Vishing (phishing de voz)

El vishing, o phishing de voz, es un acto de fraud que utiliza tácticas basadas en la voz como cebo para intentar robar información personal.

El vishing es similar al phishing y al smishing en tanto que es una forma de engaño que los ciberdelincuentes utilizan para robar datos de tarjetas de crédito u otra información sensible. Mientras que el smishing (también conocido como phishing por SMS) utiliza mensajes de texto y el phishing utiliza principalmente correos electrónicos o sitios web falsos para engañar a las víctimas, los atacantes de vishing se hacen pasar por organizaciones confiables o personas de renombre en las comunicaciones de voz.

Con el vishing, los ciberdelincuentes emplean guiones urgentes o alarmantes para que las posibles víctimas revelen su información personal. Los atacantes a menudo utilizan tácticas engañosas, como el spoofing de información del identificador de llamadas, para que las interacciones parezcan provenir de organizaciones o empresas legítimas.

El vishing es popular entre los ciberdelincuentes porque les permite robar información financiera y personal sensible sin tener que vulnerar las defensas de seguridad de un ordenador o red.

• El vishing, o phishing de voz, es una forma de fraude en la que los atacantes utilizan llamadas telefónicas para hacerse pasar por organizaciones de confianza y engañar a las víctimas para que revelen información confidencial.
• Las situaciones comunes de vishing incluyen la suplantación de identidad bancaria, las estafas de soporte técnico y la clonación de voz, que a menudo aprovechan tácticas de urgencia y miedo para manipular a las víctimas.
• Prevenir los ataques de vishing requiere una formación en concienciación sobre la seguridad exhaustiva, protocolos de comunicación claros y la implementación de tecnologías avanzadas de verificación de identificador de llamadas y autenticación de voz.

Phishing, vishing y smishing son todos ataques de social engineering diseñados para engañar a las personas para que revelen información confidencial o tomen medidas perjudiciales. Sus principales diferencias residen en el medio de ataque:

• Phishing: una de las amenazas de correo electrónico más comunes, el phishing es un ciberataque en el que los atacantes se hacen pasar por entidades legítimas para engañar a las personas y hacer que revelen información sensible, como credenciales de inicio de sesión, detalles financieros o datos personales. Por lo general, utilizan el correo electrónico o sitios web fraudulentos para engañar a sus víctimas. 
• Vishing: el vishing es una forma de Social Engineering que utiliza la comunicación por voz (normalmente llamadas telefónicas) para manipular a las personas y hacer que revelen información confidencial o realicen acciones que comprometan la seguridad. Los atacantes a menudo se hacen pasar por representantes de entidades como bancos o agencias gubernamentales.
• Smishing: esta amenaza de ciberseguridad combina las técnicas de SMS (mensajería de texto) y phishing. Los atacantes envían mensajes de texto que aparentan ser de fuentes fiables, a menudo incluyendo enlaces a sitios web maliciosos o instando a los destinatarios a llamar a números de teléfono fraudulentos.

El phishing de voz puede engañar incluso a los empleados más conscientes de la seguridad en su equipo. Los ejecutivos de nivel C deben ser vigilantes con respecto a sus medidas de seguridad de primera línea para adelantarse a estos ataques. A continuación, se presentan algunos escenarios comunes de vishing contra los que debe estar en guardia: 

Suplantación de identidad bancaria

Un atacante, haciéndose pasar por un alto regulador financiero, llama al director financiero (CFO) de un banco fuera de horario, afirmando que se necesita una acción urgente respecto a las sospechas de lavado de dinero en transacciones internacionales. El interlocutor solicita la verificación inmediata de transacciones grandes y números de cuenta, subrayando la confidencialidad y las posibles repercusiones reputacionales de no actuar. Ellos generan credibilidad al referirse al conocimiento del sector y presionan al director financiero con amenazas de congelar las operaciones en caso de incumplimiento. El objetivo es aprovechar la autoridad y la urgencia del director financiero para obtener información financiera sensible o iniciar transferencias no autorizadas.

