Vishing Definición técnicas ejemplos y protección
Vishing Definición técnicas ejemplos y protección
Seguridad
·11 Minutos de lectura

¿Qué es el Vishing? Un Vistazo a la Suplantación de Identidad por Voz

¿Qué es el vishing? El término significa “phishing de voz“, que es un tipo de phishing que los delincuentes utilizan para estafar o engañar a las personas para que proporcionen información personal o de pago confidencial utilizando principalmente llamadas telefónicas y mensajes de voz. Se trata de conseguir que la gente confíe en la persona que llama y crea que está haciendo lo correcto al proporcionar esa información o hacer algo que normalmente no haría.

Vishing en Acción

Si alguna vez has recibido una llamada telefónica sobre la extensión de la garantía de tu coche, entonces has recibido una llamada de vishing. Un reciente estudio de Truecaller informa de que Brasil ocupa el primer lugar (seguido de Estados Unidos, Hungría, Polonia, España, Indonesia, Reino Unido, Ucrania, India y Chile) como país que recibe diariamente llamadas de spam en sus teléfonos móviles.

El vishing es un método de ciberdelincuencia que, por desgracia, no va a pasar de moda en breve. En enero de 2021, el FBI informó de que los ciberdelincuentes utilizaron llamadas telefónicas de phishing de voz (en combinación con un sitio web de phishing) para engañar a los empleados de varias empresas para que dieran sus credenciales de acceso.

Pero, ¿qué es el vishing en un sentido más técnico? ¿Cómo funciona el vishing para conseguir que se entregue la información personal? Exploraremos varios métodos de phishing de voz y compartiremos cómo protegerse a ti mismo y a tu organización.

See Also

¿Qué es el Vishing? Una Definición de Phishing de Voz

Ilustración de persona que recibe llamada phishing de voz
Ilustración de persona que recibe llamada phishing de voz

El vishing, veces llamado phishing de voz, es un método de ciberdelincuencia que consiste en utilizar las llamadas telefónicas para obtener los datos personales de personas desprevenidas.

Los ciberdelincuentes suelen utilizar el vishing porque es una forma eficaz de convencer a sus víctimas para:

  • revelar su información personal sensible,
  • enviar o revelar de algún modo información sensible o confidencial de la empresa, y
  • realizar pagos fraudulentos a través de transferencias bancarias y códigos de tarjetas de regalo prepagadas.

El Vishing se Basa en Tácticas de Ingeniería Social

La ingeniería social es una categoría de trucos psicológicos y tácticas de manipulación que los ciberdelincuentes utilizan para conseguir que la gente haga algo que normalmente hace saltar las alarmas. Se trata de utilizar tácticas para que la gente ignore las señales de advertencia y haga caso omiso de sus instintos.

Los ingenieros sociales se basan en técnicas como el uso de un lenguaje que transmite urgencia o evoca sentimientos de miedo o curiosidad para conseguir que los objetivos cumplan. Estas tácticas suelen implicar que el delincuente se haga pasar por alguien con autoridad, como un agente del gobierno, el banco del objetivo o la policía. En algunos casos, el ciberdelincuente se presenta como alguien simpático, digno de confianza o empático para ganarse la confianza del objetivo.

Una vez que consiguen lo que buscan, los “vishers” utilizan esta información para llevar a cabo otros tipos de ciberdelitos.

A principios de 2021, el Centro de Denuncias de Delitos en Internet o Internet Crime Complaint Center (IC3) del FBI publicó su Informe de Delitos en Internet 2020, en el que afirma que los delitos de ingeniería social, incluido el vishing, han costado a las víctimas más de 54 millones de dólares.

Ahora que podemos responder a la pregunta “¿qué es el vishing?” Vamos a explorar algunos de los diferentes tipos de técnicas de phishing de voz.

Técnicas de Vishing más Comunes que Utilizan los Ciberdelincuentes

Existen varias técnicas de vishing, pero estas son las cuatro más comunes que utilizan los ciberdelincuentes:

Mensajes de Texto SMS

Algunas estafas de vishing comienzan con un ciberdelincuente que envía mensajes de texto a números de teléfono aleatorios o específicos. Para ello, pueden utilizar aplicaciones, sitios web o incluso correos electrónicos. Estos mensajes de estafa contienen mensajes tentadores o amenazantes y números de teléfono para convencer a los destinatarios de que llamen inmediatamente. Una vez que consiguen que el objetivo se ponga al teléfono, los delincuentes pueden utilizar la ingeniería social para conseguir que proporcionen información personal o realicen un pago.

Mensajes de publicidad por SMS
Mensajes de publicidad por SMS

Marcación Automática

En este enfoque, los ciberdelincuentes utilizan software de marcación automática y bots para llamar a miles de números, normalmente dentro de un código de área específico, con un mensaje pregrabado. Piensa en las estafas habituales relacionadas con la “garantía ampliada de tu coche” o las prestaciones de la seguridad social.

