Vishing: ciberespionaje a través de tu teléfono móvil

A través de nuestro celular estamos siendo espiados todo el tiempo, incluso sin darnos cuenta, ya que existen aplicaciones que no necesitan nuestro permiso para que se ejecuten. A otras, les otorgamos permiso sin saber que pueden rastrear nuestra información. Esto es el Ciberespionaje.

Ciberespionaje en nuestro celular

Muchas veces pecamos de ingenuos frente a los permisos que les otorgamos a algunas aplicaciones, o a la información que entregamos. El ciberespionaje va mucho más allá de lo que imaginamos, está en todas partes, a través de todos los medios, ya que la tecnología le facilita su trabajo.

“La ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos”. Según Wikipedia

O sea, la ingeniería social es espionaje cibernético, ya que consiste en la manipulación de personas influenciándolas a ejecutar determinada acción. De esa forma se entrega información confidencial a terceros, sin darnos cuenta que estamos siendo víctimas de un ataque cibernético.

Métodos de Ciberespionaje

Un ejemplo, es el acelerómetro de los Android, que podría usarse para escuchar las llamadas. En este caso, ni siquiera importa si le otorgas permiso o no a la aplicación para usar el micrófono, ya que no significa que no pueda escucharlo. Generalmente, las aplicaciones piden permiso para acceder al micrófono, pero hay un método alternativo en que no se requiere el permiso del usuario. Esto ocurre en los Android, ya que las aplicaciones no necesitan permiso para acceder al acelerómetro del teléfono. Por lo mismo, los investigadores lo usaron como dispositivo de escucha, a través de las vibraciones que emite el teléfono. Son útiles para aplicaciones de fitness.

Este tipo de ataque “usa una combinación de procesamiento de señales y aprendizaje automático para convertir las muestras de vibración en voz. La técnica funciona tanto si el teléfono está sobre una mesa o en la mano del usuario, siempre que el teléfono reproduzca el sonido a través del altavoz y no a través de un auricular”. Según el portal cybersecuritynews.es

Para que este tipo de ataque se pueda llevar a cabo, un ciberdelincuente tendría que instalar el software malicioso en el teléfono, lo que es posible si es que el usuario estuviera navegando en ese momento en una página falsa o maliciosa.

Obviamente, una forma de prevenir este tipo de ataque es activando los controles que tienen que ver con los permisos para el acelerómetro. Como bien lo ha hecho Google en los sensores del GPS.

Otra forma de espionaje cibernético es el Vishing (combinación de las palabras Voz y Phishing), son estafas de phishing que se hacen por teléfono. El objetivo de este ataque es conseguir información confidencial y personal del usuario atacado, especialmente bancaria.

¿Cómo opera la técnica Vishing?

El estafador debe ser muy habilidoso para ser lo más creíble posible a través del teléfono, prepara todo un plan de lo que debe decir, un esquema muy creíble. La técnica que utiliza es la siguiente:

  • Información correcta: tienen toda la información personal de la persona a quién van a estafar, por lo tanto, son creíbles.
  • Urgencia: hacen creer a la víctima que su dinero está en riesgo, por lo tanto, la persona actúa por miedo y sin pensar.
  • Habilidades telefónicas: hacen creer que el teléfono proviene de otro sitio.
  • Atmósfera empresarial: se escucha mucho ruido de fondo, así parece que fuera un call-center.

Son muy difíciles de rastrear los ataques de Vishing, porque usan una tecnología llamadaVoIP (voz sobre IP)lo que significa que la llamada empieza y termina en un ordenador, que puede estar en cualquier parte del mundo.

¿Cómo protegerse de este ataque llamado Vishing?

  • Nunca llamar al número que le han dado o al que quedó registrado en el identificador de llamadas. Verificar si el número corresponde al verdadero, por ejemplo de un banco, si es que se hicieron pasar por una entidad bancaria.
  • Nunca dar información personal. A nadie.
  • Si recibe una llamada sospechosa es mejor colgar.

Existen muchas formas de ciberataques, cada vez más sofisticadas, de acuerdo al avance de la tecnología. Si pasamos muchas horas conectados en los diferentes dispositivos, debemos ser cautelosos e informarnos continuamente de las posibles amenazas a las que estamos expuestos. Tomar medidas preventivas y en caso de ser víctimas de un ataque cibernético estar preparados para actuar. Siempre es mejor estar a la defensiva que muy confiados, sobretodo en lo que respecta a la tecnología, ya que su avance es vertiginoso.

Así como existen técnicas de ataques cibernéticos, también existen aplicaciones que protegen nuestra información. Para estar informados siempre hay que actualizar nuestros conocimientos.


Fuentes utilizadas en este artículo:

https://cybersecuritynews.es/el-acelerometro-de-los-android-podria-usarse-para-escuchar-las-llamadas/?utm_source=dmdelivery&utm_medium=email&utm_content=DMDlink%2011&utm_campaign=Newsletter%20CyberSecurity%20News%2005%2F08%2F2019%20URL%20parameter%20pattern

https://blog.mailfence.com/es/vishing-2/

https://www.bbva.com/es/phishing-vishing-smishing-que-son-y-como-protegerse-de-estas-amenazas/

https://www.cope.es/actualidad/espana/noticias/geolocalizacion-traves-del-movil-para-nuestra-seguridad-20191112_548869


Formación en Ciberseguridad

Te recomendamos nuestro curso Máster en Ciberseguridad, Análisis e Ingeniería, dictado por nuestro Centro de Formación INISEG.

El Máster en Ciberseguridad, Análisis e Ingeniería es una titulación oficial de II livello (segundo nivel) de la universidad Pegaso de Italia, que da acceso al doctorado debido a su adaptación y acogida al plan Bolonia y al Espacio Europeo de Educación Superior (EEES).

El objetivo principal de este Máster es entregar al alumno los conocimientos avanzados en Ciberseguridad, para saber prevenir, detectar y actuar eficientemente frente a los ataques cibernéticos, de acuerdo al avance de la tecnología.

Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedInEmail this to someonePrint this page

Dejar una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *


*