Phishing vocal: protéjase del vishing
El phishing sigue siendo hoy en día uno de los principales vectores de ataques informáticos, pero hay una variante que está ganando terreno rápidamente: el vishing.
También conocido como phishing vocal o phishing telefónico, el vishing consiste en manipular a una víctima por teléfono con el fin de obtener información confidencial.
Aunque el uso del teléfono con fines fraudulentos no es nada nuevo, en los últimos años se ha observado una perfección de los métodos que ha dado lugar a un verdadero cambio de dimensión.
Este fenómeno se explica por la evolución tecnológica y la proliferación de información personal disponible en línea. Los ciberdelincuentes aprovechan estos datos para personalizar sus ataques, lo que hace que su enfoque sea cada vez más convincente y, por lo tanto, más peligroso.
El éxito del phishing vocal se basa en su sencillez de implementación y su formidable eficacia. Aprovechando la confianza, la urgencia o el miedo, los atacantes manipulan psicológicamente a sus víctimas para obtener información confidencial, como identificadores, contraseñas o datos bancarios.
Por lo tanto, comprender los mecanismos de esta amenaza creciente es esencial para protegerse y evitar convertirse en la próxima víctima.
Phishing vocal: definición y contexto
¿Qué es el vishing?
El término «vishing» es una contracción de las palabras inglesas «voice» (voz) y «phishing» (suplantación de identidad). El vishing es, por lo tanto, el equivalente vocal del phishing, que se basa en mensajes electrónicos. Por eso, a veces se le denomina phishing telefónico.
Pero entonces, ¿en qué consiste el phishing vocal? El objetivo sigue siendo el mismo: robar datos personales, información financiera o accesos sensibles a sistemas informáticos.
Para lograrlo, los piratas informáticos recurren a técnicas de ingeniería social. Se trata de un método basado en la manipulación psicológica de la víctima, explotando emociones como el miedo, el respeto a la autoridad, la urgencia, la empatía o la confianza.
En general, el éxito del vishing se basa en la capacidad del atacante para inspirar confianza. Para ello, el estafador recopila información sobre su objetivo con el fin de que su discurso resulte creíble y no despierte sospechas.
Los vishers suelen presentarse como profesionales o representantes de autoridades administrativas, lo que refuerza la aparente legitimidad de sus prácticas fraudulentas.
De hecho, los ataques de phishing vocal más comunes son los fraudes de falso soporte técnico y falso asesor bancario.
¿Por qué está creciendo rápidamente el phishing vocal?
Los actores del ámbito de la ciberseguridad han observado un fuerte aumento de los ataques de phishing vocal en los últimos años.
Sin embargo, las estadísticas sobre el phishing telefónico son difíciles de distinguir de otros ataques de ingeniería social y a menudo se agrupan con los ataques de phishing. Sobre todo porque los ataques de vishing suelen ser híbridos y utilizan como punto de entrada un correo electrónico de phishing.
Es probable que la pandemia de COVID-19 haya desempeñado un papel importante en el desarrollo y la proliferación del phishing vocal. Con la adopción masiva del teletrabajo, muchas empresas y particulares han tenido que adaptarse rápidamente, a menudo sin implementar las medidas de seguridad adecuadas.
Los ciberdelincuentes han aprovechado esta transición, sacando partido de las vulnerabilidades relacionadas con el aislamiento de los empleados y la descentralización de los sistemas de seguridad.
La evolución de los hábitos de comunicación y los avances tecnológicos también son causas del desarrollo del phishing vocal. Los estafadores ahora tienen mucho más fácil acceso a herramientas sofisticadas. Herramientas que, al mismo tiempo, son cada vez más potentes, más fáciles de manejar y más baratas.
Además, la proliferación de información personal disponible en línea, a menudo procedente de fugas de datos o de la exposición en las redes sociales, permite a los ciberdelincuentes personalizar sus ataques para parecer más creíbles.
Sin embargo, si los ataques de phishing vocal están aumentando es precisamente porque son muy eficaces. Es cierto que requieren una mayor implicación por parte de los atacantes, que deben elaborar guiones creíbles e informarse sobre sus víctimas, pero el juego vale la pena.
De hecho, la Comisión Federal de Comercio de Estados Unidos ha constatado que los ataques de phishing vocal generan pérdidas económicas casi tres veces superiores para las víctimas que los ataques de phishing.
El desarrollo típico de un ataque de vishing
El vishing engloba una realidad dispar de métodos y medios. Sin embargo, un ataque típico se desarrolla en cuatro etapas.
1. Identificación del objetivo: los estafadores recopilan información sobre su objetivo a través de las redes sociales, directorios de empresas o asociaciones accesibles en línea o procedentes de fugas de datos.
2. Contacto inicial: La llamada puede ser automatizada o realizada por un pirata informático en persona. En algunos casos, los estafadores envían previamente un correo electrónico de phishing pidiendo a la víctima que llame a un número.
3. Manipulación emocional: el interlocutor suele alegar una urgencia (facturas impagadas, problemas de seguridad, actualización de software) o se hace pasar por una entidad de confianza (banco, administración, proveedor informático) para obtener los datos que busca.
4. Aprovechamiento de la información: Los datos obtenidos se utilizan para estafas inmediatas o posteriores, transferencias financieras o ataques más complejos.4
¿Quién puede ser víctima del vishing?
Los particulares, objetivo histórico del phishing vocal
Los particulares son el blanco preferido del phishing vocal. A menudo son poco conscientes de los riesgos y, por definición, tienen acceso directo a sus datos personales, en particular a los bancarios.
De hecho, según el informe anual de actividades de 2023 de Cybermalveillance.gouv.fr, los ataques de falso soporte técnico representan casi el 10 % de las denuncias presentadas por particulares.
