vista por CrowdStrike es el phishing de devolución de llamada. Aquí, el felony envía un correo electrónico a un individuo sobre algún tipo de asunto urgente pero falso. Esto podría ser un reclamo para una factura atrasada, un aviso de que se han suscrito a algún servicio o una alerta de que su cuenta se ha visto comprometida. El correo electrónico contiene un número de teléfono para que el destinatario llame. Pero, naturalmente, ese número los lleva directamente al estafador, que trata de contactarlos para que compartan los detalles de su tarjeta de crédito, las credenciales de la cuenta u otra información.
Debido a que estos ataques generalmente están dirigidos a las organizaciones, el ransomware es otro componente clave. Al obtener acceso a recursos de purple, cuentas de usuarios o clientes, y otros datos confidenciales, los atacantes pueden contener la información robada para el rescate.
También: Las 10 mejores marcas explotadas en ataques de phishing, y cómo protegerse
En su informe, CrowdStrike identificó algunos grupos de delitos cibernéticos diferentes que usan phishing de chispa y devolución de llamada en sus ataques. Un grupo conocido como Araña charlatosa Se centra principalmente en las industrias legales y de seguros y ha exigido rescate de hasta $ 8 millones. Otro grupo llamó Araña regordeta Se dirigió a las empresas basadas en Brasil a lo largo de 2024 y utiliza llamadas de Vishing para dirigir a los empleados a sitios y herramientas de soporte remoto.
“Comparable a otras técnicas de ingeniería social, Vishing es efectivo porque se dirige a la debilidad o error humano en lugar de a un defecto en el software program o un sistema operativo (OS)”, dijo CrowdStrike en su informe. “La actividad maliciosa no puede detectarse hasta más tarde en una intrusión, como durante la ejecución binaria maliciosa o la actividad práctica de la tecla, lo que puede retrasar una respuesta efectiva. Esto le da al actor de amenaza una ventaja y le da a la responsabilidad a los usuarios a reconocer un comportamiento potencialmente malicioso”.
Consejos para protegerse contra los ataques chorrosos
Para protegerse, sus empleados y su organización de los ataques de salpicaduras y amenazas similares, CrowdStrike ofrece los siguientes consejos:
- Requiere autenticación de video e identificación gubernamental para los empleados que llaman a la mesa de ayuda para solicitar restos de contraseña.
- Entrene a los empleados de la mesa de ayuda para que sean cautelosos al responder llamadas telefónicas que solicitan contraseña o restablecimiento de contraseña o MFA (autenticación multifactor). Deben ser especialmente cautelosos si esas llamadas salen fuera del horario comercial common o si se produce un alto número de dichas solicitudes en un corto período de tiempo.
- Utilice métodos de autenticación más avanzados como Fido2 para proteger contra el compromiso de la cuenta.
- Monitorear los intentos en los que más de una persona intenta registrar el mismo dispositivo o número de teléfono para MFA.
- Ofrezca capacitación de seguridad common para los empleados. Enséñeles cómo reconocer los intentos de phishing y los ataques de ingeniería social.
- Aplique regularmente parches de seguridad y otras correcciones para resolver vulnerabilidades críticas.
