Si alguna vez has recibido una llamada telefónica sobre la garantía extendida de tu automóvil, entonces has recibido una llamada de “vishing”.
El término significa “phishing de voz” (voice phishing), que es un tipo de phishing que los delincuentes utilizan para estafar o engañar a las personas para que proporcionen información personal o de pago sensible principalmente a través de llamadas telefónicas y mensajes de voz. Se trata de hacer que las personas confíen en el llamante y crean que están haciendo lo correcto al proporcionar esa información o hacer algo que normalmente no harían.
El “vishing” es un método de ciberdelito que, desafortunadamente, no está pasando de moda en el corto plazo. En enero pasado, el FBI informó que los ciberdelincuentes utilizaron llamadas telefónicas de phishing de voz (en combinación con un sitio web de phishing) para engañar a empleados de varias empresas y hacer que revelaran sus credenciales de inicio de sesión.
Pero, ¿qué es el “vishing” en un sentido más técnico? ¿Cómo funciona el “vishing” para hacer que reveles tu información personal? Exploraremos varios métodos de phishing de voz y compartiremos cómo protegerte a ti mismo y a tu organización.
- ¿Qué es el "Vishing"? Una Definición de Phishing por Voz
- El "Vishing" se Basa en Tácticas de Ingeniería Social
- Técnicas Comunes de Vishing Utilizadas por los Ciberdelincuentes
- Buscar en la Basura o Dumpster Diving
- ¿Cómo Funciona el "Vishing"?
- Ejemplos de Estafas Comunes de "Vishing"
- Cómo Protegerte de los Ataques de "Vishing"
- Conclusión
¿Qué es el “Vishing”? Una Definición de Phishing por Voz
El “vishing” (voice phishing) es un método de ciberdelito que implica el uso de llamadas telefónicas para obtener los detalles personales de personas que no sospechan. A veces llamado phishing por voz, los ciberdelincuentes suelen utilizar el “vishing” porque es una forma efectiva de convencer a sus víctimas para que:
- Revelen su información personal sensible.
- Envíen o revelen información sensible o confidencial de la empresa.
- Realicen pagos fraudulentos mediante transferencias bancarias y códigos de tarjetas de regalo prepagadas.
El “Vishing” se Basa en Tácticas de Ingeniería Social
La ingeniería social es una categoría de trucos psicológicos y tácticas de manipulación que los ciberdelincuentes utilizan para lograr que las personas hagan algo que normalmente les haría sospechar. Se trata de emplear tácticas que llevan a las personas a pasar por alto las señales de advertencia y a ignorar sus instintos.
Los ingenieros sociales confían en técnicas como el uso de un lenguaje que transmite urgencia o evoca sentimientos de miedo o curiosidad para lograr que los objetivos cumplan con sus demandas. Estas tácticas a menudo implican que un delincuente se haga pasar por alguien en una posición de autoridad, como un agente gubernamental, el banco del objetivo o la policía. En algunos casos, el ciberdelincuente se presenta como alguien agradable, confiable o empático para ganarse la confianza del objetivo.
Una vez que tienen éxito en obtener lo que buscan, los “vishers” utilizan esta información para llevar a cabo otros tipos de ciberdelitos.
Ahora que podemos responder a la pregunta “¿qué es el ‘vishing’?”, exploremos algunas de las diferentes técnicas de phishing de voz.
Técnicas Comunes de Vishing Utilizadas por los Ciberdelincuentes
Existen varias técnicas de “vishing”, pero estas son las cuatro comunes utilizadas por los ciberdelincuentes:
Mensajes de Texto SMS
Algunas estafas de “vishing” comienzan con un ciberdelincuente enviando mensajes de texto a números de teléfono al azar o específicos. Pueden utilizar aplicaciones, sitios web o incluso correos electrónicos para hacerlo. Estos mensajes de estafa contienen mensajes atractivos o amenazantes y números de teléfono para convencer a los destinatarios de que llamen de inmediato. Una vez que tienen al objetivo en el teléfono, los delincuentes pueden utilizar la ingeniería social para hacer que proporcionen información personal o realicen un pago.
Marcación Automática
En este enfoque, los ciberdelincuentes utilizan software de marcación automática y bots para llamar a miles de números, generalmente dentro de un código de área específico, con un mensaje pregrabado. Piensa en las estafas comunes relacionadas con la “garantía extendida de tu línea de crédito” o tus beneficios de seguridad social.
