Callback phishing: entiende qué es y cómo funciona esta nueva tendencia

Todos los días surgen nuevas formas de ingeniería social. La nueva táctica que se conoce como callback phishing, por ejemplo, lo tiene todo para convertirse en una "moda” entre los delincuentes cibernéticos. También llamado “phishing híbrido”, la estafa ha recibido ese nombre justamente por combinar dos modalidades de ataques cibernéticos muy conocidas: los phishings, que son caracterizan e-mails falsos enviados por los ciberdelincuentes, y los vishings, que consisten en abordajes engañosos por vía telefónica. 

Primero, la víctima recibe un mensaje en su e-mail comercial que, aparentemente, pertenece a una empresa, institución o a determinada persona. En general, la entidad personificada es un proveedor de alguna solución que la empresa ya utiliza o en la que pueda tener interés, como herramientas de ciberseguridad, por ejemplo. 

El tono en el que están escritos los mensajes suele ser bastante profesional, por lo que pueden convencer al colaborador, por ejemplo, de que ha habido algún problema con la solución de seguridad adoptada por la empresa y de que los técnicos responsables necesitan verificar el problema urgentemente de manera remota.

A esto le sigue la etapa telefónica. Para obtener más credibilidad y no ser bloqueados por los filtros antispam, los estafadores no incluyen ni adjuntos ni enlaces: le piden al colaborador que llame inmediatamente a un supuesto centro de atención de llamadas para recibir instrucciones. 

Si el empleado lo hace, lo atenderá un estafador sumamente cordial, que lo orientará a entrar a una página maliciosa mediante la cual, además de robarle datos personales (incluyendo las credenciales para sistemas internos de la empresa), el malhechor podrá diseminar malwares.

¿Qué daños puede causar este tipo de estafa?

La mayoría de las veces, el callback phishing se utiliza para instalar troyanos de acceso remoto (remote access trojans o RATs, en inglés) en la computadora de la víctima, que no son otra cosa que virus diseñados para espiar la máquina afectada. Suelen tener la habilidad de replicarse por toda la red de la empresa mediante movimiento lateral, lo que significa que, si la máquina de un único colaborador es afectada, es posible que, en poco tiempo, toda la oficina esté comprometida, si no hay una segmentación adecuada en la infraestructura.

Claro, aunque los RAT sean comunes, nada impide que se use el phishing híbrido para otras finalidades. Algunos investigadores han identificado el uso de esa táctica para distribuir los tan temidos ransomwares. En este caso, el único objetivo de los ciberdelincuentes es ganar dinero rápido cifrando datos importantes y exigiendo un rescate inmediato, generalmente por medio de criptomonedas.

Lo que más ha impresionado a la comunidad de ciberseguridad es cuán convincentes son los mensajes de callback phishing, a diferencia de los e-mails maliciosos convencionales. De forma dirigida, los estafadores realmente elaboran un comunicado muy bien escrito, en un tono altamente formal, usando la identidad visual de empresas famosas e incluso argumentando que el equipo de TI de la empresa de la víctima tiene conocimiento del contacto.

Técnicas de evasión

Como cualquier otra estafa de ingeniería social, la concienciación es la clave para evitar caer en la trampa de un callback phishing. Al recibir un e-mail sospechoso, piénsalo dos veces antes de tomar cualquier actitud: acciona inmediatamente al equipo de seguridad o de tecnología de la información para verificar si el mensaje es real y si el supuesto proveedor es, de hecho, aquel con el cual trabaja la corporación, por ejemplo.