Ingeniería Social: ¿Qué es el Vishing?

Vishing - Ingeniería social

Vishing es una combinación de las palabras «voz» y “phishing”. Se refiere a estafas de phishing que se hacen por teléfono. La idea es engañar a las víctimas para lograr que revelen información financiera o personal clave durante una llamada telefónica aparentemente legítima. Otro tipo de phishing es el smishing, el cual se basa en el uso de SMS.

¿Qué es el vishing?

El vishing es un tipo de ingeniería social, que consiste en un ataque de phishing ejecutado por teléfono. Al igual que ocurre con el phishing, a la víctima se le apremia para que comparta información confidencial a causa de una excusa falsa creada por el hacker.

Los estafadores más habilidosos logran orquestar una serie de factores que los hacen sonar legítimos:

  • Información correcta: ya tienen su tienen su nombre, dirección, número telefónico e información bancaria. De hecho, toda la información que usted esperaría escuchar de un funcionario de verdad.
  • Urgencia: se le hace creer que su dinero está en peligro, y que debe actuar con rapidez. El miedo suele llevar a las personas a actuar sin pensar.
  • Habilidades telefónicas: el número de teléfono parece provenir de otro sitio (como ocurre con el «spoofing«). Así que usted contesta el teléfono con intención de creerle a quien le llama, dado que el número parece convincente.
  • Atmósfera empresarial: Se escucha mucho ruido de fondo, así que da la impresión de que la persona que llama está en un call center (en vez de ser un tipo en el sótano de su casa). Los estafadores tienen un «call center», o logran montar efectos de sonido en la llamada. Todo esto se hace para dar una sensación de legitimidad.

En consecuencia, si la víctima cae presa de la estafa y revela su información personal, suele terminar siendo víctima de robo de identidad.

Algunos ejemplos de vishing

Escenario de vishing #1

Usted llega a casa del trabajo y revisa su correo de voz para ver si alguien ha llamado. Su correo de voz tiene el siguiente mensaje:

Hola, le habla Eva, de la Compañía de Telecomunicaciones ABC. Le estoy llamando para confirmar la baja de su cuenta. Tanto la conexión telefónica como la internet de su dirección serán canceladas definitivamente mañana 6 de mayo a las 8:00 a. m. Nuestros registros indican que tiene usted un saldo pendiente. Por favor, comuníquese con nuestro departamento de atención al cliente al 00-… para abonar el saldo pendiente”.

Esto se hace para crearle una sensación de urgencia y obligarle a coger el teléfono y llamar al número indicado. Evidentemente, usted no quiere perder la conectividad de su teléfono físico y su internet, y necesita arreglar el asunto antes de que le corten el servicio. Usted llama inmediatamente, y la Compañía de Telecomunicaciones ABC responde, suministrandole una manera automátizada de evitar el cierre de su cuenta. Se le pide que introduzca su número de seguridad social o DNI, y la tarjeta de crédito afiliada a su cuenta, para verificar que usted en verdad es el dueño de su cuenta. Después de que usted introduce ambos números, la línea se corta.

Escenario de vishing #2

Usted está cómodamente sentada viendo la TV en la sala de su casa a las 8:00 pm, y le suena el teléfono. Al ver quién le llama, resulta ser su banco. Usted responde el teléfono.

Hola, le hablamos del banco XYZ. En la última hora, ha habido tres intentos fallidos de ingresar a su cuenta. Para proteger tanto su cuenta como su información privada, el banco ABC ha bloqueado su cuenta. Estamos comprometidos con la seguridad de sus transacciones por internet. Por favor, llame a nuestro departamento de seguridad al 1-800-bla-bla-bla.«

Usted sabe que no ha hecho «tres intentos fallidos de ingresar a su cuenta en la última hora», porque ha estado viendo la tele en casa. En este caso, la idea es crearle una situación de pánico que le obligue a llamar al número indicado.

Por lo tanto, usted llama al número y les da la información solicitada para autenticar su identidad, tal como su número de cuenta bancaria, código PIN y DNI.

la llamada se corta o ─aún peor─ se le transfiera al verdadero banco XYZ, donde, después de conversar con el funcionario, usted descubre que ha sido víctima de un ataque de vishing.

