¿Qué es vishing (phishing de voz)? Todo sobre ello (2023)

¿Qué es vishing (phishing de voz)?

Probablemente haya oído hablar de los ataques de phishing. En ese caso, probablemente tenga una pista de lo que es el vishing sólo con oírlo. Y efectivamente, la pista está en el nombre: el vishing es un tipo de phishing. Más concretamente, es el phishing de voz.

Al igual que los que hacen phishing no pescan, los ciberdelincuentes que hacen vishing están lejos de desearle lo mejor. Un par de llamadas y los datos de su cuenta bancaria pueden acabar en las manos equivocadas. Por suerte, estará preparado para este tipo de ataques una vez que sepa a qué atenerse.

Resumen

• El vishing, o phishing de voz, es una táctica de ingeniería social que utiliza las llamadas telefónicas para engañar a las personas para que revelen información confidencial, a menudo haciéndose pasar por instituciones de confianza.
• Los autores emplean técnicas avanzadas como la suplantación del identificador de llamadas y sistemas interactivos de respuesta de voz para aparentar credibilidad, manipulando a las víctimas para que entreguen datos personales, información financiera o credenciales de acceso.
• Entre las medidas de prevención eficaces contra el vishing se incluyen mantener el escepticismo ante las llamadas telefónicas no solicitadas, no compartir nunca datos confidenciales a través de una llamada a menos que se esté absolutamente seguro de la identidad de la persona que llama e informar a las autoridades de los presuntos intentos de vishing.

No se convierta en víctima del cibercrimen. Proteja sus dispositivos con el mejor antivirus y su privacidad con la mejor VPN.

¿Qué es el Vishing? – en profundidad

Las estafas de vishing tienen una estructura relativamente sencilla. Recibe una llamada de alguien que se hace pasar por una persona de la administración de la Seguridad Social o de la Agencia Tributaria. Le informan de que algo va mal en su cuenta y le manipulan gradualmente para que revele datos personales.

Lo siguiente que sabe es que le ha dado a un completo desconocido toda la información que necesita para sacar dinero de su cuenta. O, peor aún, usted mismo les ha dado el dinero.

Este escenario puede sonar improbable al principio. Después de todo, usted sabría que no debe dejarse engañar por una llamada telefónica. Y eso es precisamente lo que piensan la mayoría de las víctimas del vishing.

El peligro de las estafas vishing es que los ciberdelincuentes suelen presentarse como miembros de una agencia gubernamental o similar. Aunque nos consideremos independientes o rebeldes, la mayoría de la gente no dudaría de ese tipo de autoridad. Esto es especialmente cierto si la persona que llama afirma tener alguna información sobre usted.

Por desgracia, aquí es donde prosperan las estafas de vishing. Los estafadores suelen recopilar cierta información sobre la víctima y la utilizan para ganarse su confianza. Si los delincuentes lo consiguen, el ataque probablemente será efectivo.

¿Cómo funciona el Vishing?

Las estafas de vishing se desarrollan en cuatro fases:

1. Investigación
2. Evaluación de las víctimas
3. La llamada
4. Recoger y abusar de la información de la víctima

Investigación

Una estafa vishing comienza con mucha diligencia. Los ciberdelincuentes dependen de la información personal y privada que puedan encontrar sobre la víctima, por lo que necesitan disponer de la mayor cantidad posible de ella antes de que comience el ataque.

En los tiempos modernos, es mucho más fácil conseguir cierta información personal. Los malintencionados ni siquiera necesitan piratear o entrar en la cuenta de la víctima: basta con navegar por las redes sociales.

Aunque no guarde los datos de su cuenta bancaria o de su tarjeta de crédito en su perfil, habrá otras cosas que un delincuente podría utilizar. Por ejemplo, muchos perfiles de redes sociales muestran números de teléfono, ocupación e información sobre el paradero de las personas. Aunque todos esos datos no sean suficientes para iniciar un ataque de vishing, pueden servir como una buena base.

La recopilación de información suele hacerse de forma automática a través de programas que “raspan” información de los usuarios en masa. Sin embargo, los ciberdelincuentes a veces pueden acercarse tanto como revisar la basura de alguien para desenterrar información útil. Independientemente de cómo recopilen los datos, pueden utilizarlos para encontrar víctimas adecuadas.

Evaluación de las víctimas

Una estafa de vishing incluirá a menudo ataques de phishing como punto de contacto inicial. En ese caso, los delincuentes enviarán un correo electrónico haciéndose pasar por una organización legítima. Este mensaje, a menudo automatizado, exigirá a la víctima que comparta información de contacto o realice alguna otra acción.

El contacto también puede iniciarse a través de mensajes de texto o de las redes sociales. Si la víctima responde, probablemente será susceptible del ataque vishing. En otras palabras, las víctimas que se comprometen con correos electrónicos falsos u otros mensajes probablemente también responderán a las llamadas, aunque sean de una persona sospechosa.