Pueden utilizar este método para hacerse pasar por todos, desde entidades gubernamentales hasta tu banco. El mensaje grabado suele decir que tienen información importante que discutir, pero que el objetivo tiene que compartir sus datos personales para confirmar su identidad antes de poder hacerlo. Para evitar este tipo de ciberataques, comprueba el número desconocido a través de una herramienta de búsqueda de números de teléfono.

Spoofing de Números de Teléfono e Identificación de Llamadas

El spoofing o suplantación es un método para hacer que una cosa parezca otra diferente. En el caso de las llamadas telefónicas de vishing, los ciberdelincuentes se esconden detrás de identificadores de llamada falsos. Pueden optar por mostrar su identificador de llamadas como “Desconocido” o pueden intentar hacerse pasar por alguna autoridad gubernamental, como el departamento de policía local o agentes federales.

Pero, ésta no es la única forma que tienen los delincuentes de ocultar quién llama realmente. Utilizando la voz sobre IP (VoIP), los ciberdelincuentes pueden esconderse fácilmente tras números de teléfono falsos. Pueden optar por utilizar un prefijo 1-800 o mostrar números de teléfono de empresas legítimas. También utilizan la suplantación de SMS para ocultar el origen de sus mensajes de texto falsos.

Estas tácticas hacen que sus artimañas parezcan más legítimas en caso de que sus objetivos intenten buscar el número de teléfono en línea.

Suplantación de llamadas telefónicas
Suplantación de llamadas telefónicas

Buceo en el contenedor

Sí, este método (dumpster diving) es exactamente lo que parece pero, afortunadamente, no es tan común como otras técnicas de vishing de las que hemos hablado. Este proceso implica que los ciberdelincuentes rebusquen literalmente en los contenedores de basura de las empresas para buscar documentos que contengan información sensible de individuos y organizaciones. Pueden utilizar esta información para el pretexto y como combustible para sus estafas de ingeniería social para hacerlas más convincentes.

Ahora que sabemos qué es el vishing y algunas de las técnicas que utilizan los malos, vamos a explorar cómo funciona el vishing y algunos ejemplos de ataques de vishing.

¿Cómo Funciona el Vishing?

La forma en que funciona el vishing es que un actor de la amenaza se pone en contacto con la gente utilizando algún tipo de estafa para conseguir que llamen y proporcionen algún tipo de información sensible. (Puede tratarse de información personal que puedan utilizar para llevar a cabo otros delitos o información de pago que les permita obtener un dinero rápido).

Utilizarán muchas tácticas y técnicas diferentes para intentar ponerse en contacto con las víctimas potenciales. La mayoría de los ataques de vishing se realizan a través de llamadas telefónicas y mensajes de voz en directo o mediante el uso de robocalls. Algunas llamadas de vishing son una combinación de los dos métodos: es posible que recibas una llamada robótica que te transfiera a una persona en directo cuando contestes al teléfono. Sin embargo, algunos ataques de vishing también implican el uso de correos electrónicos, mensajes de texto SMS o sitios web fraudulentos.

Algunos ataques de vishing consisten en ponerse en contacto con víctimas aleatorias, mientras que otros son muy selectivos y se centran en personas concretas. Los ataques de vishing se dirigen a todo el mundo, desde los particulares hasta el personal clave de las distintas organizaciones. El enfoque depende de lo que los atacantes intenten conseguir y de cuánto tiempo y energía quieran invertir en estas actividades.

Para que los ataques de vishing sean más selectivos y convincentes, los delincuentes planificarán cuidadosamente muchos elementos específicos, entre ellos

  • a quién eligen para hacerse pasar por él (alguien que les ayude a ganarse la confianza o que represente a una autoridad: un ejecutivo de una empresa, un banco, un representante del gobierno, etc.)
  • la información contextual que proporcionan (quieren que te creas lo que dicen para que hagas lo que te piden y proporciones información)
  • el lenguaje y las palabras que eligen utilizar (utilizan un lenguaje urgente o emocionante que evoca respuestas emocionales).

Una vez que los delincuentes “enganchan” a sus objetivos y obtienen la información que buscan, pueden utilizarla para:

  • vaciar las cuentas bancarias de las víctimas,
  • llevar a cabo robos de identidad,
  • realizar compras fraudulentas o
  • realizar otras estafas.
Ver también

Ejemplos de Estafas Comunes de Vishing

Los siguientes ejemplos muestran algunas de las estafas que los ciberdelincuentes utilizan para conseguir que los objetivos confíen en ellos y hagan algo que no deberían.

