Es posible que haya oído hablar de esta situación en las noticias: alguien recibe una llamada urgente de Hacienda en la que le dicen que debe una gran suma en impuestos impagados y que un agente acudirá a su puerta si no paga inmediatamente. Presa del pánico, la víctima del ataque de vishing envía inmediatamente un pago electrónico. Cuando la víctima se da cuenta de su error, ya es demasiado tarde: su entidad financiera le comunica que el dinero ha desaparecido.
¿Qué es un ataque vishing?
Un ataque de vishing es un tipo de ataque de phishing en el que un actor de amenaza utiliza tácticas de ingeniería social a través de la comunicación por voz para estafar a un objetivo. La palabra "vishing" es una combinación de "voice" o "VoIP" (Voice over Internet Protocol) y "phishing". El estafador puede tratar de convencer a un objetivo para que le envíe dinero o comparta alguno o todos los siguientes datos sensibles:
- Nombre
- Dirección
- Fecha de nacimiento
- Nombres de usuario
- Contraseñas
- Datos de la tarjeta de crédito
- Datos bancarios
- Números emitidos por el Gobierno (por ejemplo, Social Security o Seguridad Social)
¿Cuál es la diferencia entre vishing, smishing, quishing y phishing?
El vishing, al igual que el smishing y el quishing, pueden considerarse ataques de phishing. Los tres tipos de ataques sólo se diferencian por los vectores de amenaza que emplean. El phishing ha existido al menos desde los primeros días del correo electrónico, y tanto el vishing como el smishing son combinaciones de la palabra "phishing" y el método de comunicación utilizado. El vishing (phishing por voz) se produce a través de la comunicación por voz, y el smishing (phishing por SMS) utiliza mensajes de texto SMS como medio de ataque. El quishing es un ataque de phishing a través de códigos QR fraudulentos.
¿Qué es un ataque de ingeniería social?
Varias formas de phishing, incluido el vishing, pueden emplear tácticas de ingeniería social. En términos de ciberseguridad, la ingeniería social es la manipulación de las emociones humanas para reducir el pensamiento racional de un objetivo e intentar que complete una acción cuestionable. Veamos algunas formas en que la ingeniería social puede reforzar un ataque de vishing:
- Miedo: Durante una estafa al IRS, un estafador puede asustar a un objetivo para que pague impuestos falsos con amenazas de encarcelamiento.
- Codicia: Un malhechor puede informar a un objetivo de que le ha tocado una lotería falsa y pedirle que pague los impuestos y tasas por adelantado.
- Amor: Alguien de una banda criminal puede hacerse pasar por una pareja sentimental para pedir dinero para un viaje en avión o una emergencia. A menudo, estas estafas comienzan en las redes sociales y más tarde se convierten en ataques de vishing.
- Enfado: Un estafador puede manipular la ira pidiendo donativos contra un candidato político impopular, por ejemplo.
- Compasión: Una organización benéfica falsa puede llamar a la gente en frío, con la esperanza de recaudar dinero para un desastre, una emergencia u otra causa aparentemente noble. Del mismo modo, en un ejemplo clásico de fraude a ancianos, los estafadores pueden dirigirse a las personas mayores haciéndose pasar por sus familiares o conocidos por teléfono.
¿Cómo se hace el vishing?
El vishing funciona combinando la ingeniería social con herramientas de comunicación por voz. Un atacante puede emplear robocalls, números de teléfono internacionales o software de Voz sobre Protocolo de Internet (VOIP) para lanzar un ataque. Los estafadores también pueden enviar mensajes de texto fraudulentos que dirijan a las víctimas a llamarles a través de enlaces o números de teléfono. El vishing puede dirigirse tanto a particulares como a organizaciones. Un actor de amenazas puede utilizar un ataque de este tipo para recabar información de una empresa, por ejemplo.