¿Cómo y por qué resulta así de fácil?

Los ataques de vishign son díficiles de rastrear porque «principalmente» usan tecnología de VoIP (Voz sobre Protocolo de Internet). Esto significa que las llamadas comienzan y terminan en un ordenador, que puede estar ubicado en cualquier parte del mundo.

¿Y cómo es que aparece el número de su compañía de telecomunicaciones o su banco, cuando en realidad es un atacante? Porque lo suplantan (es decir, le hacen «spoofing«)  Existe una gran cantidad de servicios, como Spoofcard, Burner (aplicación móvil gratuita), etc. que le permiten «suplantar» su número, para que aquel que recibe su llamada no sepa que se trata de usted.  Usted puede mostrar el número que desee. Como resultado, esto permite que los ataques de vishing luzcan perfectamente legítimos en el identificador de llamadas de una persona. El spoofing de números a veces es legal (en la lucha contra el spam, para propósitos de privacidad, etc.) y a veces no lo es (fraudes por internet, etc.) dependiendo de las leyes y reglamentos regionales.

Cómo identificar un ataque de vishing

Tal como mencionamos, reconocer el número de teléfono no es suficiente para garantizar la validez de la llamada telefónica.

¿Qué otras maneras existen para identificar un ataque de vishing?

  • A menos que usted haya solicitado una llamada telefónica con una organización específica, es mejor ser muy cauto cuando le contacte una persona que afirme ser parte de esta. Especialmente si le están pidiendo información delicada.
  • Compruébelo todo dos veces. Los estafadores crean una falsa sensación de urgencia para hacerle tomar malas decisiones. Incluso si su banco le está llamando para decirle que ha un problema con su cuenta, tómese su tiempo para devolverles la llamada, usando el número indicado en su página web. Usted puede contactarlos por correo electrónico Y por redes sociales para así tener diferentes fuentes de información.

¿Cómo protegerse del Vishing?

  • Nunca llame al número que se le ha dado, o al que muestra su identificador de llamadas (a menos que sea el número de un amigo, pariente, etc.). Tómese el tiempo necesario para buscar el número verdadero (por ejemplo, directamente desde la páginas web de su banco) y después llamar.
  • Nunca le revele información personal ─ ¡A nadie! Como resultado, esto se aplica a cualquier tipo de solicitud de información personal. Para su información: las compañías legítimas nunca le piden su número de seguridad social, carné de identidad, números de tarjeta de crédito o números de PIN por teléfono.
  • Si recibe una llamada sospechosa, simplemente cuelgue.  Antes de devolver la llamada al número legítimo de la empresa, investigue un poco en internet.  Sin embargo, lo más probable es que otras víctimas ya hayan publicado información al respecto.
  • Preste atención a lo que publica en internet. Al igual que otras técnicas de ingeniería social, los hackers pueden usar lo que encuentren en internet acerca de usted para hacer más eficientes sus ataques. Evite publicar información delicada, como el nombre de su cuenta bancaria, su dirección exacta, …

Si ha sido víctima de un ataque de phishing, puede reportar el robo de identidad en: https://www.identitytheft.gov/

Contacte lo más pronto posible a la organización a la cual supuestamente pertenece el estafador, para avisarles de que hay alguien que podría acceder a su información personal. Esto podría brindarle consejos específicos para proteger su cuenta.

¿Qué más puede hacer?

Use servicios seguros, como el paquete de correo electrónico cifrado de Mailfence. Ofrecemos compatibilidad con 2FA, que es una exelente manera de fortalecer su cuenta. Haga nuestro curso de concienciación para seguridad y privacidad del correo electrónico para conocer más acerca de cómo protegerse de las ciberamenazas de hoy. La formación es clave para defenderse de la ingeniería social.

Obtenga su email seguro

¡Y reclame su privacidad hoy mismo!

– El Equipo Mailfence

Compartir este artículo

Avatar for M Salman Nadeem

M Salman Nadeem

Salman es analista de seguridad de la información en Mailfence. Sus áreas de interés incluyen la criptografía, la arquitectura y diseño para la seguridad, el control de acceso y la seguridad de operaciones. Pueden seguirlo en LinkedIn @mohammadsalmannadeem

También te podría gustar...