La peligrosa confianza depositada en los caller ID

Imagine por un momento que usted está caminado por una de las céntricas calles de su ciudad, seguramente bien acompañado, y siente como el bolso/bolsillo empieza a vibrar.

callscreen

Raudo y veloz, acostumbrado como está a atender interrupciones tecnológicas, saca el smartphone, y antes de responder la llamada, visualiza la pantalla. 

Lo que se encuentra es la página del callscreen por defecto, con un número de una longitud que sin duda lo señala de facto como extraño. Quizás, si usted no está acostumbrado a que alguna centralita lo llame (lo más habitual), ese paso previo antes de responder ha servido para activar instantáneamente sus defensas.

Está, con un índice de acierto bastante elevado, frente a una interrupción comercial, una llamada inoportuna y molesta, o directamente un fraude, y aunque al final no sea tal (cosa rara), subconscientemente usted ya está con ese perfil activo.

Ahora volvamos a esa pantalla de callscreen, e imagine lo que pasaría si en vez de ver lo antes citado, usted viera el nombre de su banco, o de su proveedor favorito de servicios, quizás incluso unido a una imagen de fondo con el logo de la empresa.

Seguramente usted no caería en que ese contacto no lo tiene, pero en tal caso, lo achacaría a una eficaz gestión con la teleco que le ofrece la red, o directamente con el fabricante del dispositivo. Es decir, cuando usted responda, lo hará subconscientemente de una manera mucho más accesible, ya que de antemano sabe quien le llama, y es algo que por lo general no se tiene en cuenta en los casos arriba mencionados.

Pues bien, ¿Qué me diría si le cuento que llegar a simular ese contacto, esa llamada supuestamente conocida, se está usando día tras día para ataques de ingeniería social?

El nombre de esta técnica es el pretexting, y se basa precisamente en generar una confianza anterior al ataque en la víctima, para que esta esté más receptiva, aumentando sobremanera la probabilidad de éxito.

Para ello, el atacante utiliza servicios de terceros que permiten cruzar líneas, como SpoofCard (EN). En tres sencillos pasos (agregar datos reales del atacante, normalmente de una tarjeta prepago, agregar datos ficticios a mostrar, y teléfono al que llamar), este tipo de servicios de spoofing realizan la llamada, gastando saldo a esas tarjetas del atacante, y mostrando en el lado de la víctima información aparentemente fidedigna.

Lo que viene después es historia. Una vez te has hecho pasar por un banco o un proveedor de servicios, resulta relativamente sencillo engañar a la víctima, pidiéndole que instale ella misma malware, o nos de gentilmente acceso a sus cuentas.

Y lo peor de todo es que la mayoría de la sociedad desconoce que esto es posible. Entendemos el peligro de navegar por internet e instalar software, pero desconocemos que los ataques más efectivos a veces utilizan otros canales de distribución distintos, más directos y que gozan de mayor confianza entre la clientela.