Estafas Tu número de teléfono es más que una forma de contactarte: los estafadores pueden usarlo para atacarte con mensajes maliciosos e incluso explotarlo para obtener acceso a tu cuenta bancaria o robar datos corporativos 13 de agosto de 2024 • , 5 min. de lectura El mes pasado, analizamos cómo los estafadores pueden obtener acceso a tu número de teléfono y cómo las violaciones de datos y las campañas de phishing podrían facilitar su obtención. En esta publicación del blog, nos centraremos más en por qué los números de teléfono son objetivos valiosos y analizaremos los riesgos asociados con su vulneración. La industria de las cámaras web Los estafadores en línea siguen obteniendo ganancias asombrosas de una amplia variedad de esquemas fraudulentos. En los últimos años, muchos de estos esquemas han sido orquestados por sindicatos criminales que gestionan complejos de estafas en el sudeste asiático, donde se obliga a las personas víctimas de trata a ejecutar elaboradas estratagemas, como el sacrificio de cerdos. Aparte de construir relaciones falsas en línea, las tácticas de muchos estafadores en línea a menudo implican la creación de escenarios que exigen una acción urgente o se basan en otras artimañas, incluyendo supuestas apropiaciones de cuentas bancarias o de PayPal, dispositivos comprometidos con malware, entregas fallidas de paquetes e incluso parientes secuestrados y otros esquemas que aprovechan la inteligencia artificial (IA). En el centro de muchos esquemas de fraude en línea se encuentra el phishing y otros ataques de ingeniería social. Su éxito radica en gran medida en su naturaleza de bajo costo/alta recompensa, escalabilidad, capacidad de explotar las debilidades humanas, así como los desafíos de la aplicación de la ley transfronteriza. Para colmo, puede ser necesario un «phishing» exitoso para pagar toda la operación. Dame algunos números Veamos ahora cómo encajan los números de teléfono en esto, por qué son, junto con las credenciales de inicio de sesión de la cuenta, tan valiosos para los estafadores y cómo se pueden aprovechar para fines maliciosos. Smishing y hacking Para empezar, los actores de amenazas podrían atacarte con malware disfrazado de enlaces o archivos adjuntos benignos que, sin embargo, instalarán spyware u otro malware en tu dispositivo o exfiltrarán tus datos personales de este. Alternativamente, pueden enviarte mensajes que tienen como objetivo engañarte para que entregues tus credenciales de inicio de sesión u otra información personal en sitios web de phishing. Figura 1. Ejemplo de un mensaje de smishing que se aprovecha de las credenciales de inicio de sesión de PayPal de las personas (lee más aquí / fuente de la imagen: BleepingComputer) Por ejemplo, el Informe de amenazas de ESET H1 2024 destacó la proliferación del malware GoldPickaxe que en su iteración de iOS emplea un esquema de ingeniería social de varias etapas que persuade a las víctimas para que instalen un perfil de administración de dispositivos móviles, lo que les da a los actores de amenazas un control total sobre el teléfono de la víctima. Reenvío de llamadas, intercambios de SIM y suplantación de identificador de llamadas A pesar del auge de la comunicación digital, las llamadas telefónicas y los mensajes siguen siendo un método confiable para intercambiar información confidencial. En los esquemas de reenvío de llamadas, los estafadores se comunican con usted o con su proveedor de servicios y, en última instancia, hacen que las llamadas telefónicas se reenvíen desde su número de teléfono a un número bajo su control. Si bien el proveedor puede solicitar la verificación, el estafador ya podría tener acceso a más de sus datos personales (de filtraciones de datos o fuentes públicas), lo que hace que esta estafa sea fácil de realizar. De manera similar, los estafadores de intercambio de SIM pueden engañar a su operador de telefonía móvil para que active su tarjeta SIM con su nombre / número anterior, portando efectivamente su número a su tarjeta SIM. Esta estafa es «más ruidosa» que el reenvío de llamadas principalmente porque, como resultado, pierde el acceso a su red telefónica. Si bien también requiere cierta investigación sobre la vida de la víctima para el proceso de verificación, el intercambio de SIM ha sido una amenaza grave durante años. Los estafadores pueden falsificar su identificador de llamadas haciéndose pasar por su número, utilizando Voz sobre Protocolo de Internet (VoIP) o servicios de