¿Qué es el vishing? Desenmascarar estafas y técnicas de phishing por voz

Publicado: 2023-10-12
ataques de vishing explicados

El vishing, una combinación insidiosa de comunicación por voz y tácticas de phishing, presenta un desafío formidable a medida que los estafadores refinan sus métodos con una sofisticación alarmante. En este artículo, profundizamos en su mecánica, la manipulación psicológica que emplea y las estrategias vitales para el reconocimiento y la prevención, armando a las personas con el conocimiento para navegar en las precarias aguas del ciberengaño basado en la voz.

¿Qué es el vishing?

El vishing, o phishing de voz, es una forma de ataque de ingeniería social en el que los actores de amenazas utilizan llamadas telefónicas o mensajes de voz para engañar a las personas para que divulguen información confidencial, como contraseñas, detalles de tarjetas de crédito o números de Seguro Social. Al explotar la tendencia humana a confiar en la comunicación de voz, los perpetradores de vishing crean una falsa sensación de urgencia o miedo, lo que lleva a las víctimas a actuar sin verificar la identidad de la persona que llama.

A medida que la gente sigue prefiriendo los mensajes de texto, resulta fundamental educarlos sobre cómo reconocer y combatir el vishing, garantizando un panorama de comunicación seguro en una era en la que una llamada telefónica a veces puede ser fuera de lo común. Equilibrar la conveniencia de enviar mensajes de texto con la conciencia de las amenazas basadas en la voz es esencial para fomentar canales de comunicación seguros y preferidos.

Navegando por el panorama del phishing-smishing-vishing

Originado en la década de 1990, el término "phishing" describía las tácticas que los estafadores utilizaban como "señuelos" para engañar a las víctimas en el mundo digital. Este término persiste hoy en día y representa estafas que involucran ingeniería social para engañar a las personas para que caigan presas de trampas engañosas.

Con el avance del delito cibernético, han surgido nuevas terminologías como "smishing" y "vishing", que entran dentro de la categoría más amplia de phishing. En los ataques de smishing, los estafadores envían SMS con el objetivo de convencer a los destinatarios de que hagan clic en un enlace malicioso o compartan información personal mediante el intercambio de textos.

Por otro lado, el vishing incorpora la comunicación por voz en algún momento del ataque. El objetivo del mensaje inicial es atraer a una posible víctima para que marque un número, lo que permite a los atacantes continuar con el engaño o confirmar la propiedad del número contactado.

¿Cómo funciona el vishing?

Los ataques de vishing son operaciones complejas que implican mucho más que simplemente marcar números aleatorios para tener éxito. Sumérgete en el recorrido detallado de cuatro fases de un ataque de vishing a continuación:

Infografía de cómo funciona un ataque de vishing

Fase 1: Investigación

El ataque comienza cuando los actores de la amenaza investigan exhaustivamente sus objetivos. En esta fase, podrían distribuir correos electrónicos de phishing, anticipando respuestas de víctimas potenciales dispuestas a compartir sus datos de contacto. El uso de software sofisticado les permite llamar a una multitud de personas, utilizando un número que comparte el código de área de sus víctimas.

Fase 2: Ejecución de la llamada

Si una víctima es engañada por un correo electrónico de phishing anterior, es probable que sospeche menos de la llamada entrante. Dependiendo de la astucia de la táctica de vishing, la víctima podría estar anticipando una llamada, lo que facilitará las cosas a los piratas informáticos. Los atacantes aprovechan la probabilidad de que se respondan las llamadas procedentes de códigos de área locales.

Fase 3: Persuasión

Al establecer contacto, el objetivo del actor de la amenaza cambia a manipular los instintos inherentes de confianza, miedo, codicia y altruismo de la víctima. Al emplear una combinación de estas técnicas de ingeniería social, tranquilizan a las víctimas y pueden persuadirlas a:

  • Divulgar datos bancarios y de tarjetas de crédito.

  • Compartir direcciones de correo electrónico

  • Transferir fondos

  • Reenviar documentos confidenciales relacionados con el trabajo

  • Revelar información sobre su empleador.

