Fernando Anaya
- Country manager de Proofpoint en España y Portugal
TOAD son las siglas de 'telephone oriented attack delivery' (ataques por teléfono, en español). En una amenaza de este tipo, los objetivos reciben un mensaje que suele contener una factura o alerta falsa y un número de atención al cliente al que pueden llamar si quieren obtener más información. Si la víctima cae en la trampa y llama al teléfono, estará hablando con un ciberdelincuente que le irá dando más instrucciones, normalmente para descargar malware, iniciar sesión en una cuenta a través de una página falsa, habilitar el acceso remoto o transferir dinero.
Las amenazas TOAD dan una gran ventaja a los ciberdelincuentes, ya que les permiten eludir las protecciones en las que hasta ahora confiábamos para proteger a los usuarios de amenazas comunes como el phishing y el robo de credenciales. Al fin y al cabo, son los usuarios los que se están poniendo en contacto con los estafadores, y no al revés. Estos ataques nos demuestran que el panorama de amenazas está en constante evolución y que ninguna medida de seguridad es infalible.
Este tipo de amenazas pone a los ciberdelincuentes en contacto directo con las víctimas potenciales, y no depende de la intermediación de un malware o de una URL maliciosa en la que hacer clic. Como sólo se necesita un número de teléfono, es un método de ataque bastante habitual, llegando en épocas de gran actividad a registrar más de medio millón de intentos al día. Por esta razón, la concienciación y la educación de los usuarios en materia de seguridad es lo único que puede evitar el compromiso de sus cuentas y las amenazas posteriores.
Resulta común que los ciberdelincuentes intenten manipular a sus objetivos para conseguir lo que quieren. Por lo general, el atacante quiere que la víctima tenga una respuesta emocional rápida, como la preocupación de recibir una factura falsa o un aviso de que un paquete va a ser devuelto, o la emoción de recibir alguna oferta o promoción por tiempo limitado. Al recibir una llamada telefónica o un correo electrónico con estas técnicas para presionar a tomar una decisión inmediata, conviene analizar bien el mensaje antes de cualquier decisión.
Suplantar una marca o incluso a una persona a través de Internet o de una llamada es fácil, así que no hay que fiarse de cualquier mensaje simplemente porque parezca venir de una fuente de confianza. Si desde el otro lado del teléfono piden verificar una identidad en alguna web, descargar algún documento o facilitar información financiera, hay que pensárselo dos veces antes de actuar.
En caso de duda, lo mejor es llamar al número de soporte técnico o atención al cliente que se proporcione en la página web oficial de la empresa para confirmar que dichos trámites son legítimamente requeridos.
Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.
Comentarios