Phishing, Spear Phishing y Whaling. Esto fue lo que anteriormente revisamos y aprendimos en el anterior.

¿Eso es todo? 

Ciertamente no, aún quedan algunos conceptos que es necesario abordar y conocer debido a que como profesionales de seguridad debemos afrontar, de manera diaria, este tipo de amenazas como un riesgo hacia nuestros activos de información. Ademas, es principalmente importante cuando diseñamos campañas de concientización en ciberseguridad para nuestros usuarios. Entonces, aprendamos sobre Vishing y Smishing y con esto cerramos las distintas variantes de Phishing.

¿ Te suena la frase: “El cuento del tío ?

“El cuento del tío” es el nombre que recibe en Chile y otras partes de Latinoamérica, al tipo de estafa en donde se explota la confianza y ambición de las personas a través de una llamada telefónica u otro “vector”. Pues bien, el Vishing es el uso de ingeniería social a través de llamadas telefónicas con el objetivo de aprovecharse de la confianza, ambición y, porque no, la ingenuidad de las personas. Vishing es la contracción de las palabras, en ingles, Voice Phishing y es una técnica, cuando existe habilidad, altamente efectiva. El Vishing puede ser realizado por una persona o puede ser automatizado mediante un sistema tipo IVR o similar haciendo uso de un contexto o atmósfera de confianza, autoridad, urgencia, empresa u otro. No necesariamente todos estos juntos, aunque podrían también estar todos presentes. Dependerá del grado de personalización que posea la campaña.

Entonces, Ahora si ya terminamos… o no?

 

Smishing

SMS. Lo mismo que todos los anteriores, pero a través de SMS. ¿Entonces…?

…Si. La contracción de Short Message Service y Phishing. Simple ¿ verdad ?

El Smishing busca obtener información a través del uso y explotación de los mensajes de texto SMS y es categorizada como una amenaza emergente, aunque en realidad no lo es tanto, lleva ya un buen tiempo entre nosotros, aunque es posible que los llamados “Milenials” no conozcan esta antigua tecnología O_o. Lo increíble, es que esta técnica posee una elevada tasa de éxito ya que por alguna extraña y misteriosa razón tendemos a confiar en este tipo de mensajes y cuando no es así, nos gana la curiosidad.

Por supuesto, al igual que todas las variantes de Phishing, especialmente el Spear Phishing, Whaling y Vishing, el Smishing explota la confianza para la obtención de datos confidenciales que pueden, por supuesto, poner en riesgo la seguridad. Este tipo de amenaza es especialmente dañina cuando distribuye malware para dispositivos móviles comprometiendo los mismos sin que los usuarios se enteren. Si a esto incorporamos el concepto de BYOD sin un adecuado control, entonces tenemos un foco potencial de infección y un riesgo que debemos afrontar.

Estas técnicas aisladas pueden ser simples de detectar e incluso rayar en lo inverosímil. Ahora, alineadas en una estrategia de ingeniería social, pueden ser devastadoras. Educar y concientizar a los usuarios es un camino que debe ser abordado, siempre bajo la premisa que nuestros usuarios son el eslabón más débil y con la perspectiva de la seguridad como un proceso.

 

César Millavil A

C|EH – ISO27001LA