Autor: Jorge Mieres, Analista de Seguridad de ESET para Latinoamérica
 

A lo largo del tiempo y conjuntamente con la evolución de Internet, fueron surgiendo nuevas tecnologías que acompañaron las necesidades de los usuarios en lo que a materia informática se refiere.

En forma paralela, fueron apareciendo nuevas modalidades delictivas con fines de lucro que a través de diferentes técnicas buscan obtener información sensible de los usuarios para cometer fraudes.

Es así que en la actualidad entre las amenazas más comunes que circulan en Internet son se encuentran las estafas basadas en metodologías de engaño como la Ingeniería Social para captar la atención de potenciales víctimas y encontrando, en técnicas como el Phishing, a los aliados perfectos.

En este sentido, el phishing fue mutando hasta lograr adaptarse a nuevas tecnologías que son utilizadas masivamente por usuarios.

Siendo el phishing una forma de estafa cuyo principal objetivo es la obtención de información crítica de los usuarios -contraseñas, PIN, números de tarjetas de crédito, etc.- utiliza metodologías de engaño para cometer estafas online que en la mayoría de los casos representan técnicas asociadas a códigos maliciosos.

En tal sentido, tecnologías que en la actualidad se encuentran masificadas como Voz sobre IP (VoIP) y telefonía móvil se vieron afectadas por la natural “adaptación” del phishing y día a día sus usuarios se han convertido en los blancos de acciones fraudulentas a través de estos canales de comunicación.

En el caso de Voz sobre IP, la nomenclatura que recibe el fraude se denomina Vishing (conjunción de voice y phishing) y al igual que el Phishing, busca obtener a través de la Ingeniería Social datos confidenciales -por lo general financieros- que luego son utilizados por sus creadores con fines maliciosos y fraudulentos como el robo de identidad.

Su metodología puede ser simplificada de la siguiente manera:

La víctima recibe una llamada telefónica y al aceptarla se le informa que por cuestiones de seguridad, o algún otro motivo afín, debe ser verificada la información relacionada a su tarjeta de crédito o la información de acceso al Home Banking.

Cabe aclarar que las llamadas se realizan en forma aleatoria y por lo general a través de lo que se conoce como War dialing (marcado automático de números telefónicos con el fin de encontrar algún módem activo).

En este momento, si el usuario accede al llamado, escuchará un falso mensaje -simulando ser una entidad bancaria- que le solicitará el ingreso, mediante el teclado del teléfono, de la información relacionada a la tarjeta de crédito, es decir, los 16 dígitos que componen el número de la tarjeta.

A partir de ese instante, el visher (persona maliciosa que práctica vishing) obtendrá los datos necesarios para cometer el fraude e incluso el robo de identidad.

Al igual que el Vishing,  otra de las tecnologías que se ha masificado es la comunicación a través de telefonía celular; en este caso, la actividad fraudulenta que la explota recibe el nombre de SMiShing (conjunción de SMS y phishing).

El Smishing consiste en el envío de falsos mensajes de texto que aparentan ser de entidades confiables, donde cada mensaje incorpora alguna metodología de engaño con el fin de obtener los datos de los usuarios, por lo general relacionados a una entidad bancaria. 

El modo de operación es muy similar al Vishing con la única diferencia que el fraude se intenta llevar a cabo por intermedio de otra vía de comunicación. Básicamente, los usuarios reciben un mensaje SMS (Short Message Service - Servicio de mensajes cortos) informando sobre una supuesta suscripción, o algo similar, para lo cual se solicita que confirme el mensaje para poder validarla.

Indicando además, que la suscripción no es gratuita y que se cobrará un porcentaje de dinero a menos que se cancele la suscripción. Para llevar a cabo la cancelación el mismo SMS proporciona una dirección web a la que el usuario debe acceder para supuestamente cancelar la suscripción.

Contrariamente a ello, al ingresar al enlace el usuario se ve obligado a descargar una aplicación que se supone necesaria para realizar con éxito el proceso de anulación; sin embargo, lo que el usuario termina descargando son distintos códigos maliciosos.

Tanto el Vishing como el Smishing son técnicas fraudulentas equivalentes al Phishing que se realizan a través de otros canales de comunicación, que persiguen el mismo objetivo: beneficio económico y que en la mayoría de los casos se encuentra de alguna manera asociado o dependiendo del malware.

Sin embargo, más allá de utilizar diferentes tecnologías, las medidas de seguridad que se deben adoptar para mitigar estas metodologías de fraude son muy similares a las adoptadas para los sistemas informáticos en el caso del Phishing.

Debido a que son técnicas de engaño avanzadas, la prevención contra todo tipo de fraude a través de Internet implica poseer un acabado concepto sobre cuáles son las formas más comunes de operación y de qué manera se llevan a cabo.

En tal sentido, las recomendaciones que se deben tener en cuenta son:
 

•    No ingresar a ninguna dirección web que llegue a través de SMS, ni marcar algún número telefónico sin saber sobre el grado de confianza de dicho número. Este mismo consejo se puede seguir para los correos electrónicos.
•    No proporcionar datos sobre tarjetas de crédito y similares a través de SMS ni telefónicamente aún cuando el llamado o el SMS parezca provenir desde una entidad bancaria confiable.
•    Ante cualquier duda, siempre es preferible comunicarse telefónicamente con la entidad bancaria y averiguar sobre la procedencia del SMS o llamado.
•    Informarse sobre las técnicas y modalidades de estafas a través de Internet y demás tecnologías que utilicemos cotidianamente.
•    Debido a que muchas de estas acciones se realizan de manera automatizada a través de un sistema informático, existen códigos maliciosos que realizan estas acciones desde un equipo informático, por lo tanto, se debe instalar una solución de seguridad proactiva como ESET Smart Security o ESET NOD32 Antivirus que gracias a su Heurística Avanzada brinda protección contra códigos maliciosos conocidos y desconocidos.
 

Siguiendo estas simples recomendaciones se logra un nivel adecuado de protección ante estas nuevas formas de delito que se nutren del desconocimiento de los usuarios.