¿Qué es el Vishing?
El vishing se define como un ataque de ciberseguridad en el que una entidad maliciosa se pone en contacto con la víctima por teléfono e intenta ganarse su confianza mediante prácticas de ingeniería social para obtener datos confidenciales, extraer fondos o perjudicar al individuo de cualquier otra forma.
Se trata esencialmente de un tipo de ataque de phishing realizado a través de medios de voz, razón por la cual se denomina ataque de vishing.
Mecanismo de ataque del Vishing
El vishing suele producirse en forma de llamada telefónica urgente o inquietante. Por ejemplo, la persona que llama puede afirmar que la cuenta de la víctima ha sido pirateada y que necesita un número PIN para validar su identidad o reabrir la cuenta.
También pueden afirmar que llaman en nombre de un organismo gubernamental, como el Servicio de Impuestos Internos (IRS) o la Administración de la Seguridad Social. Incluso pueden insistir en que la víctima debe dinero o ha ganado un concurso.
Todos estos son casos de “vishing” (como se ha comentado, una frase que mezcla “voz” y “phishing” para indicar un fraude telefónico). Phishing es un término utilizado para describir cualquier esfuerzo de los ciberdelincuentes por engañar a la gente para que entregue dinero, datos personales o información secreta. Del mismo modo, también se puede utilizar el email y los sistemas de mensajes cortos o de texto (“smishing”) para cometer fraudes.
El “vishing” es un ciberdelito en el que los delincuentes utilizan los teléfonos de las víctimas para extraer información que perjudicaría a la persona o beneficiaría de algún modo al autor del delito.
Los ciberestafadores utilizan sofisticadas técnicas de ingeniería social para convencer a las víctimas de que les faciliten datos personales e incluso acceso a cuentas bancarias o secretos comerciales. Al igual que el smishing y el phishing, el vishing se centra en persuadir a las víctimas de que acceder a las exigencias de la persona que llama es la respuesta adecuada. Las personas que llaman a menudo se hacen pasar por autoridades gubernamentales, la agencia tributaria, la entidad financiera de la víctima o la policía.
El éxito de esta táctica depende de una ingeniería social eficaz, es decir, de explotar la psicología de la persona para crear un efecto convincente. Los autores del vishing emplean amenazas o persuasión positiva para hacer sentir a las víctimas que tienen que facilitar la información solicitada. Las víctimas también pueden recibir mensajes de voz amenazadores en los que se les dice que corren el riesgo de ser procesados o de que se congelen sus cuentas bancarias si no devuelven la llamada correctamente.
¿Cómo funciona el vishing?
Los atacantes de phishing suelen utilizar la suplantación del identificador de llamadas para engañar a las víctimas haciéndoles creer que una llamada telefónica procede de una empresa de confianza o de un código de vecindario local.
A menudo actúan como entidades de confianza para engañar a las víctimas y hacerles compartir sus datos. Por ejemplo, pueden aparecer como ejecutivos de un banco o de una agencia de tarjetas de crédito, un acreedor o un agente de Hacienda. Estos estafadores generarán una sensación de urgencia cuando la víctima prevista conteste al teléfono para aprovecharse de sus sentimientos y obligarla a responder a las demandas.
El vishing puede ser de distintos tipos, pero el objetivo es siempre el mismo: engañar a la víctima y hacer que revele información personal, ya sea para obtener un beneficio monetario o para cometer otros delitos, como el robo de identidad.
Una de las razones por las que estos ataques pueden ser persuasivos es que los estafadores pueden utilizar información personal obtenida de otras fuentes para hacer que los intentos de vishing parezcan legítimos
Los tipos más comunes de vishing
1. Wardialing
2. Ataques basados en VoIP
3. Suplantación del identificador de llamadas
4. Hurgar en contenedores
1. Wardialing
El wardialing utiliza varios tipos de tecnologías para marcar automáticamente un gran número de números de teléfono en rápida sucesión, normalmente para descubrir fallos en la seguridad y la infraestructura de TI.
Los hackers suelen emplear herramientas de wardialing para encontrar módems no seguros, a veces conocidos como “wardialers” o “demon dialers”. Se tarda muy poco
en hacerlo si el estafador localiza la lista de números que están conectados a los módems.
2. Ataques basados en VoIP
La transferencia de voz y contenidos multimedia a través de una conexión a Internet se conoce como protocolo de voz sobre Internet (VoIP). Los usuarios pueden realizar llamadas de voz utilizando VoIP a través de sus ordenadores, smartphones, otras plataformas digitales como teléfonos VoIP y sitios habilitados para la comunicación web en tiempo real (WebRTC).
La VoIP es una tecnología beneficiosa tanto para particulares como para empresas, ya que a menudo contiene capacidades adicionales que no se ven en los sistemas telefónicos tradicionales. También es útil para las empresas como medio para unificar las comunicaciones.
