¿Qué es el callback phishing o phishing por devolución de llamada?

El callback phishing o phishing de devolución de llamada es un tipo de ciberataque que consiste en enviar un email sobre un producto o servicio de una organización, o sobre un problema tecnológico, con el objetivo de que el usuario llame a un número de teléfono fraudulento. Por ejemplo, porque el email le dice que ha comprado una suscripción que en realidad no ha adquirido. El objetivo de los ciberdelincuentes es sustraer datos y dinero mediante esta llamada, gracias a técnicas de ingeniería social. Se trata de un ataque cada vez más habitual, ya que puede eludir los controles de seguridad de los servidores de correo electrónico, puesto que lo único que contienen los emails es un número de teléfono.

¿En qué consisten las estafas por devolución de llamada?

El ataque de devolución de llamada es un tipo de phishing híbrido, es decir, utiliza dos vectores de ataque o canales de entrada distintos: el correo electrónico y la llamada telefónica. Así es como se produce:

  1. Los ciberdelincuentes envían un email a una persona o a una empresa (a una cuenta de correo genérica, p. ej., departamento_financiero@empresax.com) en el que se informa de una compra falsa o de un problema: una factura que no ha sido abonada, un ordenador que ha sido infectado con un virus, etc. En el email, en lugar de adjuntar un archivo malicioso o enlazar mediante un link a un sitio web fraudulento, se proporciona el número de teléfono al que debe llamar el afectado para obtener más información y solucionar el supuesto problema.
  2. La persona que cae en el engaño realiza la llamada, que le pone en contacto con una falsa central de atención al cliente controlada por los atacantes. Estos, mediante la utilización de distintas técnicas de ingeniería social, tratan de engañar a la persona para que realice una acción concreta, por ejemplo, revelar credenciales (usuario y contraseña), descargar malware o iniciar una sesión de control remoto de su equipo. Las sesiones de control remoto se utilizan para descargar e instalar software malicioso y establecer una puerta trasera por la que el atacante pueda conectarse al equipo de la víctima y, por lo tanto a la red de la organización afectada, cuando quiera.

Callback phishing: nueva tendencia al alza de la ingeniería social

El vector de ataque o canal de entrada más utilizado en los ataques de phishing ha sido y sigue siendo el email. De ahí que la mayoría de las organizaciones hayan implantado soluciones de protección del correo electrónico que analizan los adjuntos y los enlaces a otros sitios web y bloquean aquellos emails con contenido malicioso. En consecuencia, los atacantes han comenzado a emplear, cada vez más, phishings híbridos como el de devolución de llamada, que no contienen adjuntos o enlaces maliciosos en el correo electrónico y, por tanto, pueden eludir los controles con mayor facilidad.

El informe del segundo trimestre del 2022 de Agari, Q2 2022 Quarterly Threat Trends & Intelligence, ya reportaba que los ataques de phishing híbrido, como el de callback, habían aumentado el 625%.

¿Cómo puedo protegerme de las estafas de call centers fraudulentos?

Las soluciones antiphishing tradicionales no detectan los emails de callback phishing, por lo que la clave para evitar el ataque es reconocer cuándo un email es malicioso. En este sentido, hay varios aspectos en los que puedes fijarte:

  • El remitente del correo electrónico. Puedes comprobar si el dominio desde el que recibes el email corresponde a la organización de la que dice ser. Por ejemplo, si recibes un correo de persona@empresaB-ss.com, buscas en Google la empresaB y ves que su web es, en realidad, empresaB.es, esto indica que el remitente no pertenece a la compañía. Los emails de phishing suelen tener errores ortográficos y caracteres sospechosos en la dirección de correo electrónico, lo que indica claramente que el remitente está tratando de suplantar a una organización.
  • También puedes comprobar el número de teléfono, ya sea buscándolo en un motor de búsqueda o en el sitio web oficial de la compañía.
  • Si el tono del email es agresivo y transmite sensación de urgencia para que el receptor haga algo, esto es otra señal de alerta.


En el caso de que recibas un email sospechoso de ser callback phishing, repórtalo para evitar tanto que otras personas caigan en el engaño como nuevos ataques.

Es recomendable que las organizaciones trabajen con su personal para protegerse del phishing de devolución de llamada, mediante formación y concienciación continua que ayude a reconocer este y otros ataques.

Debido a que el callback phishing puede suponer la instalación de software malicioso, como backdoors o puertas traseras, otra medida de prevención que pueden implantar las organizaciones es una estrategia de mínimo privilegio, es decir, limitar los accesos a los sistemas y también los permisos.

La monitorización especializada en seguridad de la información, con soluciones como SIEM, NDR y EDR, también es útil para detectar si hay equipos comprometidos en los que se esté produciendo una actividad maliciosa.

El phishing es el tipo de ataque más empleado por los ciberdelincuentes para robar información confidencial y cometer fraudes o estafas, y, dentro de él, el callback phishing está creciendo mucho porque elude las protecciones de correo electrónico ampliamente utilizadas por las organizaciones.

¿Te ha parecido útil esta información?
Nos encantaría conocer tu opinión para mejorar

Te puede interesar

×
${loading}
×