Ciberseguridad · 6 minutos de lectura

Callback phishing: qué es, cómo funciona y cómo prevenirlo

Callback phishing
Imagen: Tero Vesalainen (Shutterstock)

El llamado phishing, que podría traducirse como ‘pesca’, es una de las formas de estafa digital más antiguas y extendidas. Consiste en el envío de mails que simulan provenir de entidades u organizaciones de confianza; y que incluyen un link hacia una página falsa donde la víctima proporcionará a los delincuentes, voluntariamente y bajo engaño, sus datos personales o bancarios.

Como todo fraude, el phishing ha ido evolucionando y diversificándose al ritmo de los avances en ciberseguridad. Una de sus vertientes más peligrosas es el callback phishing o estafa por devolución de llamada, que nos induce a llamar al estafador en lugar de dirigirnos a una web.

Índice:

  1. ¿Cómo funciona el callback phishing?
  2. ¿Qué puedo hacer para prevenir las estafas procedentes de call centers fraudulentos?
  3. ¿Qué hago si he sufrido un ataque de phishing por devolución de llamada?
  4. Phishing por devolución de llamada: una estafa en aumento

¿Cómo funciona el callback phishing?

El planteamiento inicial del callback phishing es prácticamente idéntico al del phishing tradicional: los ciberdelincuentes envían un correo electrónico suplantando la identidad de una empresa, organización o entidad legítima, simulando con más o menos detalle logos, tipografía, etcétera. La diferencia radica en que no se invita a la víctima a hacer clic en un link fraudulento, sino que se le informa de una falsa orden de compra, pedido o suscripción que, naturalmente, la víctima nunca ha realizado.

En el contenido del mensaje, los ciberdelincuentes tratan de manipular a los usuarios para que realicen una llamada a un número de teléfono con el pretexto de que pueden cancelar dicha suscripción o compra. Una vez la víctima cae en el engaño y realiza la llamada, los ciberdelincuentes tratan de consolidar el fraude desde sus propias centralitas telefónicas, pues este grupo cibercriminal actúa como una empresa.

Generalmente, la voz al otro lado del teléfono explica que, para solventar la supuesta incidencia, el usuario debe proporcionar su información personal y bancaria y descargar algún tipo de programa informático. Así, ya captada la víctima, se inicia un ataque de ingeniería social que despliega software malicioso en sus dispositivos para que los ciberdelincuentes puedan robar dinero o datos que les permitan realizar otros intentos de ciberataque, como podrían ser el spear phishing, el ransomware o la extorsión online. 

Ransomware: qué es el secuestro de datos, cómo funciona y qué puedo hacer para evitarlo

¿Qué puedo hacer para prevenir las estafas procedentes de call centers fraudulentos?

El protocolo de seguridad para protegerse de las estafas de devolución de llamada es, en esencia, el mismo que para el phishing de toda la vida. La premisa fundamental es desconfiar de cualquier correo procedente de una empresa, ONG, medio de comunicación, banco o estamento gubernamental con el que no nos hayamos puesto en contacto de forma activa previamente.

Si tienes alguna duda sobre la procedencia del mensaje o su propósito, en ningún caso llames al teléfono que figura en el mismo. Puedes acudir directamente, desde tu navegador, a la sección de contacto presente en la página web oficial de la compañía u organización mencionada y llamar al número que proporcione.

No obstante, por muy prudentemente que se conduzca, el uso del cinturón de seguridad es indispensable. Navega con precaución por Internet, ten siempre instalado un antivirus actualizado en todos tus dispositivos conectados a la red y no olvides tampoco la importancia de las actualizaciones de tus programas, aplicaciones y sistema operativo para evitar infecciones por malware.

En cualquier caso, si albergas alguna sospecha sobre el carácter fraudulento del e-mail recibido, puedes reportarlo utilizando la función instalada al efecto en tu programa de correo electrónico. También tienes a tu disposición aplicaciones específicas para dar parte de cualquier tipo de incidente de ciberseguridad.

Sin embargo, ninguna de estas herramientas sirve para nada si, como empresario, no aplicas el activo de prevención más importante: la concienciación de toda la plantilla, desde los altos cargos hasta los becarios, sobre los peligros que acechan en la red.

¿Qué hago si he sufrido un ataque de phishing por devolución de llamada?

Si la estafa ya se ha consumado, sigue los siguientes pasos:

  1. Recopila toda la información y datos que puedan haberte sido sustraídos.
  2. Cambia las contraseñas de tarjetas, paypal y cualquier otro medio de pago y ponte en contacto con tu entidad bancaria para anular los cargos. Si es necesario, cancela las tarjetas y las cuentas hasta que puedas contactar con el banco.
  3. Contacta con la entidad suplantada e informales de lo ocurrido.
  4. Procede a interponer la correspondiente denuncia ante las autoridades.

Phishing por devolución de llamada: una estafa en aumento

Según datos de la compañía de ciberseguridad Agari, este tipo de fraude es uno de los que más ha crecido en los últimos tiempos, especialmente en comparación con el phishing tradicional: mientras que este solo aumentó un 6% entre el primer y el segundo trimestre de 2022, el volumen de casos de callback phishing se disparó un 625%.

Este meteórico repunte apunta a que los grupos criminales están adoptando un enfoque ‘híbrido’, en lugar de confiar exclusivamente en los correos electrónicos falsos o el vishing (fraude telefónico). La estafa de devolución de llamada se realiza en dos fases, e-mail y llamada telefónica, incrementando la confusión de las víctimas y dificultando la trazabilidad del caso.

¿Cómo saber si una llamada es fraudulenta?
Tu opinión cuenta
¿Te ha resultado útil este contenido?
Lo más visto
Fraude de dispositivo no reconocible
Los desafíos de seguridad en la era de la inteligencia artificial 
Regulación y cumplimiento en la seguridad de la IA: lo que debes saber
Seguridad internet: ¿qué es y por qué es vital en la empresa?
Credential stuffing: qué es y cómo funciona este ataque

También te interesará…

6 min
17 octubre 2022
En los últimos tiempos se ha producido un aumento de la conocida como estafa por SMS de bancos o smishing. Se trata de un tipo de fraude que, aprovechando los...
  6 min
9 min
28 enero 2022
El phishing es el ciberataque más extendido que hay en la actualidad. Todos los días millones de personas en todo el mundo se topan en su bandeja de correo electrónico...
  9 min
10 min
22 abril 2022
Hoy en día, uno de los objetivos más codiciados de los ciberdelincuentes son los datos personales. Para ello, utilizan diferentes técnicas y, aunque los ataques a las webs o servidores...
  10 min
Lo más visto
Fraude de dispositivo no reconocible
Los desafíos de seguridad en la era de la inteligencia artificial 
Regulación y cumplimiento en la seguridad de la IA: lo que debes saber
Seguridad internet: ¿qué es y por qué es vital en la empresa?
Credential stuffing: qué es y cómo funciona este ataque
LinkedIn Twitter Facebook Whatsapp Email