ESET advierte que delincuentes están utilizando bots como herramienta para realizar estafas telefónicas, conocidas como vishing. El uso de este tipo de bots ayuda muchas veces para convencer a usuarios desprevenidos de que se trata de una llamada legítima y son utilizados para obtener las contraseñas de único uso (OTP, por sus siglas en inglés) o el código de verificación, también conocido como doble factor de autenticación (2FA) o verificación en dos pasos. De esta manera, logran acceder a cuentas de usuarios en servicios como PayPal, Amazon, Coinbase o entidades bancarias, entre otros servicios, explica un artículo de Vice.
A través de estos bots, denominados en inglés OTP Bots, criminales sin tantas habilidades de ingeniería social encuentran una buena opción para persuadir a las potenciales víctimas. En las estafas telefónicas tradicionales es el propio delincuente el que busca convencer a la víctima del otro lado del teléfono. En estos casos, el riesgo de que la víctima se dé cuenta de que se trata de un fraude depende en gran medida de las habilidades del criminal al teléfono. Lo que ocurre también es que muchas compañías en la actualidad utilizan bots para prestar servicio de atención al cliente, y el sonido familiar debido a la falta de personalización contribuye a que la víctima no sospeche que algo está ocurriendo.
Para poder comprometer las cuentas mediante el código de verificación, previamente los cibercriminales deberán hacerse de las credenciales de acceso (dirección de correo y contraseña) de los usuarios. Hay que recordar que un bien muy preciado en el negocio del cibercrimen son los datos personales, ya que tienen un valor comercial al ser utilizados para llevar adelante ataques de ingeniería social.
Una de las consecuencias más frecuentes de los ciberataques es el robo de información. Cuando una compañía o servicio sufre una brecha de datos por lo general esta información luego es puesta a la venta o publicada incluso de forma gratuita en foros clandestinos, y contienen credenciales u otro tipo de información personal de los usuarios. Un ejemplo de esto es lo que ocurrió con la plataforma de trading Robinhood recientemente, que sufrió una intrusión a sus sistemas que derivó en el robo de información personal de 7 millones de clientes. Pocos días después se conocía que en foros de hacking estaban vendiendo 7 millones de direcciones de correo de usuarios de Robinhood.
Una vez que los atacantes tienen en su poder los nombres de usuario y contraseña de la cuenta que quieren comprometer, ingresan el número de teléfono junto a un comando y el nombre del servicio o cuenta elegida; por ejemplo, PayPal. Luego, el bot llama a la víctima haciéndose pasar por ese servicio utilizando algún pretexto, como un movimiento sospechoso. En un momento de la conversación el bot solicita a la víctima que verifique su identidad ingresando un código que recibirá en su teléfono. La víctima ingresa la clave y automáticamente la recibe el atacante a través de la herramienta.
Estos bots son comercializados en chats de Telegram o en Discord y pueden conseguirse por precios que van desde los 100 hasta los 1000 dólares la suscripción. Además, algunos ofrecen alcance global. Su uso demuestra, una vez más, cómo los criminales buscan nuevas formas de cometer fraude y al parecer su popularidad está creciendo. Ante este escenario es importante que los usuarios sepan que existe esta modalidad de estafa y que tengan presente nunca ingresar información personal o claves si no fueron ellos quienes realizaron la llamada.
“Las principales recomendaciones para evitar ser víctima de este tipo de fraude son: ante la recepción de algún llamado sospechoso verificar la fuente de este. Es importante también desconfiar de la procedencia y en caso de ser algo dudoso terminar la comunicación lo antes posible. Si quien nos contactó alegó ser de alguna compañía con la cual estamos asociados, es aconsejable comunicarse con la empresa a través de los canales de comunicación oficiales.” concluye Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.