AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Empresas

### Cibercriminales Utilizan Microsoft, PayPal y DocuSign en Campañas de Vishing Altamente Sofisticadas

admin

#### Introducción

En los últimos meses se ha detectado un incremento significativo en campañas de ingeniería social que explotan la confianza en grandes marcas como Microsoft, PayPal y DocuSign. Los atacantes están perfeccionando técnicas de vishing (phishing por voz) mediante el envío de correos electrónicos que inducen a los usuarios a llamar a números de teléfono gestionados por los propios cibercriminales. Este nuevo vector de ataque, que combina elementos tradicionales de phishing con ingeniería social avanzada, representa un riesgo elevado tanto para empresas como usuarios particulares.

#### Contexto del Incidente o Vulnerabilidad

La tendencia de utilizar nombres y marcas reconocidas en campañas de fraude no es nueva, pero los actores de amenazas están refinando sus tácticas. Según investigaciones recientes de empresas de ciberseguridad, se han detectado múltiples oleadas de correos fraudulentos que simulan notificaciones legítimas de empresas como Microsoft, PayPal y DocuSign, entre otras. Estos correos instan a la víctima a resolver supuestos problemas en sus cuentas o confirmar operaciones, proporcionando un número de teléfono como único canal de contacto. Al llamar, la víctima interactúa directamente con el atacante, quien emplea técnicas de manipulación psicológica para obtener credenciales, datos bancarios o acceso remoto a sistemas corporativos.

#### Detalles Técnicos

Las campañas identificadas emplean técnicas de spear phishing y vishing, utilizando como punto de partida el envío masivo de correos electrónicos (a menudo sin archivos adjuntos ni enlaces maliciosos, dificultando así su detección por los filtros tradicionales). Los mensajes suelen contener elementos visuales idénticos a los de las comunicaciones legítimas de las marcas suplantadas, aprovechando frameworks de phishing como Evilginx2 para el clonado de interfaces.

**Vectores de ataque:**
– Correos electrónicos diseñados para evadir filtros antiphishing estándar.
– Números VoIP temporales y rotativos, a menudo adquiridos mediante servicios como Twilio o Google Voice.
– Uso de scripts automatizados para gestionar la respuesta inicial antes de transferir la llamada a un operador humano.

**Tácticas, Técnicas y Procedimientos (TTPs) según MITRE ATT&CK:**
– **T1566.001 (Phishing: Spearphishing Attachment):** Aunque sin adjuntos maliciosos, se utiliza el correo electrónico como vector inicial.
– **T1204 (User Execution):** El ataque requiere la interacción de la víctima (llamada telefónica).
– **T1078 (Valid Accounts):** Si logran obtener credenciales, pueden acceder a cuentas legítimas para movimientos laterales.

**Indicadores de Compromiso (IoC):**
– Prefijos telefónicos internacionales o números poco habituales en comunicaciones oficiales.
– Correos con remitentes aparentemente legítimos pero con dominios ligeramente alterados.
– Scripts de automatización para recepción de llamadas, detectables en logs de telefonía VoIP.

No se han detectado exploits públicos específicos asociados a vulnerabilidades CVE en este tipo de campañas, aunque sí se ha observado el uso de herramientas de acceso remoto como AnyDesk y TeamViewer, instaladas tras engañar a la víctima durante la llamada.

#### Impacto y Riesgos

Las consecuencias de este tipo de ataques son considerables. En el ámbito empresarial, se han reportado incidentes de secuestro de cuentas (account takeover), fraude financiero y exfiltración de información confidencial. Según datos de la Agencia de la Unión Europea para la Ciberseguridad (ENISA), el vishing supuso el 18% de los intentos de acceso no autorizado en 2023. Las pérdidas económicas globales asociadas a fraudes de ingeniería social superaron los 2.400 millones de dólares el último año, según el FBI IC3.

En el caso de las organizaciones sujetas a GDPR o la nueva directiva NIS2, los incidentes que resulten en filtraciones de datos personales pueden acarrear sanciones de hasta el 4% de la facturación anual y la obligación de notificar la brecha a las autoridades competentes y a los afectados.

#### Medidas de Mitigación y Recomendaciones

Para minimizar el riesgo frente a estas campañas, los expertos recomiendan:

– **Formación continua de empleados:** Programas de concienciación sobre ingeniería social y simulaciones de vishing.
– **Políticas de verificación:** Nunca proporcionar información sensible a través de llamadas iniciadas por el usuario a números recibidos por correo.
– **Filtro avanzado de correo:** Implementación de soluciones antiphishing basadas en inteligencia artificial capaces de detectar patrones de ingeniería social y dominios sospechosos.
– **Revisión de logs de telefonía:** Monitorización de llamadas entrantes y salientes a números inusuales.
– **Implementar MFA:** Autenticación multifactor para minimizar el impacto del robo de credenciales.

#### Opinión de Expertos

Antonio Ramos, consultor sénior de ciberseguridad, señala: “El vishing representa una evolución peligrosa del phishing tradicional. La interacción directa con el atacante elimina muchas de las barreras tecnológicas que impiden el fraude. Es imprescindible que las organizaciones combinen la tecnología con la formación del factor humano”.

Por su parte, la analista de amenazas Laura Cerezo añade: “Estamos viendo una profesionalización de los call centers del cibercrimen, con scripts y protocolos de actuación muy similares a los de los servicios de atención al cliente legítimos”.

#### Implicaciones para Empresas y Usuarios

Las empresas deben adaptar sus estrategias de prevención y respuesta para contemplar este tipo de amenazas híbridas. El vishing puede ser el eslabón inicial de ataques más complejos como el compromiso del correo electrónico corporativo (BEC) o la instalación de malware mediante ingeniería social.

Para los usuarios, la principal recomendación es desconfiar de cualquier comunicación que solicite acciones urgentes o datos sensibles, especialmente si se canaliza a través de una llamada telefónica a un número recibido por email.

#### Conclusiones

El auge del vishing apoyado en la suplantación de marcas de confianza exige una respuesta integral por parte de las organizaciones. La combinación de tecnología, formación y políticas claras es esencial para reducir la superficie de ataque y evitar compromisos que pueden tener alto impacto económico y reputacional.

(Fuente: www.darkreading.com)