Algunos ataques de vishing se saltan este paso y se limitan a utilizar un servicio automatizado para realizar llamadas telefónicas a un gran número de personas.

La llamada

La verdadera estafa de phishing comienza en el momento en que suena el teléfono. Dado que hoy en día muchos aparatos disponen de identificador de llamadas, los estafadores utilizarán varias técnicas para presentar su llamada como auténtica.

Por ejemplo, pueden preparar a la víctima para la llamada durante el ataque de phishing. Suponga que se ha puesto en contacto con usted alguien que cree que es una persona legítima de una empresa de confianza. Le han dicho que espere una llamada en la próxima hora y eso es precisamente lo que ocurre. ¿Por qué no iba a descolgar?

Otro método que emplea la ciberdelincuencia para conseguir que la gente conteste a la llamada es utilizar el mismo prefijo local que la víctima. La gente no se resiste tanto a contestar este tipo de llamadas en comparación con las que proceden de números desconocidos y áreas diferentes.

Como ya se ha mencionado, los estafadores de vishing suelen identificarse como empresas legítimas, representantes de la seguridad social o miembros de otros organismos gubernamentales. Si la víctima cae en el truco y acepta al estafador como una persona que llama legítimamente, es probable que el delincuente consiga los datos de su tarjeta de crédito, información sobre cuentas financieras u otros datos cruciales.

Recopilación y abuso de la información

Una vez que los estafadores reciben la información de la cuenta y los detalles financieros de la víctima, procederán con actividades delictivas más graves.

Los ciberdelincuentes pueden utilizar la cuenta de la tarjeta de crédito para realizar transacciones fraudulentas, acceder a cuentas bancarias e infligir daños financieros masivos. Sin embargo, es probable que sus actividades no terminen ahí.

Los estafadores pueden incluso cometer un robo de identidad para hacerse pasar por la víctima, sobre todo si disponen de los datos de identificación de la persona, como el número de la seguridad social. El robo de identidad también puede utilizarse para continuar el ciclo de estafas de voz poniéndose en contacto con los amigos y colegas de la víctima.

Lo que le cuentan los estafadores

Ya hemos establecido que los delincuentes de phishing de voz se presentarán como personas que llaman de verdad. Podrían hacerse pasar por:

• Agencias gubernamentales
• Miembros de una institución financiera
• El Servicio de Impuestos Internos (IRS)
• Organismos encargados de hacer cumplir la ley
• Un auténtico negocio
• Soporte técnico

Si se hacen pasar por una agencia gubernamental, como es el caso de la estafa fiscal del IRS, los delincuentes le pedirán directamente su información confidencial. Incluso podrían exigirle un pago o acceso a sus números de cuenta.

Del mismo modo, podrían identificarse como empleados de su banco u otra institución financiera. En ese caso, los delincuentes le pedirán a menudo los datos de su cuenta bancaria.

Pero las llamadas de vishing también pueden venir en forma de fraude de soporte técnico. Cuando esto ocurre, el estafador dirá que hay un problema con una cuenta o con uno de los dispositivos del usuario. Entonces pueden obtener acceso al ordenador de la víctima, a menudo mediante el abuso de la dirección del protocolo de Internet (IP).

Las estafas telefónicas también pueden parecer asuntos menos oficiales. Por ejemplo, puede recibir una llamada informándole de un premio que ha ganado, aunque no recuerde haberse inscrito en un concurso. Este tipo de fraude es relativamente común porque se basa en la probabilidad estadística: Llame a mil personas y dígales que han ganado el concurso. Lo más probable es que haya algunas que sí se hayan apuntado.

Ejemplos de Vishing – Estafas comunes de Vishing

Las técnicas más comunes utilizadas en los ataques de vishing incluyen:

• Wardialing
• VoIP
• Suplantación del identificador de llamadas
• Buceo en contenedores

Wardialing

El wardialing es un método automatizado de estafa de phishing por voz basado en un código de área específico. Aunque el método tiene su origen en la búsqueda de puntos de entrada vulnerables en servidores web, la técnica funciona igual de bien para el vishing. Esta técnica implica un mensaje automatizado supuestamente procedente de una organización fiable. Por lo general, el mensaje pedirá a la víctima que verifique su cuenta, le solicitará información personal o financiera o la amenazará para que se ponga en contacto directamente con el estafador.

VoIP

Se trata de una técnica especialmente peligrosa, ya que los delincuentes utilizarán software especializado para realizar llamadas desde números de teléfono aparentemente legítimos.

El número de teléfono en cuestión puede parecer un número 1-800 o proceder de una institución de confianza como un departamento de policía o un hospital. Esto hace que el resto de la ingeniería social sea mucho más fácil para los estafadores y que la llamada de vishing tenga más probabilidades de éxito.

Suplantación del identificador de llamadas

La suplantación de identidad es bastante similar a la VoIP en el sentido de que la llamada telefónica parecerá proceder de una organización gubernamental o empresarial auténtica. A veces el número de teléfono estará oculto o, en lugar de una identificación real, sólo mostrará algo como “Policía” o “Departamento de Impuestos”.