Estafa de soporte técnico

El atacante, haciéndose pasar por el jefe de seguridad informática de una importante firma de ciberseguridad con la que la empresa está asociada, llama a la línea directa del CEO. Afirman haber detectado un sofisticado y continuo ciberataque dirigido a las cuentas ejecutivas de la empresa. La persona que llama afirma que se requiere una acción inmediata para prevenir el robo de datos y solicita acceso remoto al ordenador del CEO para «instalar parches de seguridad críticos». Generan urgencia al mencionar posibles brechas de datos en empresas competidoras y el riesgo de sanciones regulatorias.

El estafador tiene como objetivo obtener acceso remoto al dispositivo del ejecutivo, lo que podría permitir la instalación de malware o el robo de datos corporativos confidenciales. Esta situación se aprovecha de la autoridad del ejecutivo y su limitado conocimiento técnico para eludir los protocolos estándar de TI en situaciones de emergencia percibidas.

Estafa de clonación de voz

En una estafa de vishing de clonación de voz dirigida a ejecutivos de nivel C, un atacante utiliza IA para clonar la voz del CEO y llama al teléfono del director financiero, afirmando que hay una oportunidad de adquisición urgente y confidencial que requiere acción inmediata. El falso CEO insiste en la discreción debido a las preocupaciones sobre el uso de información privilegiada y presiona al director financiero para que inicie una gran transferencia bancaria para asegurar el acuerdo. El atacante proporciona detalles plausibles y hace referencia a eventos recientes de la empresa para parecer creíble. 

Este método de ataque se aprovecha de la confianza en la voz del CEO, la urgencia de una oportunidad lucrativa y la autoridad del CFO para eludir los controles financieros normales, lo que lo hace altamente convincente y difícil de detectar.

Estafa de envío

Un ciberdelincuente llama al director de operaciones (COO) de una empresa, afirmando ser de un servicio de mensajería Premium que maneja un paquete urgente y confidencial para el CEO. El llamante indica que la aduana está reteniendo el paquete, el cual contiene documentos sensibles relacionados con una fusión inminente, debido a la documentación incompleta. Afirman que se requiere una acción inmediata para evitar retrasos que podrían comprometer el acuerdo. 

El estafador solicita la información de la tarjeta de crédito del COO para pagar una pequeña "tarifa de procesamiento" y así acelerar la liberación. Hacen hincapié la discreción, advirtiendo de que involucrar a otros miembros del personal podría violar los acuerdos de confidencialidad. El objetivo es aprovecharse de la autoridad del ejecutivo y el temor a interrumpir operaciones empresariales importantes para sustraer información financiera o autorizar cargos fraudulentos.

Estafa de la Seguridad Social o Medicare

Un estafador de vishing se hace pasar por un alto cargo de la administración del Seguro Social o de Medicare. Afirman que la información personal de la víctima ha sido comprometida en una reciente violación de datos, lo que conlleva el riesgo de suspensión de beneficios. La persona que llama solicita urgentemente la verificación del número de la Seguridad Social o del ID de Medicare de la víctima para "proteger" su cuenta, citando brechas publicadas recientemente para dar credibilidad. Dicen que las prestaciones de la víctima podrían ser suspendidas o que podrían surgir problemas legales potenciales si no se toman medidas inmediatas. 

Esta estafa se aprovecha de la preocupación del ejecutivo por sus finanzas personales y su reputación profesional, con el objetivo de obtener información confidencial para utilizarla en esquemas de robo de identidad o fraud schemes.

Suplantación de identidad del IRS

En una estafa de suplantación de identidad del IRS, un atacante se hace pasar por un agente del IRS. Afirman que su objetivo debe pagar impuestos atrasados inmediatamente para evitar consecuencias graves como el arresto o la deportación. El estafador crea urgencia y miedo y proporciona un número de identificación falso para parecer creíble. También hacen spoofing de un número de teléfono del IRS y mencionan detalles específicos relacionados con los impuestos. 

La persona que llama exige el pago inmediato a través de métodos no convencionales como tarjetas de regalo o transferencias bancarias y busca información personal sensible. Esta estafa se aprovecha del miedo de las personas al IRS y a los problemas fiscales. Pero tenga en cuenta que el verdadero IRS normalmente inicia el contacto por correo, no por llamadas telefónicas, y nunca exige el pago inmediato ni amenaza con acciones legales inmediatas.

