‘Callback phishing’, la nueva técnica de ciberataque para robar datos personales

Los delincuentes no descansan y a medida que crece la digitalización, también aumenta la exposición a los ciberataques. Una de las nuevas técnicas de estafa es el denominado callback phishing, también conocido como ataque de devolución de llamada. Se trata de una variación del extendido phishing, que consiste en el envío de correos electrónicos que suplantan la identidad de empresas y organizaciones de confianza (simulan logos, tipografía y otros detalles para dar la sensación de veracidad) y que incluyen un enlace hacia una página falsa donde las víctimas proporcionan bajo engaño sus datos personales o bancarios. Pero en el caso de la nueva variante, el mensaje induce a la víctima a llamar por teléfono al estafador.

Esta modalidad está en pleno crecimiento: según la compañía de ciberseguridad Agari, mientras que el phishing aumentó un 6% entre el primer y el segundo trimestre de 2022, el volumen de casos de callback phishing se disparó un 625% en ese periodo.

¿Cómo funciona? Según explica Banco Santander, la diferencia radica en que en el correo no se invita a la víctima a hacer clic en un link fraudulento, sino que se le informa de una falsa orden de compra, pedido o suscripción que, naturalmente, el afectado nunca ha realizado. El mail incluye un número de teléfono de un supuesto departamento de atención al cliente y anima a la víctima a llamar para solventar la incidencia. Una vez que cae en el engaño y realiza la llamada, los ciberdelincuentes tratan de consolidar el fraude desde sus propias centralitas telefónicas.

Haciéndose pasar por asesores, explican a la víctima que es necesario que facilite los datos de la cuenta bancaria o tarjeta de crédito, descargue el archivo de un nuevo correo electrónico que se le enviará a su bandeja de entrada o abra una sesión de escritorio remoto. Posteriormente, obtienen los datos confidenciales que necesitan o infectan el equipo para poder robar dinero o datos que les permitan realizar otros intentos de ciberataque, como podrían ser el spear phishing, el ransomware o la extorsión online.

Banco Santander, a través de su portal Santander Impulsa Empresa, ofrece un apartado especial con información relevante sobre nuevas modalidades, consejos para proteger los activos digitales y la explicación de la terminología para resolver todas las dudas.

Medidas para no caer en la trampa

Como ocurre con el phishing tradicional, la primera medida es desconfiar de cualquier correo procedente de una empresa, ONG, medio de comunicación, banco o estamento gubernamental con el que no haya un contacto previamente. Ante cualquier duda sobre la procedencia del mensaje y su propósito, no se debe llamar al teléfono que figura en el correo electrónico. Lo mejor es buscar desde el navegador la página web oficial de la compañía u organización mencionada y llamar al número que aparece en la sección de contacto o atención al cliente.

Además, es muy importante navegar con precaución por Internet, tener siempre instalado un antivirus actualizado en todos los dispositivos conectados a la red y no olvidar mantener al día las actualizaciones de los programas, aplicaciones y sistema operativo para evitar infecciones por malware. En el caso de las empresas, la prevención es lo más importante y la concienciación de toda la plantilla (desde los altos cargos hasta los becarios) sobre los peligros que acechan en la red.

De hecho, el informe Global Cybersecurity Outlook 2023, que presenta los resultados del estudio de este año sobre ciberseguridad y las perspectivas de los líderes empresariales sobre los principales probemas cibernéticos, destaca que el carácter de las ciberamenazas ha cambiado. "Los encuestados ahora creen que es más probable que los atacantes cibernéticos se centren en la interrupción del negocio y el daño a la reputación", y añade que "construir una cultura centrada en la seguridad requiere un lenguaje común basado en métricas que traduzcan la información de seguridad cibernética en medidas que sean importantes para los miembros de la junta y el negocio en general".

En caso de haber sido víctima de la estafa, se debe recopilar toda la información y datos que hayan sido sustraídos, cambiar las contraseñas bancarias y ponerse en contacto con la entidad financiera para anular los cargos. También es fundamental contactar con la entidad suplantada para informar de lo ocurrido e interponer la correspondiente denuncia ante las autoridades.

Cabe recordar que Banco Santander tiene a disposición de las empresas el CiberSeguro con Protección de Datos Autónomos y Pymes Santander MAPFRE, que cuenta con una amplia gama de coberturas y servicios para que los negocios puedan desarrollar su actividad sin temor a que un ciberataque o un virus comprometa su viabilidad y continuidad. Entre las principales coberturas destacan daños informáticos derivados de un acto informático doloso, malware, robo de datos o denegación de servicio; interrupción del negocio, pues cubre la pérdida de beneficios como consecuencia de un fallo informático derivado de un ciberataque; y responsabilidad civil por violación de la privacidad, multimedia y publicidad, es decir, daños y perjuicios causados a terceros por robo, pérdida o revelación de información confidencial y datos de carácter personal, así como la publicación de cualquier contenido confiado al cuidado, custodia y control del asegurado.

Otras de las coberturas, sujetas a condiciones contractuales de la póliza de seguro son protección de datos, que cubre aquellas multas y sanciones administrativas impuestas en el proceso de inspección de una violación de privacidad / seguridad de los datos; gastos realizados para proteger los sistemas informáticos y aminorar las consecuencias de una amenaza de extorsión cibernética; y asistencia tecnológica 24/7 con un técnico cualificado y soporte para cualquier tipo de dispositivo sobre incidentes de seguridad.