Ejemplos de técnicas Vishing
Ejemplos de técnicas Vishing

Estafas de suplantación de identidad del gobierno o de las fuerzas del orden

En este caso, la persona que llama se hace pasar por un representante de una agencia gubernamental, como alguien de la Policía o la Administración de la Seguridad Social. Pueden decir que necesitan discutir un asunto importante contigo, pero primero necesitan verificar tu identidad. Si no lo haces, empezarán a amenazar con arrestarte o con cancelar cualquier prestación gubernamental que recibas.

Estafas con Medicamentos

Nada es sagrado ni un tema demasiado sensible para que los ciberdelincuentes no lo exploten. En este tipo de estafas de vishing, los actores de la amenaza se hacen pasar por agentes de Centros de Salud e intentan robar los números de identificación personal de las víctimas u otra información sensible. Pueden decir que están enviando una nueva tarjeta de beneficios y que necesitan confirmar la identidad de la víctima, o que hay un problema con la cuenta de la víctima y requieren su información personal para resolverlo.

Por desgracia, esta estafa ya era popular antes de la pandemia del COVID-19. Sin embargo, la estafa se intensificó aún más durante ese tiempo, así como cuando las vacunas empezaron a distribuirse.

Servicios de soporte técnico falsos

La persona que llama se hace pasar por un representante de soporte técnico de empresas como Microsoft, Amazon o Apple. Dirán que han detectado irregularidades en tu cuenta o que han descubierto malware en tu dispositivo, pero para poder ayudarte a solucionar estos problemas, primero necesitan que

  • realices un pago por teléfono para pagar tus servicios. Es posible que te pidan los datos de tu cuenta bancaria, el número de tu tarjeta de crédito o incluso te digan que necesitan una tarjeta de regalo de prepago.
  • ir a un sitio web específico en el que puede iniciar sesión para ver información o descargar software. Este sitio web puede ser un sitio de phishing que les permita robar tus credenciales de inicio de sesión o un sitio web malicioso que descargue automáticamente malware en tu dispositivo.
  • proporcionar tu dirección de correo electrónico para que te envíen una “actualización de software“. Esto es realmente un archivo malicioso que infecta tu dispositivo.

Estafas de suplantación de identidad de bancos

Esto se explica por sí mismo. Consiste en que el ciberdelincuente se hace pasar por un representante del banco o de la compañía de tarjetas de crédito de la víctima. El visher solicita los datos bancarios de las víctimas para poder realizar la gestión de su cuenta bancaria. Una vez que reciben los detalles de la cuenta bancaria de la víctima, utilizan esa información para transferir fondos de la cuenta bancaria de la víctima a una que ellos controlan.

También prometen a las víctimas atractivas tarifas y límites de las tarjetas de crédito, atrayendo a la víctima para que caiga en sus mentiras y comparta también su información.

Cómo Protegerte de los Ataques de Vishing

Técnicas de Protección para Ataques de Vishing
Técnicas de Protección para Ataques de Vishing

Aparte de la formación y los simposios frecuentes de concienciación sobre la seguridad, he aquí otras formas de protegerte de los ataques de vishing:

  • Nunca reveles o confirmes ninguna información personal por teléfono en una llamada no solicitada.
  • Registra todos tus números de teléfono móvil en el registro “No llamar” (no está disponible en todos los países).
  • Procura tener un plan de telefonía móvil que proporcione detalles de identificación de llamadas.
  • Utiliza una herramienta de búsqueda de números de teléfono.
  • No respondas a correos electrónicos o mensajes de texto SMS aleatorios que te indiquen que llame a un número desconocido.
  • Estudia muy bien a la persona que te llama, prestando atención a cada detalle de la conversación. Si te piden información personal o algo de la llamada te parece sospechoso, sigue el siguiente consejo mencionado a continuación.
  • Si no estás seguro de la legitimidad de la persona que llama, cuelga y devuelve la llamada a la organización que dice representar utilizando un número de teléfono oficial.
  • Si alguien llama diciendo que es un ejecutivo de una empresa y hace una petición inusual o urgente, infórmale de que va a colgar y que volverá a llamar a una línea oficial para confirmar estos detalles.

Conclusión

El vishing se convierte en algo difícil para los ciberdelincuentes cuando las personas se informan adecuadamente sobre los diferentes tipos de ataques de vishing, las técnicas estándar que utilizan los ciberdelincuentes y cómo protegerse eficazmente contra posibles ataques de vishing. Aunque este artículo explica adecuadamente estos principios, una buena lectura te hace inmune a los ataques de vishing.

Mi Carro Close (×)

Tu carrito está vacío
Ver tienda

Ajustes de privacidad

Decida qué cookies desea permitir.Puede cambiar estos ajustes en cualquier momento. Sin embargo, esto puede hacer que algunas funciones dejen de estar disponibles. Para obtener información sobre eliminar las cookies, por favor consulte la función de ayuda de su navegador.MÁS INFORMACIÓN SOBRE LAS COOKIES QUE USAMOS.

