Consumo

Consumo

Vida tecky

Las centralitas opacas al servicio de los ciberdelincuentes

Los servicios de VoIP permiten suplantar la identidad de compañías bancarias o de paquetería para recabar datos personales de los usuarios

28 marzo, 2021 00:00

El mal no está en los medios, sino en los fines. Los ciberdelincuentes lo saben cuando echan mano de centralitas opacas para usar la técnica del spoofing. Plataformas digitales como SpoofCard o SpoofMyPhone ofrecen un servicio denominado VoIP (Voice over Internet Protocol) para preservar la privacidad del emisor, con objetivos que van desde el telemárketing hasta las llamadas de broma.

Pero también pueden ser utilizados para suplantar la identidad de una entidad bancaria o de empresa de paquetería con objeto de sustraer datos personales. Resguardados en el anonimato, los atacantes realizan contactos masivos haciéndose pasar por vecinos, empresas o instituciones públicas.

Estafas personalizadas

"El problema de la tecnología está en el uso que se le dé. Estos servicios no son ilegales per se, pero no están pensados para ocultar con fines delincuenciales la identidad de la persona que llama", explica la experta en ciberseguridad Cristina Collado.

Para darle más veracidad a la estafa, las bandas realizan una tarea previa de investigación mediante métodos de rastreo de datos dispersados en la red sobre las víctimas. Como cuenta Collado, los internautas dejan migas de pan en las redes sociales y las webs consultadas que permiten construir un perfil bastante fiable. Gracias a esos detalles, como el nombre de familiares o los últimos lugares visitados, los malos añaden verosimilitud a sus llamadas.

Suplantación de identidad

Estas herramientas se activan directamente desde Internet, permiten distorsionar la voz, telefonear a cualquier número e incluso remarcar automáticamente si la otra parte no descuelga el móvil. Lo más normal es que el usuario vea una ristra de números desconocidos ya que la secuencia numérica no corresponde a ningún contacto agendado.

Pero también se puede llegar a alterar el ID del remitente que aparece en la pantalla del smartphone. "Se puede llegar a añadir un nombre falso a la llamada. En la telefonía no hay nada semejante a la firma electrónica, con lo que más allá de una lista de SPAM, no se puede reconocer de entrada si el prestador del servicio es legítimo o no", explica Sergio Carrasco, ingeniero y jurista.

El Covid, un aliado

Estos timbrazos fake han ido a más con la crisis sanitaria. "La pandemia ha actuado como un catalizador para los ciberdelincuentes, que durante este periodo han mejorado sus tácticas. Por ejemplo, en las campañas de phishing han comenzado a utilizar los logotipos originales de las empresas suplantadas, ya no cometen errores tipográficos e, incluso, el uso de jergas sectoriales es ahora normal", detalla Alfonso Tapia, director de desarrollo de negocio de consumo y MSPs en Bitdefender.

"Todo ello tiene el objetivo de lograr una mayor credibilidad para comprometer a tantas víctimas como sea posible", concluye. El spoofing se ejecuta a través de la web mediante estos proveedores de VoIP, que permiten seleccionar números de regiones específicas. Normalmente, las llamadas se complementan con un ataque vía smishing o phishing, es decir, con la captación de información confidencial vía SMS o correo electrónico. Por eso los especialistas destacan que la prudencia es la regla de oro para prevenir estas infiltraciones.