Puede que hayas oído hablar de este escenario en las noticias: Alguien recibe una llamada urgente del IRS que afirma que deben una gran suma en impuestos no pagados, y que un agente se presentará en su puerta si no paga de inmediato. Atrapado en un estado de pánico, el objetivo del ataque de vishing envía un pago electrónico al instante. Cuando la víctima finalmente se da cuenta de su error, es demasiado tarde; su institución financiera le dice que el dinero se ha ido.
¿Qué es un ataque de vishing?
Un ataque de vishing es un tipo de phishing en el que un actor malintencionado utiliza tácticas de ingeniería social a través de la comunicación por voz para estafar a un objetivo. La palabra "vishing" es una combinación de "voz" o "VoIP" (Voice over Internet Protocol) y "phishing." El estafador puede intentar convencer al objetivo para que le envíe dinero o comparta parte o toda la siguiente información sensible:
- Nombre
- Dirección
- Fecha de nacimiento
- Nombres de usuario
- Contraseñas
- Datos de la tarjeta de crédito
- Datos bancarios
- Números emitidos por el gobierno (p. ej., Seguro Social o Seguro de Salud)
¿Cuál es la diferencia entre vishing, smishing, quishing y phishing?
El vishing, al igual que el smishing y el quishing, puede considerarse ataques de phishing. Los tres tipos de ataques solo se diferencian por los vectores de amenaza que emplean. El phishing existe desde al menos los primeros días del correo electrónico, y tanto el vishing como el smishing son combinaciones de la palabra "phishing" y el método de comunicación utilizado. El vishing (phishing de voz) ocurre a través de la comunicación por voz, y el smishing (phishing por SMS) utiliza mensajes de texto SMS como medio de ataque. Quishing es un ataque de phishing a través de códigos QR fraudulentos.
¿Qué es un ataque de ingeniería social?
Varias formas de phishing, incluido el vishing, pueden emplear tácticas de ingeniería social. En términos de ciberseguridad, la ingeniería social es la manipulación de las emociones humanas para reducir el pensamiento racional de un objetivo y tratar de hacer que realice una acción cuestionable. Veamos algunas formas en que la ingeniería social puede fortalecer un ataque de vishing:
- Miedo: Durante una estafa del IRS, un estafador puede asustar a un objetivo para que pague impuestos falsos con amenazas de encarcelamiento.
- Codicia: Un malintencionado puede contarle a un objetivo sobre un falso premio de lotería y pedir un pago anticipado por los impuestos y tarifas.
- Amor: Alguien de una banda criminal puede hacerse pasar por una pareja romántica para pedir dinero para un viaje aéreo o una emergencia. A menudo, tales estafas comienzan en las redes sociales y luego se convierten en ataques de vishing.
- Enojo: Un estafador puede manipular el enojo pidiendo donaciones contra un candidato político impopular, por ejemplo.
- Compasión: Una falsa caridad puede llamar a las personas con la esperanza de recaudar dinero para un desastre, emergencia u otra causa aparentemente noble. De manera similar, en un ejemplo clásico de fraude a los ancianos, los estafadores pueden apuntar a las personas mayores haciéndose pasar por sus parientes o conocidos por teléfono.
¿Cómo se lleva a cabo el vishing?
El vishing funciona combinando la ingeniería social con herramientas de comunicación por voz. Un atacante puede emplear llamadas automáticas, números de teléfono internacionales o software de VoIP (Voice over Internet Protocol) para lanzar un ataque. Los estafadores también pueden enviar mensajes de texto fraudulentos que dirigen a las víctimas a llamarlos a través de enlaces o números de teléfono. El vishing puede dirigirse a individuos y organizaciones. Un actor malintencionado puede usar tal ataque para reunir información de inteligencia de una empresa, por ejemplo.