Fase 4: Culminación

El viaje del vishing no termina aquí. Armados con la información adquirida, los actores maliciosos están preparados para cometer delitos adicionales. Pueden agotar los recursos bancarios de la víctima, asumir su identidad y ejecutar transacciones no autorizadas. Es más, podrían aprovechar el correo electrónico de la víctima para engañar a sus compañeros de trabajo y lograr que revelen información confidencial de la organización.

Métodos de vishing

Los vishers emplean varias tácticas para lograr sus objetivos engañosos. Los métodos comunes incluyen:

  • Falsificación del identificador de llamadas : los atacantes manipulan el identificador de llamadas para que parezca que está llamando una entidad confiable, como un banco o una agencia gubernamental.

  • Pretexto : el atacante crea un escenario o pretexto inventado para extraer información del objetivo.

  • IVR Phishing : los sistemas automatizados de respuesta de voz interactiva (IVR) imitan a empresas legítimas para capturar datos confidenciales.

Ejemplos comunes de vishing

A medida que estas estafas se vuelven cada vez más sofisticadas, es esencial reconocer patrones y escenarios comunes. Antes de profundizar en los distintos ejemplos de vishing, familiaricémonos con algunas de las tácticas más frecuentes para que pueda ir un paso por delante y salvaguardar su información.

Estafa del IRS

Las personas que llaman se hacen pasar por agentes del IRS, alegando que la víctima debe impuestos y se enfrenta a un arresto a menos que pague inmediatamente, normalmente exigiendo el pago mediante tarjetas de regalo o transferencias bancarias. Esta variante a menudo implica mensajes automáticos que afirman discrepancias en las declaraciones de impuestos y amenazan con emprender acciones legales, junto con la suplantación del identificador de llamadas para imitar el contacto del IRS. Es fundamental verificar dichas afirmaciones directamente con el IRS y evitar interactuar con el estafador.

Estafa de soporte técnico

Los estafadores se hacen pasar por agentes de soporte técnico de empresas acreditadas, alegando que la computadora de la víctima tiene un virus. Piden acceso remoto o pago para solucionar el problema inexistente.

Alerta de fraude bancario

Los estafadores fingen ser del banco de la víctima y afirman que hay actividad sospechosa en su cuenta. Solicitan detalles de la cuenta y PIN para "verificar" la identidad de la víctima y "proteger" la cuenta. En lugar de cumplir, es recomendable terminar la conversación y comunicarse directamente con el banco utilizando la información de contacto de su sitio web oficial.

Estafas de lotería o premios

Las víctimas reciben llamadas informándoles que ganaron un premio o lotería, pero que deben pagar impuestos o tarifas por adelantado para reclamar la recompensa. La vigilancia y la verificación son claves para evitar ser víctimas de tales tácticas.

Estafas a la seguridad social

Las personas que llaman dicen ser de la Administración del Seguro Social, afirman que el SSN de la víctima ha sido suspendido debido a actividad sospechosa y solicitan información personal para resolver el problema. En particular, la Comisión Federal de Comercio identifica las llamadas telefónicas como el método principal utilizado por los estafadores dirigidos a personas mayores.

Alertas médicas/estafas de seguros

Los estafadores ofrecen sistemas de alerta médica gratuitos o se hacen pasar por representantes de seguros médicos para extraer información personal y financiera de las víctimas, especialmente las dirigidas a las personas mayores.

Estafa de abuelos

La persona que llama se hace pasar por un nieto en apuros, que necesita ayuda financiera inmediata, y le pide al abuelo que no se lo cuente a otros miembros de la familia.

Estafas de servicios públicos

Los estafadores, haciéndose pasar por representantes de empresas de servicios públicos, afirman que el servicio de la víctima será desconectado a menos que se realice un pago inmediato.

Estafas de subvenciones gubernamentales

A las víctimas se les dice que han sido seleccionadas para recibir una subvención del gobierno y que deben pagar una tarifa de procesamiento o proporcionar detalles de la cuenta bancaria para recibir los fondos.

