Nueva plataforma de vishing automatiza ataques usando agentes de voz con IA
Se ha identificado una nueva plataforma criminal denominada ATHR, diseñada para
realizar ataques de vishing (phishing por voz) totalmente automatizados mediante
el uso de agentes de voz impulsados por inteligencia artificial. La plataforma permite
a los atacantes gestionar toda la cadena del ataque, desde el envío de correos
electrónicos iniciales hasta la interacción telefónica con las víctimas, con el objetivo
de robar credenciales y códigos de verificación de servicios populares como Google,
Microsoft y plataformas de criptomonedas.
Flujo del ataque de vishing mediante ATHR
1. La víctima recibe un correo electrónico que aparenta ser una alerta de seguridad
o notificación de cuenta y solo contiene un número telefónico, sin enlaces ni
archivos.
2. El usuario llama al número indicado creyendo que se trata de soporte legítimo.
3. La llamada es atendida por un agente de voz con IA, que simula un proceso de
verificación o recuperación de cuenta.
4. Durante la interacción, el agente solicita credenciales o códigos de verificación
de un solo uso.
5. La información entregada es capturada en tiempo real a través del panel de
control de ATHR.
Posible impacto
– Robo de credenciales: Al engañar a la víctima durante la llamada, el atacante
puede obtener credenciales y códigos de verificación válidos.
– Difícil detección: Al no incluir enlaces ni archivos maliciosos en el correo inicial, el ataque puede evadir controles tradicionales de seguridad de correo.
– Escalabilidad del ataque: La automatización mediante IA permite realizar campañas masivas con mínimo esfuerzo humano.
Recomendaciones
– Capacitar a los usuarios para desconfiar de correos que soliciten llamadas telefónicas urgentes e implementar concientización sobre vishing y TOAD
(Telephone-Oriented Attack Delivery).
– Evitar proporcionar credenciales o códigos de verificación durante llamadas iniciadas a partir de correos electrónicos.
– Monitorear inicios de sesión inusuales o fallidos para detectar posibles
compromisos de cuentas derivados de credenciales obtenidas por vishing.