marzo 6, 2022
Seguridad
8 min. leer

¿Qué es el Vishing? Explicación de los ataques de vishing

El vishing es una forma particular de ataque de phishing que se realiza utilizando la voz por teléfono. La llamada, combinada con la ingeniería social, lleva a las víctimas a sufrir daños.

Ross K.
Experto en seguridad
El vishing es una forma particular de ataques de phishing. La letra "v" indica que esta forma de ataque se realiza utilizando la voz por teléfono. El vishing estafa a las víctimas para que faciliten su información personal. Estos intentos también pueden implicar técnicas de ingeniería social como el pretexto y trucos como la suplantación del identificador de llamadas. Los vishers suelen utilizar la tecnología de Voz sobre Protocolo de Internet (VoIP), que permite hacer llamadas utilizando la conexión a Internet de banda ancha en lugar de una línea telefónica normal. Esto hace que sus esfuerzos sean más eficaces. ¿Qué debe saber sobre el vishing y los ataques de vishing?

¿Cómo funciona el vishing?

Todo el vishing se realiza con la intención de sustraer datos personales del objetivo previsto, sobre todo para beneficiarse económicamente. El vishing consiste en ponerse en contacto con la víctima por teléfono y pedirle información confidencial, como números de cuenta, contraseñas, PIN y números de la seguridad social.
Alguien puede fingir que los datos que solicita son necesarios para verificar las cuentas de los clientes o actualizar su protección de seguridad, etc. Todo esto no es más que una fachada inteligente de ingeniería social, que intenta ganarse la confianza de una víctima desprevenida.
Estos delincuentes también pueden utilizar una especie de argumento de venta sobre regalos gratuitos o tipos de interés bajos para atraer a sus víctimas y hacerles entregar información personal. El vishing no es una forma nueva de estafa en absoluto, pero ha evolucionado hasta convertirse en una amenaza mucho más peligrosa hoy en día. Esto se debe principalmente al hecho de que la tecnología de las llamadas VoIP se ha hecho compatible con las llamadas robóticas. Este avance tecnológico hace que estas operaciones funcionen a una escala mucho mayor y, por lo tanto, mucho más rentable para los que idean tales esquemas.
El vishing puede ser muy eficaz al dirigirse a miles de personas a la vez porque la conexión se produce en tiempo real, mientras que con el phishing y los correos electrónicos tradicionales, el destinatario tiene tiempo para analizar y responder.

¿Cómo detectar un ataque de vishing?

Cuando alguien te llama de improviso y te pide que le entregues tus datos, el Vishing debería ser lo primero que te viene a la mente. Puede que no sea cierto el 100% de las veces, pero estar alerta es la clave. El hecho es que ninguna empresa de renombre debería ponerse en contacto con un cliente por teléfono para cambiar o discutir sus datos justo en ese momento. En todo caso, su gerente o representante podría llamarle para informarle de que algo ocurre y animarle a cambiar algo cuanto antes por su propia voluntad, pero nunca le pedirá sus identificaciones, números de cuentas bancarias o contraseñas. Si te piden alguno de ellos, cuelga y denuncia el número a tu compañía y a la empresa que intentan suplantar.
Los vendedores suelen intentar demostrar que son auténticos y autentificar su identidad mencionando detalles específicos sobre usted o su cuenta. Pueden fingir que llaman de una institución financiera, una compañía de tarjetas de crédito, un servicio técnico, etc.
Aunque el identificador de llamadas coincida con el de la empresa de la que dicen llamar, es posible que se trate de una falsificación. Los vendedores pueden utilizar un software específico para cambiar los números que aparecen en el identificador de llamadas, por lo que debe estar siempre atento y comprobar todo el número a través de un canal diferente antes de contestar o facilitar cualquier tipo de información personal. En caso de duda, ni siquiera se moleste en contestar el teléfono.

Ejemplos notables de ataques de vishing

Como probablemente puedas adivinar, y como ya hemos mencionado, este es uno de los trucos más antiguos del libro. Sólo que ahora, con las robo-llamadas y una tecnología mucho más sofisticada a su disposición, los vishers son cada vez más peligrosos. A lo largo de la historia, ha habido numerosos ejemplos de ataques de vishing que merecen la pena.

Hacienda exige pagos en tarjetas regalo de iTunes

Uno que me viene a la mente es uno que ocurrió en 2015, en todo Estados Unidos. Los vishers se dirigieron a casi un millón de personas en todo Estados Unidos haciéndose pasar por trabajadores del IRS y solicitando el pago de impuestos y multas adeudadas, relacionadas con la mala gestión fiscal, y asuntos similares. Todo parece bien hasta que se sabe cómo se solicitó el pago. ¡Con tarjetas de regalo de iTunes!
Miles de personas cayeron en la estafa y transfirieron tarjetas regalo de iTunes por valor de hasta 500 dólares por solicitud. Sin embargo, lo sentimos, pero las víctimas sólo pueden culparse a sí mismas por no ser aparentemente conscientes de la situación. Cuando los funcionarios de Hacienda o de los impuestos te llaman para cobrar un pago a través de las tarjetas de regalo de iTunes, deberías saber que algo va mal.