A primera vista, los ataques de vishing pueden parecer más una molestia que otra cosa. Sin embargo, son bastante serios y representan un riesgo significativo para la infraestructura digital de una organización. He aquí una muestra del daño que un ataque de vishing puede causar:

• Pérdidas económicas: los ataques de vishing pueden provocar importantes pérdidas económicas, ya que los atacantes suelen engañar a los empleados para que transfieran fondos o proporcionen información financiera confidencial.
• Pérdida de datos: los atacantes pueden obtener acceso a datos empresariales sensibles, incluidas las credenciales de inicio de sesión, la información propietaria y los detalles de los clientes. A continuación, pueden aprovecharse de esta información o venderla en la dark web.
• Daño reputacional: los ataques de vishing pueden dañar la reputación de una empresa, erosionar la confianza de los clientes y costarle a la organización oportunidades de negocio potenciales.
• Interrupción operativa: Los ataques de vishing exitosos pueden interrumpir las operaciones empresariales al comprometer sistemas críticos. También se pierde productividad, ya que los empleados dedican tiempo a gestionar las consecuencias del ataque en lugar de realizar sus tareas habituales.
• Consecuencias legales y reglamentarias: las empresas pueden enfrentarse a repercusiones legales y reglamentarias si los ataques de vishing provocan violaciones de datos o incumplimiento de las leyes de protección de datos. Eso podría significar multas y un mayor escrutinio por parte de los organismos reguladores.

Como líder de una empresa, ser pionero en programas educativos para sus directivos y empleados es una de las mejores inversiones que puede realizar en sus esfuerzos de ciberseguridad. Incluso con un arsenal de las herramientas de seguridad más recientes y avanzadas, la detección temprana es la mejor protección contra el vishing. Aquí hay algunas señales a las que debe prestar atención:

Tácticas de urgencia o de miedo

Las tácticas de urgencia y miedo son características distintivas de los ataques de vishing. Los atacantes a menudo crean escenarios que inducen miedo, como amenazar con acciones legales o la suspensión de cuentas, para manipular a las víctimas y hacer que actúen rápidamente.

El antídoto contra estas tácticas es mantener la calma y no proporcionar información personal. En su lugar, cuelgue la llamada y verifique de forma independiente las afirmaciones del interlocutor poniéndose en contacto directamente con la organización utilizando la información de contacto oficial.

Solicitudes de información personal

Los ciberdelincuentes a menudo se hacen pasar por representantes de bancos, agencias gubernamentales o empresas de soporte técnico, solicitando datos confidenciales como números de la Seguridad Social, detalles de cuentas bancarias, información de tarjetas de crédito, contraseñas o PIN. Pueden presentarse situaciones urgentes que requieran la divulgación inmediata de esta información, como la verificación de cuentas o la prevención del fraud. Sin embargo, las organizaciones legítimas rara vez solicitan detalles tan sensibles por teléfono, especialmente durante llamadas no solicitadas.

La mejor estrategia es no proporcionar ninguna información. En su lugar, termine la llamada y contacte directamente con la organización a través de sus canales oficiales.

Demanda de pago

Los atacantes a menudo presentan escenarios urgentes alegando que la víctima debe dinero y debe pagar de inmediato para evitar consecuencias graves, como acciones legales, arresto o desconexión del servicio. Por lo general, insisten en el pago inmediato a través de métodos no convencionales como tarjetas de regalo o transferencias electrónicas, que son difíciles de rastrear.

La mejor estrategia es mantener la calma y evitar tomar decisiones apresuradas. Recuerde que las organizaciones legítimas no suelen exigir el pago inmediato por teléfono ni emplean amenazas para coaccionar el pago.

Llamadas no solicitadas

Las llamadas de estafa de vishing suelen ser no solicitadas y, a menudo, provienen de individuos que afirman representar a organizaciones de renombre. Las entidades legítimas normalmente no inician el contacto mediante llamadas no solicitadas ni solicitan información personal inesperadamente.

