El Anillo Silencioso: Cómo las Estafas de “Llame a Este Número” Burlan las Defensas del Correo Electrónico

Imagina abrir tu bandeja de entrada y encontrar una notificación de facturación aparentemente rutinaria de una marca de confianza - PayPal, DocuSign o tu banco. No hay enlaces sospechosos, ni archivos adjuntos dudosos. En su lugar, solo hay un número de teléfono y un mensaje urgente: llame ahora para resolver un problema. Esta táctica simple, casi inocente, está en el centro de una tendencia creciente de ciberataques que está pasando desapercibida incluso para las puertas de enlace de correo corporativo más sofisticadas.

El Nuevo Disfraz del Phishing: Por Qué Funcionan los Números de Teléfono

El arte del phishing siempre ha consistido en engañar a las personas para que hagan clics o descargas peligrosas. Pero el último giro - conocido como TOAD (Entrega de Ataques Orientados a Teléfono) - se basa en una de las tecnologías más antiguas: la llamada telefónica. Los atacantes envían correos que solo contienen un número de teléfono, a menudo bajo el pretexto de un problema de facturación o una urgencia en la cuenta. Cuando la víctima llama, un estafador al otro lado la guía para que revele información sensible, otorgue acceso remoto a su dispositivo o incluso compre tarjetas de regalo.

¿Qué hace que TOAD sea tan efectivo? Todo se reduce a la simplicidad y el sigilo. Las puertas de enlace de seguridad de correo, diseñadas para detectar enlaces o archivos adjuntos maliciosos, no ven nada sospechoso en un simple número de teléfono. Bloquear todos los correos con un número de teléfono y lenguaje financiero causaría caos en empresas que dependen de notificaciones legítimas de facturación. Este punto ciego permite que los correos TOAD pasen desapercibidos, especialmente cuando los atacantes combinan varias técnicas de evasión - como enviar mensajes a través de Google Calendar u ocultar códigos QR en archivos PDF.

Ataques Adaptativos, Amenazas Invisibles

El análisis de StrongestLayer, un proveedor líder de seguridad de correo electrónico, revela que las campañas de phishing más sofisticadas ahora mezclan y combinan técnicas para evadir diferentes sistemas de detección. Por ejemplo, un atacante puede usar Google SharePoint para evadir filtros de reputación, ocultar un código QR en un adjunto y luego pedirle al objetivo que llame a un número - llevando la conversación completamente fuera del canal de correo. En su estudio reciente, un tercio de estos ataques eran “estructuralmente invisibles” - dejando casi ningún rastro detectable para las defensas tradicionales.

Este es un escenario de pesadilla para organizaciones como despachos de abogados, que procesan miles de correos legítimos de DocuSign cada día. Bloquear todos los mensajes con lenguaje de facturación o números de teléfono no es realista. Mientras tanto, el costo para los atacantes de crear correos de phishing convincentes y dirigidos ha caído drásticamente, gracias a herramientas de IA generativa que automatizan el proceso.

Defendiéndose del Anillo Silencioso

¿Cómo pueden las organizaciones contraatacar? Los expertos recomiendan modelos avanzados de detección impulsados por IA que buscan patrones sutiles y anomalías en el contenido del correo. En el lado humano, la capacitación de empleados es esencial - dejando claro que las facturas o pagos legítimos nunca requerirán una llamada telefónica aleatoria, y que los códigos QR en correos siempre deben tratarse con sospecha. En última instancia, la concienciación y una tecnología más inteligente deben trabajar juntas para cerrar la brecha antes de que los atacantes marquen a su próxima víctima.

WIKICROOK

• TOAD: TOAD (Entrega de Ataques Orientados a Teléfono) es una técnica de phishing donde los atacantes usan números de teléfono para engañar a las víctimas y que compartan información sensible.
• Puerta de Enlace de Correo: Una puerta de enlace de correo filtra y escanea los correos en busca de amenazas como spam y malware, protegiendo a las organizaciones al bloquear mensajes dañinos antes de que lleguen a los usuarios.
• Código QR: Un código QR es un código de barras bidimensional que almacena datos como enlaces o texto, fácilmente escaneable por dispositivos pero que también puede ocultar instrucciones maliciosas.
• APT: Una amenaza persistente avanzada (APT) es un ciberataque dirigido y sigiloso por grupos organizados que buscan acceso a largo plazo a redes y datos sensibles.
• Phishing: El phishing es un delito cibernético donde los atacantes envían mensajes falsos para engañar a los usuarios y que revelen datos sensibles o hagan clic en enlaces maliciosos.

Reflexión: Mientras los ciberdelincuentes explotan las brechas que dejan las defensas heredadas del correo electrónico, el humilde número de teléfono está demostrando ser un arma inesperada. La lucha contra el phishing ya no consiste solo en detectar enlaces sospechosos - se trata de cuestionar cada detalle, por más ordinario que parezca.