AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Aumentan los Ataques de Smishing y Vishing: Nuevos Retos para la Seguridad Móvil Empresarial

admin

Introducción

En los últimos meses, los equipos de inteligencia de amenazas han detectado un incremento significativo en las campañas de phishing que utilizan canales alternativos al correo electrónico, como el smishing (phishing vía SMS) y el vishing (fraudes por voz). Cyberint, parte de Check Point® Software Technologies Ltd., alerta sobre esta tendencia en su último análisis, respaldado por datos del informe APWG 2024. Estos métodos, cada vez más sofisticados, suponen un desafío adicional para los defensores, ya que explotan la confianza del usuario y la inmediatez de las comunicaciones móviles, afectando tanto a empresas como a particulares.

Contexto del Incidente o Vulnerabilidad

Tradicionalmente, el phishing se ha asociado al correo electrónico, pero la saturación de campañas y la mejora de los filtros antispam han desplazado a los atacantes hacia vectores menos protegidos y con mayor tasa de éxito. El smishing y el vishing aprovechan la ubicuidad de los dispositivos móviles y la menor concienciación de los usuarios ante estos canales. Según el informe APWG 2024, los ataques de smishing han aumentado un 63% en el último año, mientras que el vishing ha experimentado un repunte del 47%, especialmente dirigido a empleados de empresas y usuarios de banca online.

Detalles Técnicos

Los ataques de smishing consisten en el envío de SMS fraudulentos que suplantan entidades legítimas (bancos, operadores o instituciones públicas) e incluyen enlaces a sitios web maliciosos. Estos sitios suelen estar alojados en dominios recién registrados, muchas veces protegidos por servicios de anonimización y certificados SSL gratuitos. Las campañas detectadas emplean cadenas de texto personalizadas y técnicas de spoofing del remitente para aumentar la credibilidad.

En el caso del vishing, los atacantes utilizan sistemas de VoIP y servicios de caller ID spoofing para simular números oficiales y realizar llamadas automatizadas o con operadores reales, solicitando datos confidenciales bajo pretextos creíbles. Se han detectado campañas que incorporan deepfakes de voz para suplantar a altos cargos (técnica asociada al TTP T1589 del framework MITRE ATT&CK).

Ambos vectores suelen formar parte de ataques multicanal (T1566 – Phishing) y se integran con frameworks como Metasploit para explotación posterior o con herramientas de automatización de llamadas y envío masivo de SMS desde plataformas en la nube. Se han observado indicadores de compromiso (IoC) como URLs acortadas, números de teléfono internacionales sospechosos y patrones de tráfico asociados a servicios de SMS phishing-as-a-service.

Impacto y Riesgos

El impacto de estas campañas es considerable. Según estimaciones de Cyberint, el 21% de las organizaciones europeas ha registrado incidentes de smishing/vishing en 2024. Los riesgos principales incluyen robo de credenciales corporativas, acceso a plataformas cloud, fraude financiero y suplantación de identidad, además de facilitar la entrada inicial para ataques de ransomware o BEC (Business Email Compromise).

El coste medio de una brecha originada por smishing/vishing supera los 250.000 euros, considerando investigación forense, notificación a afectados y sanciones regulatorias. Los sectores más afectados son banca, retail, telecomunicaciones y administración pública.

Medidas de Mitigación y Recomendaciones

– Reforzar la autenticación multifactor (MFA) y evitar el uso de SMS como segundo factor cuando sea posible.
– Implementar soluciones de Mobile Threat Defense (MTD) y monitorización de tráfico móvil.
– Concienciar y formar al personal sobre ingeniería social y canales alternativos de phishing.
– Bloquear dominios sospechosos y números de teléfono reportados en feeds de amenazas.
– Establecer procedimientos de verificación de identidad para comunicaciones sensibles.
– Revisar y actualizar los planes de respuesta ante incidentes, incluyendo escenarios de smishing/vishing.
– Cumplir con los requisitos de notificación y protección de datos de la GDPR y la Directiva NIS2.

Opinión de Expertos

Expertos consultados por CyberSecurity News destacan la rápida evolución de estos ataques: “El smishing y vishing representan la nueva frontera de la ingeniería social. Su éxito radica en la confianza que depositamos en nuestros móviles y la falta de mecanismos de seguridad avanzados en SMS y llamadas”, señala Javier López, CISO de una entidad financiera española. Además, advierten que la proliferación de plataformas de phishing-as-a-service democratiza el acceso a estas técnicas, dificultando su trazabilidad y atribución.

Implicaciones para Empresas y Usuarios

Las organizaciones deben revisar sus estrategias de concienciación y defensa, considerando la movilidad y la dispersión geográfica de los empleados. La protección debe extenderse a dispositivos personales utilizados en entornos BYOD (Bring Your Own Device), y los usuarios han de ser instruidos para no compartir información sensible por SMS/llamadas no solicitadas. La adaptación a normativas como NIS2 y la GDPR es crítica ante posibles fugas de datos.

Conclusiones

El auge del smishing y vishing subraya la necesidad de adoptar un enfoque holístico y proactivo frente a la ingeniería social en canales móviles. La combinación de tecnología, formación y procedimientos robustos es clave para mitigar estos riesgos emergentes y evitar pérdidas económicas, regulatorias y reputacionales.

(Fuente: www.cybersecuritynews.es)