¿Qué es un ataque de vishing?
El vishing (un ataque de phishing mediante mensajes de voz) es el uso fraudulento de llamadas telefónicas y mensajes de voz mediante técnicas de ingeniería social para convencer a personas de que revelen información privada, como datos bancarios y contraseñas. Un ataque de vishing también puede usarse contra empresas cuando los ciberdelincuentes se hacen pasar por empleados de servicios de Internet para obtener acceso a las contraseñas e información de dicha entidad.
El objetivo de un ataque de vishing es convencer a la víctima de que proporcione información que el ciberdelincuente pueda utilizar para obtener beneficios económicos. Esto puede variar desde robar una tarjeta de crédito hasta robar la identidad de una persona. Los objetivos del vishing cuando se ataca a una empresa son similares (obtener ganancias económicas), pero a menudo están más interesados en obtener información sobre medidas de seguridad para futuros ataques.
Phishing, vishing y smishing
Phishing: término general que describe los ataques en los que se suplanta la identidad de una persona u organización fiable con la intención de robar credenciales o información confidencial. La forma más popular de phishing es el phishing por correo electrónico, que muchas veces va dirigido a directores ejecutivos y vulnera cuentas de correo electrónico empresariales.
Smishing: un tipo de ataque de phishing en el que se interactúa con las víctimas mediante mensajes de texto fraudulentos.
Vishing: como se ha explicado anteriormente, se trata de un tipo de ataque de phishing en el que se interactúa con las víctimas a través de llamadas telefónicas y mensajes de voz.
¿Cómo funciona un ataque de vishing?
Un ataque de vishing tiende a seguir estos tres pasos:
1. Recopilación de números de teléfono
Generalmente, esto sucede a través de otros métodos de phishing o al acceder a repositorios de datos privados de empresas donde es probable que las personas hayan dado sus números de teléfono, como restaurantes o repositorios minoristas. A veces, los ciberdelincuentes utilizan un software que llama a varias personas utilizando un número de teléfono con el mismo código de área con la esperanza de que alguien conteste y confirme su número. Cuando ocurre un ataque de vishing, el perfil de identificación de llamada es falso, lo que hace que la llamada parezca provenir de un código de área local o de una organización fiable, como un banco.
2. Fomento de confianza
Ya sea haciéndose pasar por una compañía de tarjetas de crédito, una empresa de entregas o un servicio público, el fraude está diseñado para generar confianza. Esto a menudo se combina con una solicitud urgente como: "un usuario no autorizado ha utilizado tu tarjeta de crédito, confirma tu identidad ahora para detener los cargos". El objetivo de estos mensajes urgentes es asustar a la víctima potencial para que responda sin contrastar la información.
3. Obtención de información personal para sacar provecho económico
Si el ataque de vishing tiene éxito, el ciberdelincuente utilizará la información personal obtenida para su beneficio económico. Esto podría implicar utilizar un número de tarjeta de crédito robado para realizar compras o incluso solicitar una nueva tarjeta de crédito. Con la información correcta, un ciberdelincuente puede robar tu identidad o vaciar tus cuentas bancarias. Ser capaz de reconocer un ataque de vishing puede ayudar a evitar que los ciberdelincuentes roben tu dinero.
Cómo reconocer los ataques de vishing
Para reconocer un ataque de vishing es necesario comprender las formas en que los ciberdelincuentes intentarán engañarte y cuáles son sus objetivos. Conocer ciertos factores que podrían convertirte en un objetivo potencial, como un problema técnico reciente en una empresa o correos electrónicos sospechosos, puede ayudarte a no bajar la guardia. Los ataques de vishing están diseñados para obtener información privada y pueden atacar a individuos y empresas. Ser capaz de reconocer un ataque de vishing en curso es tu mejor defensa.
Señales de un ataque de vishing
- La principal señal de advertencia de un ataque de vishing es la persona que llama pidiendo tu información. Algunos ciberdelincuentes ya tendrán información parcial y la usarán para convencerte de que compartas lo que no saben. Desconfía siempre de cualquier persona que te llame y te pida información de tu cuenta bancaria, tu número de la Seguridad Social u otros datos identificativos.
