Ataques TOAD: Cómo funcionan y cómo protegerse de ellos

  • Los ataques TOAD combinan llamadas telefónicas con phishing para engañar a víctimas.
  • Empresas y particulares son objetivos frecuentes con pérdidas millonarias.
  • Medidas como MFA, capacitación y filtros de correo ayudan a prevenirlos.
  • Android 16 introduce bloqueos para reducir el riesgo de estos ataques.
Daniel Terrasa

5 minutos

Ataques TOAD y Ciberseguridad

Los ataques TOAD han emergido como una amenaza cada vez más frecuente y sofisticada dentro del mundo de la ciberseguridad. Se trata de un tipo de ataque que combina llamadas telefónicas con phishing por correo electrónico o mensajes de texto para engañar a las víctimas y obtener información confidencial. Una fórmula que, por desgracia, funciona.

En este artículo exploraremos en detalle cómo funcionan estos ataques, cuál es su impacto en la ciberseguridad y qué métodos pueden utilizarse para prevenirlos y protegerse de ellos. No hay que tomarse esta amenaza en broma, pues ya son muchas las empresas y los particulares en todo el mundo que se han visto afectados.

¿Qué son los ataques TOAD?

Los ataques TOAD, cuyo nombre proviene de las siglas en inglés «Telephone-Oriented Attack Delivery», son una evolución del phishing tradicional que incorpora llamadas telefónicas como parte del proceso de engaño. En lugar de depender únicamente de correos electrónicos maliciosos o mensajes de texto fraudulentos, estos ataques utilizan interacciones de voz para ganar la confianza de las víctimas.

Los casos más frecuentes son aquellos en los que el ciberdelincuente se hace pasar por un agente de confianza, (por ejemplo, por un representante de una empresa o de un banco), para engañar a la víctima y persuadirla de realizar una acción concreta.

Algunas de las cosas que se solicitan a las víctimas son responder a un correo con datos personales, descargar un archivo malicioso o acceder a un sitio web falso donde se le pedirá introducir credenciales privadas. Llegado a ese punto, es muy difícil revertir la situación.

Cómo funcionan los ataques TOAD

Ejemplo de ataque TOAD

El proceso de un ataque TOAD suele seguir un patrón bien definido que incluye varias etapas:

  1. Recopilación de información: Los atacantes investigan a sus víctimas a través de redes sociales, bases de datos filtradas o compradas en la dark web.
  2. Contacto inicial: La víctima recibe una llamada de un supuesto agente de confianza que le informa sobre un problema urgente, como un posible fraude en su cuenta.
  3. Envío de enlace o archivo: Durante la conversación, el atacante envía un correo o mensaje con un enlace malicioso o un archivo adjunto.
  4. Captura de credenciales o infección: Si la víctima accede al enlace o descarga el archivo, sus credenciales pueden ser robadas o su dispositivo, infectado con malware.

Casos reales y estadísticas

Es un error pensar que algo así no nos podrá ocurrir nunca a nosotros. Ese exceso de confianza es en realidad una vulnerabilidad. Según el informe State of the Phish 2024, se registran más de 10 millones de ataques TOAD cada mes en todo el mundo. Además, el 67% de las empresas encuestadas admitió haber sido víctima de intentos de este tipo de ciberataques en 2023.

Un caso destacado ocurrió en Hong Kong, donde un ejecutivo de una empresa fue engañado en una videoconferencia falsa, lo que resultó en una transferencia fraudulenta de 20 millones de libras esterlinas. Otro caso documentado en Canadá involucró a un empleado que, tras recibir una llamada de un falso soporte técnico de Apple, perdió 5.000 dólares en una transacción fraudulenta.

Impacto en empresas y usuarios

Protección contra ataques TOAD

Estos ataques afectan tanto a individuos como a organizaciones. Sus consecuencias en la mayor parte de los casos son devastadoras:

  • Pérdidas económicas: Las transferencias fraudulentas pueden generar enormes pérdidas financieras.
  • Compromiso de datos: Información sensible de empleados y clientes puede ser robada.
  • Reputación dañada: Empresas que sufren estos ataques pueden ver afectada su credibilidad.

Métodos de mitigación y protección

Los expertos en ciberseguridad recomiendan una serie de estrategias para reducir el impacto de los ataques TOAD:

  • Capacitación del personal: Programas de formación sobre ataques de ingeniería social pueden reducir la vulnerabilidad de empleados.
  • Verificación de llamadas: Confirmar la autenticidad de llamadas sospechosas antes de actuar.
  • Uso de autenticación multifactor: Evitar que una sola brecha de seguridad comprometa el acceso.
  • Implementación de filtros avanzados de correo: Servicios que detectan y bloquean correos fraudulentos pueden ser útiles.

El futuro de los ataques TOAD

Con el avance de la inteligencia artificial, los ciberdelincuentes están perfeccionando sus tácticas para hacer que los ataques TOAD sean aún más convincentes. La suplantación de voces y la creación de videos falsos con deepfake podrían hacer que las víctimas confíen aún más en los atacantes.

Empresas tecnológicas como Google han comenzado a tomar medidas. En la versión Android 16 Beta 2, se ha implementado una función que bloquea la instalación de aplicaciones desconocidas durante una llamada telefónica para evitar este tipo de estafas.

Los ataques TOAD representan una amenaza en constante evolución que requiere un enfoque proactivo por parte de las empresas y usuarios individuales. Implementar medidas de seguridad, mejorar la capacitación en ciberseguridad y mantener siempre una actitud crítica frente a llamadas sospechosas son claves para evitar caer en este tipo de fraudes. La concienciación y el uso adecuado de herramientas de protección pueden marcar la diferencia en la lucha contra esta creciente amenaza.


Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.