Estafas de identificación en la banca móvil en Europa

Otra estafa que prevalece hoy en día, y que se lleva a cabo a través de smishing y vishing, se centra en Europa. Se llama simplemente la estafa del Mobile Bank ID.
En los países escandinavos y en muchos otros países de la UE, hay aplicaciones de identificación separadas que la gente utiliza para iniciar sesión en la banca en línea y autenticar las transacciones. Están integradas, aunque son totalmente independientes y separadas de los bancos (una especie de 2FA).
En esta estafa, los hackers suecos de vishing se ponían en contacto con los clientes del banco, se identificaban como representantes del mismo y les presentaban un preocupante problema de seguridad con respecto a su identificación bancaria. Se les animaba a seguir unos sencillos pasos para comprobar si la cuenta había sido comprometida o no con la aplicación ID. En todo momento, los usuarios se limitaban a permitir el acceso a sus cuentas, sin ni siquiera dar su contraseña. Una ingeniería social muy inteligente, que parece inofensiva para el usuario. Una vez iniciada la sesión en las cuentas, los vishers las limpiarían, y como las transferencias bancarias particulares son muy difíciles de rastrear y cancelar, el dinero sería simplemente robado.
Desde entonces, las aplicaciones de identificación bancaria se han actualizado para ayudar a prevenir esta forma de fraude a través del vishing, pero sigue siendo bastante frecuente a través del smishing.

Estafa millonaria en Navidad

En 2010, un estafador se puso en contacto con uno de los mayores bancos del norte de Europa y se hizo pasar por representante de un gran cliente corporativo. Durante unas semanas llamó con frecuencia a las oficinas, ganándose la confianza de los empleados del banco, pero sobre todo de una persona del departamento de servicios empresariales.
Justo antes de las Navidades, el visher llamó y solicitó una inusual e inmediata transferencia de 7,5 millones de dólares a cuentas extranjeras específicas. Los empleados del banco, que ya se habían familiarizado personalmente con la persona que llamaba, accedieron a la solicitud sin demasiada verificación. Como ocurrió justo antes de Navidad, el cliente sólo se dio cuenta de la falta de fondos después de las fiestas, cuando ya había desaparecido.
Como puede ver, el Vishing se incluye en lo que es, con mucho, la mayor categoría de delitos en Internet y cibernéticos, que representa cerca del 35% del total de los daños financieros anuales. Merece la pena conocerlo para ayudar a detectarlo y prevenirlo en el futuro.

¿Son los ataques de vishing más peligrosos que el smishing o el phishing por correo electrónico?

Para ser sinceros, no hay límite de daños en el caso de los ataques de vishing. Aunque existan algunas medidas preventivas y cada vez más gente sea consciente de cómo funciona, los delincuentes tampoco se quedan quietos y encuentran formas de innovar, progresar y explotar las nuevas tecnologías en su beneficio.
Pero, ¿es el vishing algo de lo que debería preocuparse mucho? ¿O tal vez son las otras versiones de este tipo de estafas que se producen a través de mensajes SMS - Smishing y phishing por correo electrónico - las que deberían preocuparte?
En todos los sentidos, el vishing es una versión más sofisticada del phishing y el smishing por correo electrónico. ¿Cuál es la diferencia? La comunicación en tiempo real y el hecho de escuchar la voz de otra persona ofrece mucho más potencial para ganar confianza rápidamente.
Responda a esto: ¿cuándo cree que es más probable que la gente compre cosas, cuando recibe un correo electrónico frío, un SMS sin venir a cuento o cuando le llaman personalmente? Sí, hay algo en la comunicación de voz que hace que la gente confíe más en los demás y en la información que se comparte.
Es fácil falsificar un correo electrónico, es fácil escribir algo que no es cierto. Pero hay algo en la gente que hace que la víctima crea que la persona al otro lado del teléfono es realmente lo que dice ser. Además, la protección contra el "vishing" está mucho menos avanzada que contra el "phishing" y el "smishing" por correo electrónico.

Conclusión

Si quieres saber más sobre el vishing, espero que este artículo te haya proporcionado los conocimientos que necesitas. Aunque se puede utilizar un software de protección, no hay nada que sustituya a la concienciación propia y al intento de detectar los ataques de vishing antes y cuando se produzcan. Lo más importante es no bajar la guardia. Independientemente de quién llame o de los problemas de seguridad que se mencionen, desconfía siempre de las solicitudes extrañas y no hagas nada con lo que no te sientas cómodo de inmediato. Ten en cuenta que nadie debería pedirte contraseñas, códigos de acceso o información sobre cuentas bancarias por teléfono. Tómate tu tiempo y ponte en contacto con una fuente secundaria para verificar.
Más entradas del blog
abril 10, 2023
Tutoriales
8 min. leer
Proxy vs VPN: ¿Cuáles son las diferencias?
Las VPN tienen más funciones que un proxy, pero son más caras. Sin embargo, hay más pros y contras a la hora de elegir entre una VPN o un Proxy.
Povilas M.
Experto en seguridad
marzo 16, 2023
Seguridad
5 min. leer
¿Qué es un borrado remoto? Borrar remotamente su teléfono
Un borrado remoto es una eliminación remota de datos de un dispositivo sin tenerlo físicamente. Los borrados remotos pueden ejecutarse en teléfonos móviles, ordenadores de sobremesa, etc.
Ross K.
Experto en seguridad
Una empresa de seguridad y tecnologías de la información con la misión de hacer que la privacidad de todo el mundo sea un valor por defecto.
2022 Dragon Secure GmbH. Bahnhofstrasse 32, 6300, Zug, Suiza
info@kraden.com