Las estafas de falsos asesores bancarios aumentaron un 78 % entre 2022 y 2023, tras haber sido clasificadas en 2022 como «nuevas formas de ciberdelincuencia».
Sin embargo, el vishing no se limita al ámbito privado, sino que hoy en día también afecta al mundo profesional, aunque pocas estructuras son conscientes de ello.
El mundo profesional: el nuevo Eldorado del vishing
Los profesionales, en particular aquellos que ocupan puestos con acceso a datos financieros o estratégicos dentro de las organizaciones, son especialmente vulnerables.
Las administraciones, las autoridades locales y otros organismos públicos también son objetivos atractivos debido a la información crítica que poseen y los fondos que gestionan, a veces con procedimientos de seguridad menos estrictos.
Los atacantes suelen hacerse pasar por proveedores y solicitan modificar los datos de pago de las facturas, o bien se hacen pasar por ejecutivos o directivos de la empresa para autorizar transferencias bancarias fraudulentas con el pretexto de una urgencia.
Los servicios informáticos también son objeto de suplantación, ya que los estafadores tratan de obtener contraseñas o información de acceso confidencial para penetrar en los sistemas de la empresa y llevar a cabo posteriormente ataques selectivos.
IA y vishing: cuando tu voz se convierte en una amenaza
¿Cómo reconocer un intento de vishing?
Nadie puede presumir de estar a salvo del phishing vocal. Hoy en día, los ataques son tan precisos y se llevan a cabo con tal profesionalidad que cualquiera puede convertirse en víctima.
Para evitar caer en la trampa, hay algunas señales de alerta que deben hacerle reaccionar durante una llamada.
1. Número oculto, externo o desconocido
La llamada suele provenir de un número oculto, desconocido, externo a la empresa o falsificado que se asemeja al de una empresa legítima. Es importante mantener el escepticismo al descolgar el teléfono.
2. Sensación de urgencia, presión, miedo...
El estafador utiliza técnicas de ingeniería social para incitarle a reaccionar rápidamente y evitar que reflexione (por ejemplo, alegará que hay un problema técnico que debe resolverse lo antes posible).
3. Solicitud de información sensible o inusual
El atacante solicita datos confidenciales, como contraseñas, códigos PIN o números de tarjetas bancarias, con el pretexto de realizar verificaciones. Recuerde que esta información nunca debe comunicarse (ni solicitarse) por teléfono.
4. Ganarse la confianza del interlocutor
Para ganarse su confianza, el atacante puede utilizar información personal que haya encontrado en las redes sociales, en los organigramas de la empresa o como consecuencia de filtraciones de datos. Mantenga la distancia con su interlocutor y no considere esta información como una garantía de confianza.
¿Qué hacer ante un intento de phishing vocal?
¿Las señales de alerta detectadas durante una conversación le hacen pensar que se trata de un intento de vishing? Ponga fin inmediatamente a la conversación y avise a sus compañeros y al servicio de seguridad del intento. En caso de duda, continúe la conversación con precaución y teniendo en cuenta estos principios fundamentales:
1. Verifique la identidad de la persona con la que está hablando.
Averigüe quién le llama haciendo preguntas a su interlocutor. Si se trata de alguien que realmente le conoce, sabrá responder a preguntas concretas, a diferencia de un impostor.
En caso de duda, también puede proponer volver a llamar al interlocutor a un número fiable y conocido, preferiblemente desde otro teléfono.
2. Mantén la calma y reflexiona.
Los estafadores suelen aprovechar el pánico o las prisas. Tómese su tiempo para pensar antes de responder o actuar. Su instinto y sus emociones son sus mejores aliados frente al vishing. Si nota que algo es sospechoso, tómese un respiro para comprobar si su impresión es correcta.
3. Evite comunicar información de forma espontánea.
En caso de duda, hable lo menos posible y deje que su interlocutor se revele. Nunca comparta sus datos personales, aunque el interlocutor parezca saber mucho sobre usted e insista en la urgencia de la acción a realizar.
4. No realice ninguna acción que le parezca sospechosa.
En caso de duda, rechace realizar acciones sospechosas como hacer clic en un enlace, introducir su nombre de usuario o contraseña, cambiar la configuración de su ordenador, etc. Una vez más, tómese el tiempo necesario para reflexionar antes de actuar.
Conclusión: ¿cómo protegerse del phishing vocal?
Como hemos visto, el vishing es un tipo de ataque relativamente sencillo de llevar a cabo, pero muy eficaz, y que tiende a desarrollarse de forma preocupante.
Al igual que con cualquier ataque de ingeniería social, la mejor defensa es estar consciente del peligro que representa el vishing. Tomarse un tiempo para reflexionar, ser escéptico y prudente puede ayudarle a frustrar un intento de phishing vocal.
Hay que tener en cuenta que el éxito de este ataque depende en gran medida de la información recopilada por el atacante, que le permitirá legitimar su acción y ganarse su confianza.
Por lo tanto, evite en la medida de lo posible publicar su información personal o profesional en las redes sociales y en Internet (boletines informativos, cuentas de fidelidad, etc.) y limite al estrictamente necesario la información que comparte (por ejemplo, la suscripción a un boletín informativo no debe implicar facilitar su número de teléfono o su dirección postal).
Si sigues este consejo, agotarás la fuente de información que una persona malintencionada podría recopilar sobre ti y reducirás de facto tu exposición a las técnicas de ingeniería social.
Por último, la mejor manera de conocer el nivel de riesgo de su organización frente al vishing es optar por una simulación para poner a prueba los reflejos de sus empleados en condiciones reales. De este modo, podrá ajustar sus procedimientos en función de las recomendaciones proporcionadas al final de la simulación de vishing.
