El phishing es uno de los ataques de ingeniería social más utilizados por los ciberdelincuentes para robar datos confidenciales de las víctimas y exigir dinero a cambio. Engañan a usuarios desprevenidos para que abran un correo electrónico, un mensaje vía WhatsApp o un SMS y hagan clic en un enlace malicioso. 

Una vez haces clic, la mayoría de las veces se instala malware en el sistema, dando así acceso a información personal que luego se utiliza para extorsionar o simplemente hacer daño.

Dicho esto, los actores de amenazas se han vuelto más listos y utilizan constantemente nuevas técnicas y herramientas para embaucar a los usuarios. Ya hemos hablado, por ejemplo, del ransomware de triple extorsión y hoy queremos centrarnos en lo que se conoce como "callback phishing" o phishing de devolución de llamada, en español.

Y es que, pese a que la seguridad en Internet cada vez es más evolucionada y es capaz de hacer frente a diferentes tipos de ataques, los ciberdelincuentes parecen hacer encontrado una nueva forma de hacer caer a las víctimas.

Qué es el "callback phishing"

El phishing de devolución de llamada, "callback phishing" o también conocido como ataque de entrega telefónica (TOAD, por sus siglas en inglés), es un ataque de ingeniería social que requiere que un actor de la amenaza interactúe con la víctima para lograr sus objetivos. 

Aunque la idea que se esconde detrás requiere más recursos, la baja complejidad de los ataques, así como su efectividad, permite alcanzar una mayor tasa de éxito. El ataque comienza como un correo electrónico de phishing hacia una víctima que simulan ser suscripciones muy caras diseñadas para llevar a confusión al destinatario, ya que nunca se suscribió a estos servicios.

¿Qué es Spoofing? La técnica de engaño que va de la mano del phishing

Se incluye un número de teléfono al que el destinatario puede llamar para obtener más información sobre esta "suscripción" y cancelarla. Lo que la víctima no sabe es que se trata de un correo electrónico de phishing y que, una vez que marca el número del servicio de atención al cliente, es un ciberdelincuente quién está detrás.

A continuación, el atacante intentará recopilar información confidencial para validar la "transacción" y cancelar esa "suscripción". La información recopilada serán números tarjetas de crédito y cuentas bancarias. Una vez que el atacante obtiene la información que necesita, la llamada finaliza y las cuentas de la víctima quedan vulnerables.

Lo que hace que este ataque sea único es que los correos de "callback phishing" eluden los filtros de correo electrónico básicos porque no incluyen enlaces maliciosos ni archivos adjuntos con malware. En su lugar, los ataques de phishing se centran en gran medida en la ingeniería social y ese número de teléfono que proporcionan. 

Sabiendo esto, la única barrera que pueden encontrar los atacantes es que la víctima se niegue a dar sus datos personales o conozcan este tipo de casos.

Cómo evitar caer en un engaño phishing al usar PayPal para pagar

Cómo evitar ser víctima de este nuevo ataque de ingeniería social

Con todo esto como base, queremos dejarte algunos trucos para evitar convertirnos en las próximas víctimas de estos nuevos ataques.

Por un lado, es vital revisar que las empresas o personas que se ponen en contacto con nosotros son legítimas. Para ello, haz clic en la dirección de correo electrónico del remitente y comprueba si pertenece al dominio de la empresa oficial. Si hay faltas de ortografía o caracteres sospechosos en una dirección de correo electrónico, es probable que el remitente esté intentando suplantar una identidad.

Por ejemplo, si los correos electrónicos típicos del servicio de atención al cliente de Netflix siempre proceden de esta dirección: "info@members.netflix.com." y, de repente, recibes un correo del servicio info@members.netflix_1.com." con el logotipo de la empresa y un número de devolución de llamada, es probable que se trate de un intento de phishing de devolución de llamada. 

Qué es un ataque de navegación forzada y cómo funciona

Por otro lado, si el lenguaje del correo electrónico intenta convencerte de que hagas algo con urgencia, es una señal de alarma. Los ciberdelincuentes son siempre muy persistentes en sus correos electrónicos de phishing y, al igual que los tradicionales, intentarán convencerte para que llames, en este caso.

Del mismo modo que antes, revisa ese número de teléfono en Internet y comprueba que se trate del oficial del servicio de atención al cliente o aquello por lo que se estén haciendo pasar.

Ahora que sabes de qué se trata este nuevo ataque de ingeniería social basado en el phishing, es de vital importancia que cuando recibas un correo de este tipo, primero de todo, sospeches. Es realmente necesario siempre ir con mucho cuidado cuando se trata de nuestro datos personales y bancarios.