suplantación de identidad, y otros métodos. Como resultado, los atacantes podrían ocultar su identidad mientras cometen estafas financieras y otros delitos y se hacen pasar por usted o su contacto de confianza. Figura 2. Otro ejemplo de un intento de smishing (más información aquí) ¿Por qué todas estas estafas son una amenaza tan grande? En la actualidad, muchos servicios en línea dependen de números de teléfono para la autenticación y la recuperación de cuentas. Por lo tanto, comprometer un número de teléfono puede ser equivalente a eludir sus medidas de seguridad, incluida la autenticación de dos factores (2FA). Además, los estafadores pueden hacerse pasar por usted para defraudar a sus contactos, o a su empleador. Phishing para obtener datos corporativos En la actualidad, muchos empleados usan teléfonos personales o de la empresa para verificar sus correos electrónicos o mensajes corporativos. Esto crea un vector notable para los ataques, ya que las computadoras ya no son los únicos puntos de acceso para los intentos de vulneración. Los estafadores podrían hacerse pasar por ejecutivos de empresas o departamentos de contabilidad para solicitar transferencias de dinero para fines «comerciales». De hecho, el objetivo final de muchos estafadores es obtener acceso a los sistemas y fondos corporativos. El elemento humano también juega un papel crucial en estos esquemas. A menudo no verificamos la legitimidad de las solicitudes antes de cumplir con ellas, lo que facilita que los ataques de phishing tengan éxito y, en última instancia, resulten en un daño financiero sustancial para las empresas. Fraude del CEO Por ejemplo, imagina que eres contador en una gran empresa financiera. Estás jugando con Excel cuando recibes una llamada telefónica, aparentemente de tu jefe, pidiéndote que transfieras dinero para un acuerdo comercial cuyo éxito depende de tu pronta acción. Estas estafas son bastante reales. Dado que la llamada parece provenir del número de tu jefe, es posible que no cuestiones su legitimidad, y no serías el único. Las noticias se llenan de menciones de este «fraude del CEO», un subconjunto del fraude de compromiso de correo electrónico empresarial (BEC). Hoy en día, estas estafas están potenciadas por la IA, con actores de amenazas que utilizan la clonación de voz para suplantar mejor a alguien (en caso de que la suplantación de identificador de llamadas no fuera suficiente). Entonces, ¿qué hacer en tiempos tan peligrosos? Aumentar la red de seguridad Afortunadamente, hay algunas formas en que las personas y las empresas pueden mantenerse libres de estafas telefónicas: Validar: Nunca respondas ni interactúes con personas o remitentes desconocidos, y siempre que recibas una solicitud de datos personales de una entidad «confiable», llámala primero y pregunta si la solicitud que recibiste era genuina. Comuníquese con su proveedor de servicios: para evitar el reenvío o el intercambio de SIM, pídale a su proveedor de servicios que proteja su cuenta contra cambios no deseados con factores de seguridad adicionales como bloqueos de SIM para evitar el intercambio o verificaciones más exhaustivas. Tenga cuidado con lo que comparte: para evitar que las estafas recopilen más datos sobre usted, tenga cuidado con lo que comparte sobre usted en línea. La suplantación de identidad se basa en presentarse como alguien que conoce, así que trate de limitar su exposición pública. Olvídese de los SMS: para evitar el fraude, proteja sus cuentas con autenticación de dos factores basada en aplicaciones en lugar de una basada en SMS. Esta última se puede interceptar fácilmente y permite a los delincuentes comprometer sus cuentas con facilidad. Use seguridad móvil: el phishing, ya sea a través de mensajes o llamadas, se puede detectar con un software de seguridad móvil sólido. Para las empresas, la defensa contra amenazas móviles y la autenticación segura pueden ayudar a superar tales amenazas. Para concluir, dado que un número de teléfono puede ser una puerta de entrada para los actores de amenazas y conducir a un compromiso empresarial a gran escala y millones en daños, debe mantenerse lo más privado posible, al igual que cualquier otro identificador único, después de todo. El phishing sigue siendo una gran amenaza, así que manténgase alerta y recuerde: ¡la validación y la autenticación son las claves para mantenerse seguro! Mientras tanto, ¿por qué no prueba su destreza para detectar el phishing en nuestro cuestionario rápido?