- Uso de tácticas psicológicas, como el miedo, la codicia y el sentido de urgencia. La amenaza de arresto inminente o los problemas urgentes con tu cuenta están diseñados para hacerte actuar sin contrastar nada. Mantener la calma cuando ocurren estas llamadas y colgar son las principales formas de evitar ataques de vishing.
- Llamada por problemas de cuenta o soporte técnico. Muchas veces aparecen mensajes en tu ordenador indicando que tu dispositivo está infectado y que debes llamar a un número gratuito que se hace pasar por soporte técnico.
Más información
¿Quiénes son los principales objetivos de los ataques de vishing? Cuando se centran en una empresa, los ataques de vishing se dirigen a los nuevos empleados, los departamentos de RR. HH. o TI, y los centros de llamadas. Los nuevos empleados y aquellos responsables de realizar llamadas a otras organizaciones corren mayor riesgo de convertirse en objetivos. Los estafadores que recurren al vishing a menudo se hacen pasar por especialistas de soporte técnico y tratan de convencer a alguien para que les proporcione acceso a los ordenadores. A veces, estos ciberdelincuentes hacen que las víctimas potenciales instalen software con código malicioso para aumentar su grado de acceso a la empresa. Cuando se centran en un individuo, los ataques de vishing suelen dirigirse a consumidores promedio que posiblemente tengan una cuenta en un banco importante o un servicio de mensajería. Los ataques de vishing suelen escasear en detalles para evitar revelar el fraude del ciberdelincuente. Después de todo, convencer a alguien de que su cuenta bancaria está en riesgo no funciona si se nombra el banco equivocado. Los ciberdelincuentes recurrirán al miedo, la codicia y el pánico para evitar que detectes estos ataques.
5 tipos de ataques de vishing
| Tipos | Descripción |
|---|---|
| 1. Wardialing | En un ataque de vishing de tipo wardialing, los ciberdelincuentes llaman a códigos de área específicos y utilizan un mensaje automatizado para infundir miedo en las víctimas. Se hacen pasar por un banco local, una empresa o una estación de policía que llaman para verificar que sus cuentas no han sido comprometidas y normalmente piden información confidencial, como dirección postal, información de cuentas bancarias e incluso números de la Seguridad Social. |
| 2. VoIP | Los VoIP son una de las técnicas de vishing más difíciles de identificar porque los ciberdelincuentes se esconden detrás de un número falso. Estos números suelen ser números 1800 o números falsos con el código de área local. |
| 3. Rebuscar en contenedores | El llamado "dumpster diving" es una técnica que no muchos creen que se utilice, pero consiste justamente en rebuscar en contenedores. Con esta técnica, los criminales buscan en los contenedores de basura tras los bancos u otras organizaciones importantes para reunir suficiente información para llevar a cabo un ataque contra su víctima. La información potencial que pueden recopilar incluye información del tipo de cuenta, número de teléfono o correo electrónico, y así pueden proceder con técnicas de ingeniería social como parte del ataque. |
| 4. Suplantación de identidad en llamadas | Este tipo de ataque de vishing es similar al VoIP, con la diferencia de que el identificador de llamadas, en lugar de mostrar un número, muestra un mensaje, como "IRS" o "Departamento de policía". |
| 5. Soporte técnico | Los estafadores se harán pasar por alguien del servicio de atención al cliente de grandes empresas como Apple, Microsoft o Bank of America. Es importante recordar que los bancos nunca te pedirán información personal, como números de la Seguridad Social, por teléfono. |
Cómo evitar y prevenir los ataques de vishing
La acción más importante a tomar para evitar ataques de vishing es mantener la calma y no divulgar información privada. Esta estrategia funciona bien contra los estafadores de vishing porque detiene su ataque de inmediato. Para una empresa, existen medidas adicionales que puede adoptar para asegurarse de que los empleados tomen las medidas correctas para proteger la empresa. Prevenir un ataque de vishing puede ser tan simple como colgar el teléfono, pero existen medidas adicionales para ayudar a evitarlos.
4 consejos para evitar los ataques de vishing
- Mantén la información en secreto: no divulgues información de inicio de sesión ni contraseñas, y nunca compartas datos del pasaporte o del permiso de conducir. Esto contribuirá a preservar la seguridad de tus cuentas y tu identidad.