La mejor respuesta es ser cauteloso y abstenerse de compartir información personal o financiera. Al igual que con otras situaciones de alerta roja, generalmente es mejor colgar y verificar de forma independiente las afirmaciones del interlocutor contactando directamente a la organización utilizando la información de contacto oficial de su sitio web u otras fuentes confiables.

Instrucciones para descargar software

Las indicaciones para descargar software pueden ser una señal de un posible ataque de vishing. Los estafadores podrían hacerse pasar por entidades de confianza, como soporte técnico o empresas de seguridad, y afirmar que el ordenador de la víctima está comprometido o en riesgo.

Podrían afirmar que se requiere una acción inmediata para prevenir la pérdida de datos o brechas de seguridad e instruir a la víctima para que descargue e instale un software específico para resolver el problema. Sin embargo, este software a menudo es malicioso, diseñado para robar información personal, instalar malware o proporcionar acceso remoto a los atacantes.

Los empleados deben colgar y verificar la situación de forma independiente contactando directamente con la supuesta organización utilizando la información de contacto oficial de una fuente confiable. Además, póngase en contacto con su departamento interno de TI o con un servicio de asistencia técnica de confianza.

Aprender a reconocer las señales de advertencia y detectar los ataques de vishing a tiempo es una excelente primera línea de defensa. Sin embargo, no es infalible. Si se le escapa un ataque de vishing, siga estos pasos:

1. Informe del incidente de inmediato: notifique al equipo de seguridad informática de su empresa o al punto de contacto designado, proporcionando la mayor cantidad de detalles posible. Si están implicados dispositivos personales, informe a su banco personal y a las compañías de tarjetas de crédito.
2. Cambie las credenciales comprometidas: cambie inmediatamente las contraseñas de cualquier cuenta que pueda haber sido comprometida. Utilice contraseñas fuertes y únicas para cada cuenta. Si ha utilizado la misma contraseña en otro lugar, cámbiela también.
3. Documente el incidente: anote todo lo que pueda recordar sobre la llamada mientras esté fresco en su memoria. Incluya el número de teléfono, cualquier nombre utilizado y los detalles de la conversación. Guarde cualquier correo electrónico, mensaje de texto o mensaje de buzón de voz relacionado.
   • Coopere con la investigación: prepárese para proporcionar un informe detallado a su equipo de seguridad informática o a las fuerzas del orden. Responda a las preguntas con sinceridad, incluso si le da vergüenza haber caído en la estafa.
4. Supervise sus cuentas: controle de cerca sus cuentas financieras para detectar cualquier actividad sospechosa.
5. Participe en formación adicional de seguridad: participe en cualquier curso de actualización que se ofrezca sobre las mejores prácticas de ciberseguridad. Además, considere compartir su experiencia (de forma anónima, si lo prefiere) para ayudar a educar a sus compañeros.
6. Ayude a fortalecer las defensas de la empresa: aporte su opinión sobre los protocolos de seguridad actuales y sugiera mejoras. Eso podría incluir fomentar la implementación de salvaguardas, como los sistemas de autenticación por voz.

Además de sus herramientas de ciberseguridad y la detección temprana, las siguientes tácticas pueden completar el conjunto de protección de su organización:

• Implementar una formación en concienciación sobre la seguridad: estas sesiones deben incorporar ejemplos del mundo real y simulaciones para ayudar a los empleados a reconocer y responder eficazmente a los intentos de vishing.
• Establecer protocolos de comunicación claros: cree y aplique rigurosamente políticas que detallen cómo gestionar y verificar la información sensible dentro de la organización.
• Implementar salvaguardas técnicas: implemente sistemas avanzados de verificación de identificador de llamadas y considere utilizar tecnología de autenticación por voz para transacciones sensibles o acceso a sistemas críticos.
• Probar y evaluar regularmente las vulnerabilidades: realice simulaciones periódicas de vishing para evaluar la preparación de los empleados. Además, realice auditorías de seguridad regulares de los sistemas telefónicos y la infraestructura relacionada para garantizar que estén actualizados y seguros.
• Crear una cultura de conciencia sobre la seguridad: fomente que los empleados de todos los niveles cuestionen las solicitudes inusuales y verifiquen las identidades, incluso si parece descortés o innecesario.