El phishing es un ataque contra la privacidad de los datos en el que la propia víctima da a conocer sus datos personales, después de morder el anzuelo. No es muy diferente de «pescar»! La suplantación de identidad (phishing) a través de VoIP está tan extendida que se le ha asignado un término especial: vhishing.

En esto nos fijamos:

• Cómo funciona el phishing
• Ejemplos de ataques de phishing
• VoIP y phishing
• Cómo VoIP facilita el phishing
• Cómo prevenir y evitar el phishing

¿Cómo funciona el phishing?

El phishing es un tipo de ataque que ha ganado popularidad y es una forma más fácil para los ladrones de datos de obtener lo que quieren. De los millones de usuarios de teléfonos inteligentes e Internet que hay por ahí, todavía hay un gran grupo de usuarios ingenuos que se quedan embaucados.

El phishing funciona así: un ladrón de datos le envía un mensaje de correo electrónico o un mensaje de voz que hace que parezca un mensaje oficial de una empresa con la que tiene intereses financieros o de otro tipo, como su banco, PayPal, eBay, etc. En el mensaje, se le informa de un problema que le pone en alarma y se le pide que vaya a un sitio o llame a un número donde tiene que dar sus datos personales como número de tarjeta de crédito, contraseñas, etc.

Algunos usuarios son atraídos tan fácilmente que los atacantes los engañan para que les den su número de tarjeta de crédito, fecha de caducidad y código de seguridad, que utilizan para hacer transacciones con la tarjeta de crédito o para hacer tarjetas de crédito clonadas. Eso puede ser financieramente devastador.

Ejemplos de ataques de phishing

Estos son algunos ejemplos de cómo puede ser atacado si es un objetivo de phishing:

1. Usted recibe un correo electrónico de PayPal, eBay o empresas similares, informándole de alguna irregularidad por su parte, e indicando que su cuenta está congelada. Se le dice que la única manera de liberar su cuenta es ir a un enlace dado y dar su contraseña y otra información personal.

2. Usted recibe un mensaje de voz de su departamento de banca por Internet diciendo que alguien ha intentado manipular su contraseña y que hay que hacer algo rápidamente para guardar su cuenta. Se le pide que llame por teléfono a un número determinado y que proporcione sus credenciales para que pueda cambiar sus credenciales de cuenta existentes.

3. Usted recibe una llamada telefónica de su banco diciendo que han notado algunas actividades sospechosas o fraudulentas en su cuenta bancaria, y pidiéndole que le devuelva el teléfono (porque la mayoría de las veces la voz está pregrabada) y/o que dé su número de cuenta bancaria, número de tarjeta de crédito, etc.

Como ejemplo concreto, hace algún tiempo, se informó a un cliente sobre la suspensión de su cuenta en Bank of America porque supuestamente se utilizaba para comprar «bienes o servicios obscenos o con orientación sexual». El mensaje decía así:

«Por la presente le notificamos que, después de una revisión reciente de la actividad de su cuenta, se ha determinado que usted está violando la Política de Uso Aceptable de Bank of America. Por lo tanto, tu cuenta ha sido temporalmente limitada para: hotjasmin.com cam shows. Para eliminar el límite, por favor llame a nuestro número GRATUITO[omitido]» A la víctima se le pidió que introdujera cierta información, incluyendo su PIN bancario, en estas palabras, «Bank of America solicita su PIN para verificar su identidad. Esto también nos permite ayudar a las autoridades federales a prevenir el lavado de dinero y otras actividades ilegales».

VoIP y phishing

Antes de que VoIP se hiciera popular, los ataques de phishing se hacían a través de mensajes de correo electrónico de spam y teléfonos fijos PSTN. Desde el advenimiento de VoIP en muchos hogares y negocios, los phishers (¿o phishermen?) han pasado a hacer llamadas telefónicas, lo cual tiene una tasa de accesibilidad más alta en comparación con el correo electrónico.

Se plantea la cuestión de por qué los phishers no utilizaban teléfonos que utilizaban la RTPC antes de la VoIP. La RTPC es tal vez el medio de telecomunicación más seguro y moderno y tiene tal vez la red y la infraestructura más seguras. VoIP es más vulnerable que PSTN.

Cómo VoIP facilita el phishing

El phishing se facilita a los atacantes que utilizan VoIP por las siguientes razones:

• VoIP es más barato que PSTN y ahora está ampliamente disponible.
• Con VoIP, los atacantes pueden alterar el identificador de llamadas que aparece a los usuarios y hace que parezca que su banco o cualquier otra organización de confianza se está poniendo en contacto con ellos.
• El software de VoIP para PBXs, como el muy popular Asterisk de código abierto, le da tanto poder al programador que ahora, las personas con habilidades mínimas pueden lograr lo que sólo los nerds podían antes. Cualquier programador con conocimientos básicos de VoIP puede manipular su despliegue y hacer un banco de números falsos que pueden utilizar para engañar a sus víctimas sin comprometer sus propias identidades.
• El hardware de VoIP, como los teléfonos IP, ATAs, routers, IP-PBXs, se han vuelto asequibles y el software que los acompaña es más fácil de usar, facilitando así la tarea de los manipuladores. Estos dispositivos también son muy portátiles y se pueden llevar a cualquier parte.
• El hardware de VoIP y su fácil integración con PCs y otros sistemas informáticos (como el buzón de voz) facilita a los usuarios la grabación de llamadas telefónicas de numerosas víctimas que han sido enganchadas, sin tener que estar ellos mismos para el trabajo.

• A diferencia de la RTPC, los números de VoIP pueden ser configurados y destruidos en cuestión de minutos, es casi imposible para las autoridades localizar a los ladrones de identidad.
• Con VoIP, los vhishers pueden enviar un mensaje a miles de destinatarios de una sola vez, en lugar de tener que escribir un solo número para cada llamada de vishing.
• Usando VoIP, un atacante puede crear un número virtual para cualquier país. A continuación, puede utilizar un número local y desviar las llamadas al extranjero, emulando así a las instituciones financieras populares de Europa o los Estados Unidos.