El vishing, que es la abreviatura de "phishing de voz", es un tipo de ataque de ingeniería social que utiliza llamadas telefónicas o comunicación basada en voz para engañar a alguien para que entregue información confidencial, como detalles de cuentas bancarias, credenciales de inicio de sesión o información de identificación personal (PII). Si bien los emails de phishing se reconocen con mayor frecuencia, los ataques de vishing están en aumento, a menudo volando bajo el radar. A diferencia de otros ciberataques dirigidos a canales digitales, el vishing manipula la confianza humana mediante la interacción directa de voz, lo que lo convierte en una herramienta poderosa para los estafadores.
Los ataques de vishing se basan en una combinación de técnicas de manipulación para hacer que sus esquemas sean convincentes. Estas son algunas de las tácticas más utilizadas:
El atacante creará una historia inventada o "pretexto" para justificar la llamada. Podrían afirmar ser del banco de la víctima y decirles que hay actividad sospechosa en su cuenta. Intentarán crear un sentido de urgencia en su pretexto para que la víctima responda sin pensar y renuncie a su información confidencial.
Los atacantes manipulan la información de identificación de la persona que llama para que parezca que la llamada proviene de una fuente legítima. Esto se hace para reducir las defensas del objetivo y hacer que sea más probable que confíen en la persona que llama.
Una de las técnicas más eficaces en vishing es crear un sentido de urgencia. Los atacantes pueden afirmar que se requiere una acción inmediata para evitar el fraude o la pérdida financiera, presionando a la víctima para que actúe antes de tener tiempo para pensar críticamente o verificar la identidad de la persona que llama.
Los atacantes normalmente se hacen pasar por un trabajador de atención al cliente de empresas tecnológicas conocidas, alegando que el ordenador de la víctima está comprometido. Convencen a las víctimas para que otorguen acceso remoto o paguen reparaciones falsas, lo que a menudo conduce a robo de datos o pérdida financiera.
En estas estafas, los estafadores se hacen pasar por representantes bancarios, reclamando actividad sospechosa en la cuenta de la víctima. El atacante solicita información confidencial, como contraseñas o PIN, con el fin de proteger la cuenta, lo que da lugar a un acceso no autorizado a los datos financieros.
Las estafas de entrega implican a atacantes que fingen ser de un servicio de entrega y afirman que hay un problema con un paquete. Se pide a la víctima que proporcione información personal o de pago para resolver el problema, que los estafadores explotan en busca de fraude.
Riesgos para las personas
Si recibe una llamada inesperada pidiendo información personal, como números de cuenta o contraseñas, es una señal de alerta. Las organizaciones legítimas normalmente no solicitan datos confidenciales por teléfono sin una verificación previa.
Los estafadores de vishing a menudo crean un sentido de urgencia, afirmando que se necesita una acción inmediata para evitar algo negativo, como la suspensión de su cuenta o la pérdida de fondos. Tenga cuidado con cualquier persona que llame y que le presione para que tome decisiones rápidas sin verificación.
Tenga cuidado con las llamadas que le piden que confirme información personal, como su número de Seguro Social o credenciales de inicio de sesión, especialmente si no esperaba la llamada. Las organizaciones legítimas normalmente permiten procesos de verificación alternativos.
Si recibe una llamada no solicitada solicitando información personal, verifique siempre la identidad de la persona que llama poniéndose en contacto directamente con la organización a través de sus canales oficiales. No confíe solo en la identificación de la persona que llama, ya que puede falsificarse.
Evite compartir datos personales, como números de cuenta, contraseñas o PIN, por teléfono. Las organizaciones legítimas nunca solicitarán esta información en una llamada no solicitada.
Las empresas deben realizar formación periódica en ciberseguridad para sus empleados, de modo que puedan aprender a reconocer los intentos de vishing y establecer un protocolo para informar de llamadas sospechosas.
Considere utilizar aplicaciones o servicios de bloqueo de llamadas que filtren las llamadas de spam. Las empresas pueden utilizar herramientas de autenticación de voz para verificar la identidad de las personas que llaman, especialmente cuando hay información confidencial.
Hablamos de un ataque de ingeniería social que engañó a la víctima para que instalara una herramienta de acceso remoto, desencadenando actividades de malware DarkGate y un intento de conexión de C&C.
Explore las últimas tendencias en phishing y las mejores prácticas de seguridad del correo electrónico para mejorar la seguridad de su correo electrónico y reducir los riesgos cibernéticos.
Investigaciones relacionadas
Artículos relacionados