¿Qué es el vishing?

¿Cuál es la definición de vishing? 

El vishing, que es la abreviatura de "phishing de voz", es un tipo de ataque de ingeniería social que utiliza llamadas telefónicas o comunicación basada en voz para engañar a alguien para que entregue información confidencial, como detalles de cuentas bancarias, credenciales de inicio de sesión o información de identificación personal (PII). Si bien los emails de phishing se reconocen con mayor frecuencia, los ataques de vishing están en aumento, a menudo volando bajo el radar. A diferencia de otros ciberataques dirigidos a canales digitales, el vishing manipula la confianza humana mediante la interacción directa de voz, lo que lo convierte en una herramienta poderosa para los estafadores. 

Técnicas comunes utilizadas en el vishing

Los ataques de vishing se basan en una combinación de técnicas de manipulación para hacer que sus esquemas sean convincentes. Estas son algunas de las tácticas más utilizadas: 

Pretexto

El atacante creará una historia inventada o "pretexto" para justificar la llamada. Podrían afirmar ser del banco de la víctima y decirles que hay actividad sospechosa en su cuenta. Intentarán crear un sentido de urgencia en su pretexto para que la víctima responda sin pensar y renuncie a su información confidencial. 

Falsificación de ID de llamada

Los atacantes manipulan la información de identificación de la persona que llama para que parezca que la llamada proviene de una fuente legítima. Esto se hace para reducir las defensas del objetivo y hacer que sea más probable que confíen en la persona que llama. 

Tácticas de urgencia

Una de las técnicas más eficaces en vishing es crear un sentido de urgencia. Los atacantes pueden afirmar que se requiere una acción inmediata para evitar el fraude o la pérdida financiera, presionando a la víctima para que actúe antes de tener tiempo para pensar críticamente o verificar la identidad de la persona que llama. 

Ejemplos reales de estafas de vishing 

Estafas de soporte técnico

Los atacantes normalmente se hacen pasar por un trabajador de atención al cliente de empresas tecnológicas conocidas, alegando que el ordenador de la víctima está comprometido. Convencen a las víctimas para que otorguen acceso remoto o paguen reparaciones falsas, lo que a menudo conduce a robo de datos o pérdida financiera. 

Estafas de suplantación bancaria

En estas estafas, los estafadores se hacen pasar por representantes bancarios, reclamando actividad sospechosa en la cuenta de la víctima. El atacante solicita información confidencial, como contraseñas o PIN, con el fin de proteger la cuenta, lo que da lugar a un acceso no autorizado a los datos financieros. 

Estafas de entrega

Las estafas de entrega implican a atacantes que fingen ser de un servicio de entrega y afirman que hay un problema con un paquete. Se pide a la víctima que proporcione información personal o de pago para resolver el problema, que los estafadores explotan en busca de fraude. 

Riesgos del vishing para empresas e individuos 

Riesgos para las personas

  • Robo de identidad y acceso no autorizado a la cuenta: Los atacantes pueden utilizar información personal robada para tomar el control de las cuentas financieras, posiblemente agotar fondos o acceder a datos confidenciales.
  • Fraude financiero: Los delincuentes pueden robar dinero directamente o utilizar la información de la víctima para abrir nuevas cuentas, solicitar préstamos o realizar compras fraudulentas en su nombre.
  • Ventas de Dark Web: Los datos personales comprometidos se pueden vender en la web oscura, lo que permite a otros delincuentes explotar la identidad de la víctima para diversas actividades ilegales.

Riesgos para las empresas

  • Violación de datos: Los ataques de vishing dirigidos a empleados pueden provocar filtraciones de información de clientes, datos de propiedad exclusiva y comunicaciones confidenciales, creando problemas de seguridad generalizados.
  • Consecuencias normativas y legales: En sectores como el financiero, el sanitario y el tecnológico, las filtraciones pueden dar lugar a importantes multas normativas, demandas de las partes afectadas y una pérdida de ventaja competitiva.
  • Pérdida de confianza del cliente: Una filtración de datos causada por el vishing puede dañar gravemente la reputación de una empresa, lo que provoca la pérdida de la fidelidad del cliente y pérdidas financieras a largo plazo.

Signos de que un ataque de vishing le está atacando 

  • Poder reconocer un ataque de vishing puede evitarlo. Estas son algunas señales de advertencia a tener en cuenta: 

Llamadas no solicitadas pidiendo información confidencial

Si recibe una llamada inesperada pidiendo información personal, como números de cuenta o contraseñas, es una señal de alerta. Las organizaciones legítimas normalmente no solicitan datos confidenciales por teléfono sin una verificación previa. 

Presión para actuar rápidamente

Los estafadores de vishing a menudo crean un sentido de urgencia, afirmando que se necesita una acción inmediata para evitar algo negativo, como la suspensión de su cuenta o la pérdida de fondos. Tenga cuidado con cualquier persona que llame y que le presione para que tome decisiones rápidas sin verificación. 

Solicitudes de datos personales sin previo aviso

Tenga cuidado con las llamadas que le piden que confirme información personal, como su número de Seguro Social o credenciales de inicio de sesión, especialmente si no esperaba la llamada. Las organizaciones legítimas normalmente permiten procesos de verificación alternativos. 

Cómo evitar los ataques de vishing 

  • Para protegerse frente a ataques de vishing a individuos y organizaciones y reducir su impacto, puede considerar algunas de estas prácticas recomendadas: 

Sea escéptico con las llamadas no solicitadas

Si recibe una llamada no solicitada solicitando información personal, verifique siempre la identidad de la persona que llama poniéndose en contacto directamente con la organización a través de sus canales oficiales. No confíe solo en la identificación de la persona que llama, ya que puede falsificarse. 

Nunca comparta información confidencial por teléfono

Evite compartir datos personales, como números de cuenta, contraseñas o PIN, por teléfono. Las organizaciones legítimas nunca solicitarán esta información en una llamada no solicitada. 

Formación de empleados

Las empresas deben realizar formación periódica en ciberseguridad para sus empleados, de modo que puedan aprender a reconocer los intentos de vishing y establecer un protocolo para informar de llamadas sospechosas. 

Herramientas de autenticación y bloqueo de llamadas

Considere utilizar aplicaciones o servicios de bloqueo de llamadas que filtren las llamadas de spam. Las empresas pueden utilizar herramientas de autenticación de voz para verificar la identidad de las personas que llaman, especialmente cuando hay información confidencial. 

Información relacionada con Vishing

image

El vishing a través de Microsoft Teams facilita la intrusión del malware DarkGate

Hablamos de un ataque de ingeniería social que engañó a la víctima para que instalara una herramienta de acceso remoto, desencadenando actividades de malware DarkGate y un intento de conexión de C&C.

image

Prácticas recomendadas de seguridad del correo electrónico para prevenir el phishing

Explore las últimas tendencias en phishing y las mejores prácticas de seguridad del correo electrónico para mejorar la seguridad de su correo electrónico y reducir los riesgos cibernéticos.

Investigaciones relacionadas

Artículos relacionados