- Únete al sistema de registro nacional para no recibir llamadas (National Do Not Call Registry System): es un servicio gratuito que elimina tu número de teléfono de las listas de llamadas telefónicas no solicitadas. Si bien los ataques de vishing no siguen esta lista, es menos probable que las personas que llaman de forma desconocida sean legítimas, ya que las organizaciones respetables no deberían realizar llamadas.
- Comprueba los números desconocidos: utiliza aplicaciones móviles para verificar cualquier número desconocido que te llame.
- Deja que las llamadas desconocidas vayan al buzón de voz: como alternativa, puedes dejar que las llamadas desconocidas vayan al buzón de voz y luego devolver la llamada directamente. Si parece que tu banco te está llamando, pero sospechas, llama al banco directamente y comprueba si se pusieron en contacto contigo. Ser cuidadoso puede llevarte algo de tiempo extra, pero ese coste es mejor que revelar información personal valiosa.
Cómo pueden las empresas prevenir los ataques de vishing
La mejor táctica comercial para prevenir el vishing es mantener una buena ciberseguridad. Se puede empezar por una formación de concienciación sobre seguridad para los nuevos empleados, de modo que comprendan el peligro que el vishing puede representar para una empresa. Asegúrate de que los empleados sepan que no deben dar acceso a su ordenador a ninguna persona, excepto a técnicos verificados.
Al denunciar incidentes sospechosos y colgar cuando recibes una posible llamada de vishing, puedes evitar que estos ataques tengan éxito. Los ataques de vishing exitosos contra empresas pueden generar mayores riesgos de seguridad, por lo que la prevención es clave. Con todo, si ya has sufrido un ataque de vishing, todavía existen formas de recuperarte.
Expert Tip
Sigue los consejos descritos en esta guía sobre cómo implementar un programa integral de formación en ciberseguridad para tus empleados. Es fundamental que se mantengan actualizados sobre los adversarios más comunes que afectan al sector y sepan cómo atacan a los empleados para aprender a ser proactivos en materia de seguridad. Esto incluye la formación sobre cómo detectar intentos de phishing.
Leer: Cómo crear un programa integral de formación en ciberseguridad para empleados
Cómo recuperarse de un ataque de vishing
El proceso de recuperación de un ataque de vishing varía según el momento en que te das cuenta de que se trata de una estafa. Los mejores momentos para reaccionar son durante un ataque o inmediatamente después, pero la recuperación aún es posible después de que se haya producido un daño. Denunciar el delito es siempre un buen punto de partida.
Pasos a seguir durante un ataque de vishing
Si estás hablando por teléfono y te das cuenta de que se trata de un ataque de vishing, ¡cuelga! Los estafadores no pueden acceder a tu ordenador ni a tu información personal si no lo permites. Siempre puedes denunciar el número tras colgar; deberías hacerlo, sobre todo si el ataque pretendía sustraer información comercial.
Pasos a seguir para las víctimas de vishing
Para aquellos que ya han revelado su información debido a un ataque de ingeniería social como el vishing, aún hay medidas que pueden tomar. Lo primero es cambiar todas las contraseñas, informar a la institución financiera pertinente y denunciar el delito. La Comisión Federal de Comercio recibe informes sobre vishing. Cualquier sitio y servicio que emplee la información proporcionada necesitará atención prioritaria.
Algunas cuentas utilizan autenticación multifactor y otras te avisan cuando un nuevo dispositivo accede a tu cuenta. Verifica estas medidas de seguridad para asegurarte de que aún funcionan. También debes comunicarte con cualquier proveedor de servicios que tenga tu información vulnerada, como compañías de tarjetas de crédito y bancos. Estos pasos deberían minimizar el daño futuro causado por los ataques de vishing.
Bart es Senior Product Marketing Manager de inteligencia sobre amenazas en CrowdStrike y cuenta con más de 20 años de experiencia en inteligencia, detección y supervisión de amenazas. Tras iniciar su carrera como analista de operaciones de seguridad de red en una organización financiera belga, se trasladó a la costa este de los Estados Unidos para incorporarse a varias empresas de ciberseguridad, como 3Com/Tippingpoint, RSA Security, Symantec, McAfee, Venafi y FireEye-Mandiant, donde se encargó de la gestión y del marketing de productos.
