¿Qué es el Vishing?

tball

Vishing, que significa “phishing de voz”, es un tipo de ataque de ingeniería social que usa llamadas telefónicas o comunicaciones basadas en la voz para engañar a individuos y hacer que revelen información sensible, como información bancaria, credenciales de inicio de sesión o información personalmente identificable (PII).

Comprendiendo el vishing

Aunque los emails de phishing son más conocidos, el vishing está en aumento. A diferencia de otros ciberataques que aprovechan los canales digitales, el vishing manipula la confianza por medio de la interacción por voz, convirtiéndola así en una herramienta poderosa para los estafadores.

imagen

Técnicas comunes usadas en los ataques de vishing

Los ataques de vishing dependen de una combinación de técnicas de manipulación para hacer que sus estafas sean convincentes. Estas son algunas de las más utilizadas: 

Pretexto

El atacante creará una historia o tendrá un "pretexto" para justificar la llamada. Podrían decir ser del banco de la víctima y decirles que detectaron actividades sospechosas en la cuenta. Intentarán crear un sentido de urgencia, para lograr que la víctima responda sin pensarlo y entreguen la información sensible que los estafadores están buscando. 

Spoofing del Identificador de Llamadas

Los atacantes manipulan la información del identificador de llamadas para hacer pasar sus llamadas como provenientes de una fuente legítima. Esto es para que las víctimas bajen sus defensas y elevar las probabilidades de que confíen en lo que se les dice. 

Tácticas de Urgencia

Una de las técnicas más efectivas en el vishing es la creación de un sentido de urgencia. Los atacantes podrían requerir de una acción inmediata para prevenir un “fraude” o “pérdida”, presionando a la víctima para que actúe antes de que puedan pensar la situación de forma crítica o verificar la identidad de quien llama. 

¿Qué son los Ataques de Vishing?

Ejemplos del mundo real de ataques de vishing

Estafas de soporte técnico

Los atacantes se hacen pasar como un técnico de servicio al cliente de compañías conocidas, y suelen decir que el dispositivo de la víctima ha sido comprometido. Convencen a sus víctimas de otorgarles acceso remoto o pagar por reparaciones falsas, dando como resultado pérdidas financieras o de información. 

Estafas de suplantación de identidad de bancos

En estas estafas, los criminales se hacen pasar por representantes de un banco, diciendo que se ha detectado actividad sospechosa en la cuenta de la víctima. El atacante busca información sensible, como contraseñas o PINs, para “proteger” la cuenta, pero que resultará en un acceso no autorizado a la información financiera de la víctima. 

Estafas de mensajería

En las estafas de mensajería, los atacantes dicen ser de una empresa de logística y le contactan porque hay un “problema” con un paquete. Se le solicita a la víctima dar información personal o de pago para resolver el problema. 

Los riesgos del vishing para las empresas y los individuos

Riesgos para individuos 

  • Robo de Identidad y Acceso No Autorizado a Cuentas: Los atacantes usan información personal robada para tomar el control de cuentas bancarias, accediendo a información sensible o retirando fondos.
  • Fraude Financiero: Los criminales podrían robar dinero directamente o usar la información de la víctima para abrir cuentas bancarias, tomar préstamos o hacer compras en su nombre.
  • Ventas en la Dark Web: La información personal comprometida puede venderse en la dark web, permitiendo que otros criminales exploten la identidad de la víctima para hacer actividades ilegales.

Riesgos para las empresas

  • Brechas de Datos: Los ataques de vishing que se dirigen a los empleados pueden resultar en brechas de información de clientes, información propietaria y comunicaciones confidenciales, creando problemas de seguridad que tocan a toda la organización.
  • Consecuencias Legales y Regulatorias: En industrias como finanzas, tecnología y el sector salud, las brechas además pueden resultar en multas, demandas y pérdida de la ventaja competitiva.
  • Pérdida de Confianza de los Clientes: Una brecha de datos causada por el vishing podría dañar severamente la reputación de una empresa, resultando en la pérdida de la confianza de los clientes y en pérdidas financieras a largo plazo.

Señales de que podría ser víctima de un ataque de vishing

  • ¡Saber reconocer un ataque de Vishing podría prevenir uno! Estas son algunas señales de alerta:

Llamadas no deseadas solicitando información sensible

Si recibe una llamada inesperada solicitando información personal, como números de cuenta o contraseñas, es una bandera roja. Las organizaciones legítimas típicamente no solicitarán información sensible por teléfono sin verificación previa. 

Presión para actuar rápido

Los estafadores crean un sentido de urgencia, diciendo que se requiere de acción inmediata para prevenir algún efecto negativo, como la suspensión de su cuenta o la pérdida de fondos. Tenga cuidado de cualquier llamada que lo presiona para tomar decisiones sin darle tiempo para verificar o considerar. 

Solicitudes de información personal sin previo aviso

Tenga cuidado de cualquier llamada que le solicite confirmar información personal, como su número de seguridad social o sus credenciales de inicio de sesión, especialmente si no estaba esperando la llamada. Las organizaciones legítimas típicamente permiten procesos alternativos de verificación. 

Cómo prevenir ataques de vishing

  • Para proteger contra los ataques de vishing, tanto individuos como organizaciones pueden reducir su impacto al considerar las siguientes mejores prácticas: 

Desconfíe de llamadas no deseadas

Si recibe una llamada no deseada solicitando información personal, siempre verifique la identidad de quien llama contactando a la organización directamente a través de sus canales oficiales. No dependa del identificador de llamadas. 

Nunca comparta información sensible por teléfono

Evite compartir detalles personales, como números de cuenta, contraseñas, PINs, etc. por teléfono. Las organizaciones legítimas nunca le pedirán esta información en una llamada no solicitada. 

Capacitación de empleados

Las empresas deben realizar capacitaciones regulares de ciberseguridad para que sus empleados puedan reconocer los intentos de vishing y puedan establecer un protocolo para reportar las llamadas sospechosas. 

Herramientas de bloqueo y autentificación de llamadas

Considere usar aplicaciones o servicios para bloquear y filtrar las llamadas de spam. Las empresas pueden usar herramientas de autentificación de voz para verificar la identidad de quien llama, especialmente cuando se tiene que lidiar con información sensible. 

Cómo Prevenir Ataques de Vhishing

Solución de Trend Micro Email Security

Trend Vision One™ Email and Collaboration Security entrega protección líder en la industria contra las amenazas avanzadas que se dirigen hacia las plataformas de correo y de colaboración. Detiene el phishing, los ataques de business email compromise (BEC), ransomware y otros ataques dirigidos con detección de amenazas impulsada por IA y análisis dinámico en sandbox.

Al validar la identidad del remitente, escanear las URLs y los archivos adjuntos en tiempo real y aprovechando técnicas de defensa intergeneracionales, brinda visibilidad y control integrales a través de sus canales de comunicación basados en la nube.