El vishing es una técnica que están utilizando los ciberdelincuentes para atacar al soporte informático externalizado, que emplean muchas empresas, según alerta ESET. Esta técnica consiste en suplantar a empleados legítimos mediante llamadas telefónicas convincentes para lograr que el personal de soporte restablezca contraseñas, inscriba dispositivos o desactive la autenticación multifactor (MFA).
Además, el especialista en ciberseguridad, advierte que el riesgo se multiplica porque muchos equipos de asistencia están formados por profesionales en las primeras etapas de su carrera profesional y están sometidos a gran presión por la carga de trabajo.
“Estos ataques demuestran que los ciberdelincuentes no siempre necesitan vulnerar sistemas técnicos: basta con explotar la confianza y la buena voluntad de los agentes de soporte. El vishing es un claro recordatorio de que la seguridad debe construirse sobre la combinación de tecnología, procesos y concienciación”, explica Josep Albors, director de Investigación y Concienciación de ESET España.
Para combatir este problema, ESET aconseja verificar siempre la identidad del solicitante mediante devoluciones de llamada a números registrados o códigos adicionales enviados por SMS/email, limitar lo que un agente puede modificar y exigir doble validación en acciones de alto riesgo, supervisar en tiempo real las actividades del helpdesk para detectar intentos de fraude en el momento, entrenar a los agentes para reconocer nuevas tácticas, incluidas las basadas en deepfakes de voz y establecer controles técnicos adicionales.
Al mismo tiempo, aconseja el uso de la autenticación multifactor y utilizar soluciones de Managed Detection and Response (MDR) como la que ofrece ESET que brinda apoyo a los proveedores de servicios gestionados (MSP) y a los equipos de soporte internos