Por desgracia, la VoIP puede ser explotada por individuos fraudulentos para iniciar ataques de vishing. El atacante registra un dominio y crea páginas de phishing que se asemejan a la página de inicio de sesión de la red de la organización. Como resultado, las llamadas VoIP iniciadas por el actor de la amenaza parecen originarse en la misma red. Además, como la VoIP suele requerir autenticación multifactor, el autor de la llamada puede pedir a la víctima que visite la página fraudulenta y comparta sus datos.
3. Suplantación del identificador de llamadas
El spoofing se produce cuando una persona que llama falsifica a propósito la información enviada a la pantalla de llamadas entrantes para ocultar su identidad. Los estafadores suelen utilizar la técnica del “vecino suplantador” para hacer que el identificador de llamadas parezca provenir de un número local o suplantar la identidad de una empresa o institución gubernamental en la que la víctima ya confía.
Si se responde a una llamada de este tipo, el atacante intenta robar fondos o datos esenciales, que pueden utilizarse en actividades fraudulentas. Los guiones de estafa constituyen una parte importante de los ataques de suplantación del identificador de llamadas, ya que refuerzan aún más la creencia de que la persona que llama es legítima.
4. Hurgar en contenedores
Rebuscar en contenedores de basura -tanto físicos como digitales- pertenecientes a bancos, edificios empresariales y otras instituciones es un medio fácil y popular de recopilar la información de contacto de las víctimas de vishing.
Los delincuentes pueden recopilar suficiente información de documentos triturados, dispositivos de almacenamiento desechados, calendarios viejos, fotocopias, etc., para llevar a cabo un asalto de vishing con arpón centrado en el sujeto.
Prevención de ataques de suplantación de identidad: Las ocho mejores prácticas para 2022
Una vez que una persona cae presa de un ataque de vishing, es difícil revertir sus efectos y recuperar los daños. Incluso si las fuerzas de seguridad identifican al culpable, conseguir una indemnización por daños y perjuicios es todo un reto. Por eso es crucial tomar medidas proactivas para prevenir los ataques de vishing siguiendo estas mejores prácticas:
Buenas prácticas para prevenir el vishing
1. Tener una conexión VPN
Una red privada virtual (VPN) protege la información que se comparte a través de Internet y dificulta que los estafadores se hagan con tus datos de contacto.
La VPN cifrará el tráfico de red y lo enviará a través de un túnel seguro antes de llegar a un servidor VPN que enmascara su dirección IP. Como resultado, los actores de amenazas no conocerán su ubicación, lo que dificulta la ejecución de ataques de ingeniería social. La víctima prevista puede simplemente preguntar a la persona que llama sobre su ubicación para comprobar si la llamada es legítima.
2. Estar atento a las llamadas “urgentes
Cuando una persona que llama crea una sensación de urgencia, debes considerarlo una señal de alarma. Por ejemplo, los autores de vishing pueden tratar de convencer a la víctima de que podría haber consecuencias negativas si realmente no entrega sus datos bancarios o paga una factura impagada inmediatamente.
Se puede colgar o pedir los datos de contacto de la persona que llama y decirle que llamará más tarde. Si se trata de un fraude, la persona que llama normalmente ejercerá más presión o colgará.
3. Utiliza herramientas de bloqueo de robocall
Las herramientas de bloqueo de robocall, conocidas popularmente como filtros de llamadas, son programas informáticos que detectan las llamadas automatizadas. Si una tercera entidad ha empleado técnicas de wardialing, el bloqueador de robocall la identificará y bloqueará inmediatamente.
4. Implantar procesos internos
¿Quién coge el teléfono cuando suena el número general de la organización? ¿Podría acabar fácilmente en manos del empleado equivocado?
Pasar el teléfono de un usuario a otro puede crear confusión y hacer que los empleados de la organización pierdan de vista quién está al otro lado de la llamada.
Contratar a un recepcionista dedicado a filtrar lo malo de lo bueno puede ser útil cuando sea necesario y asegurarse de que todos los empleados verifican quién llama cuando se lo pasa otra persona.
Otra opción es crear un proceso en el que el destinatario confirme con el “solicitante” directamente a través de otro canal oficial antes de entregarle el teléfono.
5. Asegúrate de que todos los dispositivos tienen autenticación multifactor
Utilizar contraseñas de alta seguridad está muy bien, pero la autenticación multifactor proporciona esas capas adicionales de seguridad que garantizan que tu cuenta no pueda verse comprometida con una sola contraseña.
Google anunció que la autenticación multifactor será obligatoria para 150 millones de usuarios en 2021 con el fin de ofrecer una capa de seguridad mejorada contra las amenazas y reducir así el número de cuentas comprometidas en un 50%.
Conclusión
Puede que el vishing no sea una de las principales preocupaciones de tu organización, pero debería serlo. No importa lo inteligentes o capaces que sean en tu empresa y tus colegas, las tácticas de ingeniería social son lo suficientemente poderosas como para pillar a cualquiera desprevenido.
Ahora que ya conoces del vishing, es importante que compartas esta información con tus empleados.
Hágales saber que interrogar a la persona que llama y verificar la información con alguien a través de los canales oficiales puede ser la diferencia entre unos datos seguros y el riesgo de un incidente cibernético o una violación de datos.