Pueden utilizar este enfoque para hacerse pasar por cualquier persona, desde entidades gubernamentales hasta tu banco. El mensaje grabado suele decir que tienen información importante que discutir, pero que el objetivo debe compartir sus detalles personales para confirmar su identidad antes de hacerlo. Para evitar este tipo de ataques cibernéticos, verifica el número desconocido mediante una herramienta de búsqueda de números de teléfono.
Suplantación de Identidad en el Identificador de Llamadas y Números de Teléfono
La suplantación de identidad es un método para hacer que algo parezca algo diferente. En el caso de las llamadas de “vishing”, los ciberdelincuentes se esconden detrás de identificadores de llamadas falsos. Pueden optar por mostrar su identificador de llamadas como “Desconocido” o intentar hacerse pasar por alguna autoridad gubernamental, como el departamento de policía local o agentes federales.
Pero esta no es la única forma en que los delincuentes ocultan quién está llamando realmente. Utilizando voz sobre IP (VoIP), los ciberdelincuentes pueden ocultarse fácilmente detrás de números de teléfono falsos. Pueden optar por usar un prefijo 1-800 o mostrar números de teléfono de empresas legítimas. También utilizan la suplantación de identidad en mensajes de texto (SMS) para ocultar el origen de sus mensajes falsos.
Estas tácticas hacen que sus engaños parezcan más legítimos en caso de que sus objetivos intenten buscar el número de teléfono en línea.
Buscar en la Basura o Dumpster Diving
Sí, este enfoque es exactamente lo que suena, pero afortunadamente no es tan común como otras técnicas de “vishing” que hemos mencionado. Este proceso implica que los ciberdelincuentes busquen literalmente en los contenedores de basura de las empresas documentos que contengan información sensible de individuos y organizaciones. Pueden utilizar esta información para el pretexto y como combustible para sus estafas de ingeniería social, lo que las hace más convincentes.
Ahora que sabemos qué es el “vishing” y algunas de las técnicas que utilizan los delincuentes, exploremos cómo funciona el “vishing” y algunos ejemplos de ataques de “vishing”.
¿Cómo Funciona el “Vishing”?
La forma en que funciona el “vishing” es que un actor amenazante se pone en contacto con las personas utilizando algún tipo de estafa para que las llamen de vuelta y proporcionen algún tipo de información sensible. (Esto podría ser información personal que puedan utilizar para cometer otros delitos o información de pago que les proporcione un rápido beneficio).
Utilizarán muchas tácticas y técnicas diferentes para intentar ponerse en contacto con posibles víctimas. La mayoría de los ataques de “vishing” se realizan mediante llamadas telefónicas en vivo y mensajes de voz o mediante el uso de llamadas robóticas. Algunas llamadas de “vishing” combinan los dos métodos; es posible que recibas una llamada robótica que te transfiera a una persona en vivo cuando respondas el teléfono. Sin embargo, algunos ataques de “vishing” también involucran el uso de correos electrónicos, mensajes de texto SMS o sitios web fraudulentos.
Algunos ataques de “vishing” implican contactar a víctimas al azar, mientras que otros están altamente dirigidos y se centran en individuos específicos. Los ataques de “vishing” se dirigen a personas privadas, así como a personal clave en diferentes organizaciones. El enfoque depende de lo que los atacantes estén tratando de lograr y cuánto tiempo y energía quieran invertir en estas actividades.
Para ataques de “vishing” más dirigidos y convincentes, los delincuentes planificarán cuidadosamente muchos elementos específicos, que incluyen:
- a quién eligen suplantar (alguien que les ayude a ganar confianza o que represente una autoridad, como un ejecutivo de una empresa, un banco, un representante gubernamental, etc.).
- la información contextual que proporcionan (quieren que creas lo que dicen para que hagas lo que te piden y proporciones información).
- el lenguaje y las palabras que eligen usar (utilizan un lenguaje urgente o emocionante que provoca respuestas emocionales).
Una vez que los delincuentes “enganchan” a sus objetivos y obtienen la información que buscan, pueden utilizar esta información para:
- vaciar las cuentas bancarias de las víctimas,
- llevar a cabo el robo de identidad,
- realizar compras fraudulentas o
- llevar a cabo otros tipos de estafas.
Ejemplos de Estafas Comunes de “Vishing”
Los ejemplos a continuación muestran algunas de las estafas que los ciberdelincuentes utilizan para ganarse la confianza de las víctimas y hacer que hagan algo que no deberían.