Con el deslizador, puede habilitar o deshabilitar los diferentes tipos de cookies:

Este sitio web

  • Esencial: Recordar sus ajustes de permisos de cookies
  • Esencial: Permitir cookies de sesión
  • Esencial: Recopilar la información que introduzca en el formulario de contacto de un boletín informativo y otros formularios en todas las páginas
  • Esencial: Hacer un seguimiento de lo que introduzca en la cesta de la compra
  • Esencial: Verificar que ha iniciado sesión en su cuenta de usuario
  • Esencial: Recordar la versión del idioma seleccionado

Este sitio web no

  • Recordar los datos de inicio de sesión
  • Funcionalidad: Recordar los ajustes de redes sociales
  • Funcionalidad: Recordar el país y la región seleccionados
  • Análisis: Hacer un seguimiento de las páginas visitadas y de la interacción en las mismas
  • Análisis: Hacer un seguimiento de la ubicación y la región según la dirección IP
  • Análisis: Hacer un seguimiento del tiempo pasado en cada página
  • Análisis: Aumentar la calidad de los datos de las funciones estadísticas
  • Publicidad: Adaptar la información y la publicidad a sus intereses según, p.ej., el contenido que ha visitado antes. (Actualmente no usamos segmentación ni cookies de segmentación)
  • Publicidad: Recopilar información personalmente identificable como el nombre y la ubicación

Este sitio web

  • Esencial: Recordar sus ajustes de permisos de cookies
  • Esencial: Permitir cookies de sesión
  • Esencial: Recopilar la información que introduzca en el formulario de contacto de un boletín informativo y otros formularios en todas las páginas
  • Esencial: Hacer un seguimiento de lo que introduzca en la cesta de la compra
  • Esencial: Verificar que ha iniciado sesión en su cuenta de usuario
  • Esencial: Recordar la versión del idioma seleccionado
  • Funcionalidad: Recordar todos los ajustes de redes sociales
  • Funcionalidad: Recordar el país y la región seleccionados

Este sitio web no

  • Análisis: Hacer un seguimiento de las páginas visitadas y de la interacción en las mismas
  • Análisis: Hacer un seguimiento de la ubicación y la región según la dirección IP
  • Análisis: Hacer un seguimiento del tiempo pasado en cada página
  • Análisis: Aumentar la calidad de los datos de las funciones estadísticas
  • Publicidad: Adaptar la información y la publicidad a sus intereses según, p.ej., el contenido que ha visitado antes. (Actualmente no usamos segmentación ni cookies de segmentación)
  • Publicidad: Recopilar información personalmente identificable como el nombre y la ubicación

Este sitio web

  • Esencial: Recordar sus ajustes de permisos de cookies
  • Esencial: Permitir cookies de sesión
  • Esencial: Recopilar la información que introduzca en el formulario de contacto de un boletín informativo y otros formularios en todas las páginas
  • Esencial: Hacer un seguimiento de lo que introduzca en la cesta de la compra
  • Esencial: Verificar que ha iniciado sesión en su cuenta de usuario
  • Esencial: Recordar la versión del idioma seleccionado
  • Funcionalidad: Recordar todos los ajustes de redes sociales
  • Funcionalidad: Recordar el país y la región seleccionados
  • Análisis: Hacer un seguimiento de las páginas visitadas y de la interacción en las mismas
  • Análisis: Hacer un seguimiento de la ubicación y la región según la dirección IP
  • Análisis: Hacer un seguimiento del tiempo pasado en cada página
  • Análisis: Aumentar la calidad de los datos de las funciones estadísticas

Este sitio web no

  • Publicidad: Adaptar la información y la publicidad a sus intereses según, p.ej., el contenido que ha visitado antes. (Actualmente no usamos segmentación ni cookies de segmentación)
  • Publicidad: Recopilar información personalmente identificable como el nombre y la ubicación

Este sitio web

  • Funcionalidad: Recordar los ajustes de redes sociales
  • Funcionalidad: Recordar el país y la región seleccionados
  • Análisis: Hacer un seguimiento de las páginas visitadas y de la interacción en las mismas
  • Análisis: Hacer un seguimiento de la ubicación y la región según la dirección IP
  • Análisis: Hacer un seguimiento del tiempo pasado en cada página
  • Análisis: Aumentar la calidad de los datos de las funciones estadísticas
  • Publicidad: Adaptar la información y la publicidad a sus intereses según, p.ej., el contenido que ha visitado antes. (Actualmente no usamos segmentación ni cookies de segmentación)
  • Publicidad: Recopilar información personalmente identificable como el nombre y la ubicación

Este sitio web no

  • Recordar los datos de inicio de sesión
Guardar cerrar