Estafas de cobro de deudas

Las personas que llaman se hacen pasar por cobradores de deudas y amenazan con emprender acciones legales a menos que la víctima pague una deuda que en realidad no debe. Es esencial permanecer escéptico, ya que los prestamistas e inversores legítimos no operan de esta manera ni inician contactos inesperados.

reconocer ataques de vishing

Cómo reconocer ataques de vishing

Reconocer el vishing puede ser fundamental para protegerse de ser víctima de prácticas tan engañosas. Un aspecto clave al que prestar atención es el audio durante la llamada. La calidad de audio de la llamada puede ser deficiente, con ruidos de fondo que no se alinean con un entorno profesional.

Además, los ataques de vishing suelen presentar signos reveladores:

  • Urgencia : La persona que llama insiste en una acción inmediata, presionando a la víctima para que comparta información apresuradamente.

  • Solicitud de información confidencial : las organizaciones legítimas rara vez solicitan datos personales por teléfono.

  • Llamada desconocida : Recibir llamadas de números desconocidos o inesperados puede ser una señal de alerta.

Cómo prevenir el vishing

La defensa contra el vishing requiere un enfoque multifacético. Para protegerse de convertirse en una víctima, asegúrese de seguir las siguientes precauciones:

Proteger información sensible

Abstenerse de confirmar o divulgar información confidencial por teléfono. Recuerde, los bancos auténticos o las agencias gubernamentales nunca solicitarán datos personales mediante una llamada.

ser observador

Examine el lenguaje y el comportamiento de la persona que llama. Manténgase alerta para no revelar información personal y tenga cuidado con cualquier amenaza o demanda urgente que se realice durante la llamada.

Filtrar sus llamadas telefónicas

Si llama un número desconocido, es más seguro dejarlo ir al correo de voz. Los identificadores de llamadas se pueden manipular, así que verifique la identidad de la persona que llama escuchando el mensaje antes de decidir si devolver la llamada.

Limitar la información compartida

Si responde, evite revelar detalles sobre usted, su lugar de trabajo o su ubicación.

Consulta y verifica

Si la persona que llama comercializa un producto u ofrece recompensas, exija pruebas de su identidad y afiliación. Confirma la información proporcionada antes de compartir la tuya. Termine la llamada si dudan en cumplir.

Regístrese en el Registro No Llame

Inscribir su número en el Registro de No Llamar disuadirá a los vendedores telefónicos, haciendo sospechosa cualquier llamada de dichas entidades, ya que las empresas legítimas generalmente respetan esta lista.

Tenga en cuenta las solicitudes oficiales

Tenga en cuenta que los superiores legítimos o representantes de recursos humanos no exigirán transferencias de dinero, datos confidenciales ni envío de documentos a través de canales personales.

Ignorar comunicaciones sospechosas

No responda correos electrónicos o mensajes de redes sociales solicitando su número de teléfono. Estas comunicaciones pueden ser precursoras de ataques dirigidos. Informe cualquier mensaje sospechoso a su equipo de TI o de soporte.

Edúcate tu mismo

Busque información de forma proactiva, asista a programas de concientización y utilice recursos en línea para familiarizarse con las últimas amenazas de vishing y medidas de protección.

Las empresas que emplean marketing por SMS pueden desempeñar un papel en la educación de los consumidores sobre el vishing, brindándoles información sobre cómo reconocer y responder a posibles estafas y resaltando las diferencias entre comunicación legítima y tácticas engañosas.

¿Qué pasos debes tomar si te vished?

Si descubre que, sin saberlo, ha compartido sus datos bancarios con un presunto estafador, es esencial actuar de inmediato.

Comuníquese con su banco, compañía de tarjeta de crédito, institución financiera o contacto relevante de Medicare. Infórmese sobre la posibilidad de detener transacciones sospechosas y evitar más cargos no autorizados. Para mejorar la seguridad y protegerse contra el acceso no autorizado, considere modificar sus números de cuenta.

Posteriormente, presente una queja ante la Comisión Federal de Comercio o el Centro de Quejas de Delitos en Internet del FBI para que se tomen las medidas adecuadas.

Conclusión

Si bien es engañoso y potencialmente dañino, el vishing puede mitigarse eficazmente mediante la vigilancia, la educación y el uso sensato de la tecnología. Al mantenerse informados y actuar con precaución, las personas y las organizaciones pueden frustrar los intentos de los vishers, garantizando la seguridad de la información confidencial.