Estafas de Suplantación de Gobierno o Aplicación de la Ley
En este caso, el llamante finge ser un representante de una agencia gubernamental. Este ejemplo suele ser más común si vives en Estados Unidos, cuando fingen ser alguien del FBI. Pueden decir que necesitan discutir un asunto importante contigo, pero primero necesitan verificar tu identidad. Si no cumples, comenzarán a hacer amenazas, diciendo que te arrestarán o cancelarán cualquier beneficio gubernamental que recibas.
Estafas de Salud
Nada es sagrado ni demasiado delicado como para que los ciberdelincuentes no lo exploten. En este tipo de estafas de “vishing”, los actores amenazantes se hacen pasar por agentes de un centro de Salud y tratan de robar los números de identificación personal u otra información sensible de las víctimas. Pueden decir que están enviando una nueva tarjeta de beneficios por correo y necesitan confirmar la identidad de la víctima, o que hay un problema con la cuenta de la víctima y necesitan la información personal de la víctima para resolverlo.
Lamentablemente, esta estafa ya era popular antes de la pandemia de COVID-19. Sin embargo, la estafa se intensificó aún más durante ese tiempo, así como cuando comenzaron a distribuirse las vacunas.
Servicios Falsos de Soporte Técnico
El llamante finge ser un representante de soporte técnico de empresas como Microsoft, Amazon o Apple. Dirán que notaron irregularidades en tu cuenta o descubrieron malware en tu dispositivo, pero para ayudarte a solucionar estos problemas, primero necesitan que:
- realices un pago por teléfono para pagar por sus servicios. Pueden pedir información de tu cuenta bancaria, número de tarjeta de crédito o incluso decir que necesitan una tarjeta de regalo prepagada.
- vayas a un sitio web específico donde puedas iniciar sesión para ver información o descargar software. Este sitio web puede ser un sitio de phishing que les permite robar tus credenciales de inicio de sesión o un sitio web malicioso que descarga automáticamente malware en tu dispositivo.
- proporciones tu dirección de correo electrónico para que puedan enviarte una “actualización de software”. En realidad, se trata de un archivo malicioso que infecta tu dispositivo.
Estafas de Suplantación de Banco o Compañía de Tarjetas de Crédito
Esto es autoexplicativo. Implica que el ciberdelincuente se hace pasar por un representante del banco o la compañía de tarjetas de crédito de la víctima. El “visher” solicita los detalles bancarios de las víctimas para ayudar a gestionar su cuenta bancaria. Una vez que reciben los detalles de la cuenta bancaria de la víctima, utilizan esa información para transferir fondos de la cuenta bancaria de la víctima a una que controlan.
También prometen a las víctimas tasas de interés y límites de tarjetas de crédito tentadores, atrayendo a la víctima a caer en sus mentiras y compartir su información también.
Cómo Protegerte de los Ataques de “Vishing”
Además de recibir capacitación y estar al tanto de la seguridad de manera constante, aquí hay otras formas de protegerte de los ataques de “vishing”:
- Nunca reveles ni confirmes información personal por teléfono en una llamada no solicitada.
- Registra todos tus números de teléfono celular en el registro “No Llamar” (Do Not Call).
- Intenta tener un plan de telefonía móvil que proporcione detalles de identificación de llamadas.
- Utiliza una herramienta de búsqueda de números de teléfono.
- No respondas a correos electrónicos o mensajes de texto SMS aleatorios que te dirijan a llamar a un número desconocido.
- Estudia bien a tu interlocutor prestando atención a cada detalle de la conversación. Si te solicitan información personal o algo acerca de la llamada te parece sospechoso, sigue el siguiente consejo que se menciona a continuación.
- Si no estás seguro de la legitimidad del llamante, cuelga y llama de vuelta a la organización que dicen representar utilizando un número de teléfono oficial.
- Si alguien llama afirmando ser un ejecutivo de una empresa y hace una solicitud inusual o urgente, infórmales que colgarás y que llamarás de vuelta desde una línea oficial para confirmar estos detalles.
Conclusión
El “vishing” se vuelve más difícil para los ciberdelincuentes cuando las personas están bien informadas sobre los diferentes tipos de ataques de “vishing”, las técnicas estándar que utilizan los ciberdelincuentes y cómo protegerse eficazmente contra posibles ataques de “vishing”. Aunque este artículo explica adecuadamente estos principios, una buena lectura te hace inmune a los ataques de “vishing”.