### El smishing y vishing se consolidan como amenazas críticas de ingeniería social móvil en 2024

#### Introducción

Durante el primer semestre de 2024, se ha observado un aumento significativo en el uso de técnicas de smishing y vishing como vectores principales en campañas de ingeniería social dirigidas tanto a empresas como a usuarios finales. La unidad de inteligencia de amenazas de Cyberint, integrada en Check Point® Software Technologies Ltd., ha registrado este cambio de paradigma en el informe APWG 2024, poniendo de relieve la diversificación de los métodos empleados por los actores de amenazas para sortear los controles tradicionales de seguridad del correo electrónico.

#### Contexto del Incidente o Vulnerabilidad

Históricamente, el correo electrónico ha sido el canal dominante para la distribución de ataques de phishing. No obstante, las crecientes inversiones en tecnologías de filtrado y concienciación han forzado a los actores maliciosos a explorar vectores alternativos. Según el informe de APWG, los incidentes de smishing (phishing a través de SMS) y vishing (phishing mediante llamadas o mensajes de voz) se han incrementado en un 41% y 38% respectivamente en el último año. Esta tendencia refleja la adaptación de las campañas de ingeniería social al contexto de movilidad y ubicuidad de los dispositivos personales.

#### Detalles Técnicos

Las campañas recientes de smishing y vishing emplean técnicas avanzadas de suplantación de identidad y explotan tanto vulnerabilidades humanas como técnicas. Los mensajes SMS fraudulentos suelen contener enlaces acortados que redirigen a páginas de phishing diseñadas para capturar credenciales o instalar malware, mientras que en vishing, los atacantes utilizan sistemas automáticos de llamadas (IVR spoofing) para simular comunicaciones legítimas de entidades bancarias, servicios gubernamentales o proveedores de servicios.

**Vectores de ataque y TTPs (MITRE ATT&CK):**
– **T1566.001 (Phishing: Spearphishing via Service):** Uso de SMS y llamadas para engañar a la víctima.
– **T1204 (User Execution):** Solicitud de interacción directa para descarga de aplicaciones o revelación de información.
– **T1589 (Gather Victim Identity Information):** Recolección de datos personales para campañas dirigidas.

**Indicadores de Compromiso (IoC):**
– Números de teléfono virtuales reutilizados.
– URLs acortadas y dominios recientemente registrados.
– Plantillas de landing pages clonadas de entidades financieras y administraciones públicas.

Las campañas más sofisticadas han integrado herramientas como Metasploit para el despliegue de payloads en dispositivos móviles Android, y la utilización de frameworks como Evilginx2 para el robo de tokens de sesión en ataques de phishing de credenciales multifactor.

#### Impacto y Riesgos

El impacto para las organizaciones es muy relevante, pues los controles perimetrales tradicionales no detectan estos vectores. El informe cita que un 62% de las empresas europeas han reportado intentos de smishing en el último trimestre, y el coste promedio por incidente se estima en 150.000 euros, cifra que puede multiplicarse si se produce una brecha de datos bajo el marco regulatorio del GDPR o la directiva NIS2.

En el caso de los usuarios, la suplantación de entidades bancarias y la obtención de credenciales de acceso puede derivar en fraudes financieros directos y exposición de datos sensibles.

#### Medidas de Mitigación y Recomendaciones

Los expertos recomiendan una combinación de medidas técnicas y procedimentales:
– Implementación de soluciones de Mobile Threat Defense (MTD) y sistemas de análisis de tráfico SMS para detección de patrones anómalos.
– Refuerzo de la autenticación multifactor con métodos resistentes al phishing (FIDO2, tokens físicos).
– Monitorización de dominios y números de teléfono sospechosos mediante threat intelligence.
– Formación continua a empleados y usuarios sobre riesgos asociados a comunicaciones fuera del correo corporativo.

Asimismo, es esencial mantener actualizadas las políticas de respuesta a incidentes, incluyendo procedimientos específicos para ataques a dispositivos móviles y canales de comunicación alternativos.

#### Opinión de Expertos

Según Daniel Jiménez, CISO de una entidad bancaria española, “la sofisticación de los ataques de vishing y smishing ha superado ya las capacidades de detección tradicionales. Es imprescindible invertir en inteligencia de amenazas específica para movilidad y consolidar la formación en estos nuevos escenarios”.

Por su parte, el equipo de Cyberint advierte que la adopción de IA generativa para la creación de mensajes de voz sintéticos y la automatización del spear-phishing móvil anticipa una escalada en la eficacia de estas campañas para 2025.

#### Implicaciones para Empresas y Usuarios

La consolidación del smishing y vishing como vectores preferentes implica que tanto empresas como usuarios deben revisar sus estrategias de protección. Las compañías que gestionan datos sensibles o transacciones económicas están especialmente expuestas, pudiendo incurrir en sanciones bajo GDPR en caso de brechas no notificadas o mal gestionadas. Además, la directiva NIS2 impone nuevas obligaciones de reporte y resiliencia para infraestructuras críticas afectadas por este tipo de incidentes.

#### Conclusiones

El auge de las campañas de smishing y vishing demuestra la capacidad de adaptación de las amenazas de ingeniería social al contexto actual de movilidad y digitalización. La combinación de técnicas psicológicas y tecnológicas exige una respuesta holística, que combine tecnología, monitorización avanzada y formación continua. Las organizaciones deben anticipar estos riesgos y reforzar sus capacidades de defensa en el canal móvil para evitar impactos económicos, regulatorios y reputacionales.

(Fuente: www.cybersecuritynews.es)