Ejemplo de ataque Vishing
Por desgracia, muchas personas caen en estafas de vishing cada año. A menudo, la amenaza de deber dinero a una agencia gubernamental es lo suficientemente convincente y aterradora como para que las víctimas paguen. En Estados Unidos, los estafadores de vishing suelen hacerse pasar por funcionarios del Servicio de Impuestos Internos (IRS) que llaman para cobrar impuestos, amenazando con la cárcel si la víctima no paga lo que supuestamente debe.
Lo mismo ocurre en Canadá, donde varios canadienses han sido "vished" por actores de amenazas que dicen ser la Agencia Tributaria Canadiense (CRA). Una víctima de esta estafa describió cómo se sintió tan estúpido por haber caído en la trampa, y dijo que esa fue una de las partes más duras de toda la situación para él.
A veces, los ataques de vishing pueden resultar contraproducentes, como cuando Keniel Aeon Thomas, de Jamaica, eligió el objetivo equivocado. El estafador probablemente pensó que tenía un blanco fácil cuando William Webster, de 90 años, cogió el teléfono. Thomas le dijo al Sr. Webster que él y su esposa Lynda habían ganado 15,5 millones de dólares y un Mercedez-Benz. Pero antes de que pudiera compartir las ganancias con ellos, los Webster tendrían que enviar una transferencia bancaria de 50.000 dólares para cubrir los impuestos. El extorsionador no sabía que Webster había sido director de la CIA, director del FBI y juez federal. La pareja se puso en contacto con el FBI para que un agente escuchara las llamadas y, finalmente, el estafador acabó cumpliendo condena gracias a la rapidez mental de los Webster.
Por desgracia, la mayoría de las historias de vishing no acaban tan bien. Antes de ser condenado, Thomas había estafado a 30 personas cientos de miles de dólares. Por eso es importante reconocer los intentos de vishing o de llamadas fraudulentas para protegerse en caso de recibir la próxima llamada.
Cómo detener el vishing
Las personas que caen víctimas de ataques de vishing pueden estar bien informadas del riesgo, pero simplemente ser cogidas con la guardia baja. Los actores de las amenazas cambian sus tácticas con regularidad para intentar engañar a la gente de nuevas formas. Es posible que reciba una llamada durante un día ajetreado en el que lo último que espera es un ataque de vishing, o que la persona que llama utilice información que le suene lo suficientemente familiar como para resultar convincente. Para estar alerta y preparado si recibe una de estas llamadas, recuerde lo siguiente:
- Preste atención al tono de la persona que llama. Los estafadores también pueden utilizar un tono descortés o impaciente para dar a entender urgencia o crear miedo, a diferencia de los empleados formados de la organización a la que dicen representar.
- Mantenga la calma y respire. Los atacantes de vishing crean una falsa sensación de urgencia aprovechándose de sus emociones. No compartas información confidencial por teléfono sin verificar la identidad de la persona que llama. Puedes buscar su organización y llamarles directamente.
- Mantén la guardia alta aunque la persona que llama tenga parte de tu información. Por ejemplo, puede haber recopilado algunos de tus datos públicos de Internet, como tu nombre, ubicación o dirección IP.
- Revisa tus llamadas con el identificador de llamadas y no contestes a números desconocidos o sospechosos. Espere a que la persona que llama le deje un mensaje de voz para decidir si debe devolver la llamada. Recuerde que muchos timos de robocall siguen un guión reconocible.
- Sea precavido y cuelgue si sospecha que se trata de un estafador.
¿Cómo denunciar el vishing?
En Estados Unidos, ponte en contacto con la FTC y el FBI para denunciar cualquier estafa de vishing, o con las fuerzas de seguridad competentes de tu país. También puede llamar a la organización que está utilizando el estafador para intentar manipularle, por ejemplo a la Agencia Tributaria si sospecha que es objeto de una estafa. Si la persona que llama dice pertenecer a una organización determinada, busque el número de teléfono oficial de esa organización y llámela directamente para preguntar por las llamadas.