En este caso, la estafa telefónica puede tener éxito si la víctima nunca ha tenido contacto con dichas agencias y no sabe cómo son sus identificaciones normalmente.

Buceo en contenedores

El buceo en contenedores de basura es precisamente lo que parece. Los delincuentes buscarán información sensible en la basura, a menudo rebuscando en los contenedores situados detrás de empresas o bancos.

Aunque este método es mucho menos tecnológico que el resto, puede resultar sorprendentemente eficaz. Si su número de teléfono aparece en un trozo de papel desechado, eso bastará para que los estafadores se pongan en contacto e intenten un ataque de vishing.

¿Qué hacer si es el objetivo de una estafa Vishing?

Gran parte de la defensa contra el vishing consiste en reconocer lo que está ocurriendo. He aquí lo que debe buscar:

1. Tenga cuidado si la persona que le llama le pide información confidencial. En la mayoría de los casos, las agencias gubernamentales, los bancos, los hospitales o la policía no solicitarán su información por teléfono. No facilite sus credenciales de la tarjeta de crédito o de la seguridad social durante las llamadas telefónicas.
2. Fíjese si la persona que llama utiliza un lenguaje específico que apela a impulsos básicos como la codicia o el miedo. Cuando las organizaciones lleven a cabo asuntos oficiales, nunca utilizarán ese tipo de lenguaje y, en su lugar, sonarán imparciales y razonablemente distanciadas.
3. Si la persona que le llama insiste en pedirle sus datos personales, pídale sus datos en su lugar. A continuación, finalice la llamada y compruebe su legitimidad basándose en lo que le han dicho. Recuerde que una estafa vishing se basa en la ingeniería social. Es probable que los estafadores no dispongan de los recursos necesarios para producir una identidad falsa detallada.
4. En caso de que la persona que llama le pida que realice una llamada telefónica o envíe o reciba mensajes de texto, investigue los números facilitados antes de realizar ninguna acción. Si es posible, contacte con esos números desde un teléfono distinto al suyo.
5. A veces, la forma más fácil de evitar un ataque de vishing es no recibir la llamada. Si le llama un número desconocido, no conteste y deje que se encargue el buzón de voz. Y si ya está al teléfono con una persona que suena sospechosa, no dude en colgar si nota alguna señal de alarma.

¿Cuál es la diferencia entre vishing, phishing y smishing?

Vishing, phishing y smishing pueden parecer una broma tonta, pero los tres representan un grave peligro. Son tipos de ataques que los ciberdelincuentes utilizan para obtener información personal o financiera.

Phishing

Un ataque de phishing es probablemente el método más conocido. Estos ataques utilizan sitios web, mensajes y correos electrónicos falsos, normalmente para conseguir que la víctima haga clic en un enlace. El phishing suele implicar malware y técnicas digitales similares para obtener información personal.

Smishing

Como subcategoría del phishing, el smishing utiliza exclusivamente mensajes. Este tipo de ataque puede ser menos eficaz que otros, pero los mensajes falsos son más fáciles de configurar y automatizar. En otras palabras, con el smishing, los delincuentes pueden iniciar el programa y sentarse a esperar mientras se recopila la información personal.

Vishing

A estas alturas, ya debería entender exactamente qué es el vishing y cómo funciona. Al igual que algunos tipos de phishing, un ataque de vishing implicará ingeniería social. El rasgo definitorio de este método es que los delincuentes tendrán a menudo un enfoque proactivo y hablarán con la víctima directamente por teléfono.

Cómo mantenerse seguro en línea:

• Utilice contraseñas seguras: Utilice una contraseña única y compleja para cada cuenta. Un gestor de contraseñas puede ayudarle a generarlas y almacenarlas. Además, active la autenticación de dos factores (2FA) siempre que esté disponible.
• Invierta en su seguridad: Comprar el mejor antivirus para Windows 11 es clave para su seguridad en línea. Un antivirus de alta calidad como Norton, McAfee o Bitdefender salvaguardará su PC de varias amenazas en línea, incluyendo malware, ransomware y spyware.
• Tenga cuidado con los intentos de phishing: Sea precavido cuando reciba comunicaciones sospechosas que le pidan información personal. Las empresas legítimas nunca le pedirán datos confidenciales por correo electrónico o mensaje de texto. Antes de hacer clic en cualquier enlace, asegúrese de la autenticidad del remitente.
• Manténgase informado: En nuestro blog cubrimos una amplia gama de temas de ciberseguridad. Y hay varias fuentes creíbles (en inglés) que ofrecen informes y recomendaciones sobre amenazas, como NIST, CISA, FBI, ENISA, Symantec, Verizon, Cisco, Crowdstrike y muchas más.

¡Manténgase seguro en Internet!

Preguntas más frecuentes

A continuación encontrará las preguntas más frecuentes.