Ejemplo de ataque de vishing
Desafortunadamente, muchas personas caen en estafas de vishing cada año. A menudo, la amenaza de deber dinero a una agencia gubernamental es lo suficientemente convincente y aterradora como para que las víctimas paguen. En los EE. UU., los estafadores de vishing a menudo se hacen pasar por oficiales del Servicio de Impuestos Internos (IRS) llamando para cobrar impuestos, amenazando con cárcel si la víctima no paga lo que supuestamente debe.
Lo mismo ocurre en Canadá, donde varios canadienses han sido "vishing" por actores malintencionados que afirman ser de la Agencia de Ingresos de Canadá (CRA). Una víctima de esta estafa describió cómo se sintió tan estúpido por caer en ella, y dijo que esa era una de las partes más difíciles de toda la situación para él.
A veces, los ataques de vishing pueden salir notoriamente mal, como cuando Keniel Aeon Thomas de Jamaica eligió el objetivo equivocado. El estafador probablemente pensó que tenía una marca fácil cuando el señor William Webster, de 90 años, contestó el teléfono. Thomas le dijo al Sr. Webster que él y su esposa Lynda habían ganado $15.5 millones y un Mercedes-Benz. Pero antes de que pudiera compartir las ganancias con ellos, los Webster tendrían que enviar una transferencia bancaria de $50,000 para cubrir los impuestos. Lo que el extorsionista no sabía era que Webster había sido Director de la CIA, Director del FBI y juez federal. La pareja contactó al FBI para que un agente pudiera escuchar las llamadas, y finalmente, el estafador terminó cumpliendo tiempo gracias a la rápida acción de los Webster.
Desafortunadamente, la mayoría de las historias de vishing no terminan tan bien. Antes de que Thomas fuera sentenciado, había estafado a 30 personas, sacándoles cientos de miles de dólares. Por eso es importante reconocer los intentos de vishing o de llamadas de estafa para protegerse si recibe una de estas llamadas.
Cómo detener el vishing
Las personas que son víctimas de ataques de vishing pueden estar bien informadas sobre el riesgo, pero simplemente quedar desprevenidas. Los actores malintencionados cambian regularmente sus tácticas para tratar de engañar a las personas de nuevas maneras. Puede que respondas una llamada durante un día ocupado cuando lo último que esperas es un ataque de vishing, o el interlocutor podría usar información que suena lo suficientemente familiar como para ser convincente. Para mantenerse alerta y estar listo si recibe una de estas llamadas, aquí hay algunas cosas que debe recordar:
- Presta atención al tono del interlocutor. Los estafadores también pueden usar un tono descortés o impaciente para implicar urgencia o crear miedo, a diferencia de los empleados capacitados de la organización que dicen representar.
- Mantén la calma y respira hondo. Los atacantes de vishing crean una falsa sensación de urgencia explotando tus emociones. No compartas información sensible por teléfono sin verificar la identidad del interlocutor. Puedes buscar la organización en línea y llamar directamente.
- Mantén tu guardia alta incluso si el interlocutor tiene parte de tu información. Por ejemplo, pueden haber recopilado algunos de tus datos públicamente disponibles en Internet, como tu nombre, ubicación o dirección IP.
- Filtra tus llamadas con identificador de llamadas y no respondas números desconocidos o sospechosos. Espera a que el interlocutor te deje un mensaje de voz para decidir si debes devolver la llamada. Recuerda, muchas estafas de llamadas automáticas siguen un guion reconocible.
- Actúa con precaución y simplemente cuelga si sospechas que es un estafador.
¿Cómo denuncio el vishing?
En los EE. UU., contacta a la FTC y al FBI para reportar cualquier estafa de vishing, o a la agencia de cumplimiento de la ley apropiada en tu país. También puedes llamar a la organización que un estafador está utilizando para intentar manipularte, como ponerse en contacto con el IRS si sospechas que eres el objetivo de una estafa del IRS. Si el interlocutor dice que está con una organización específica, busca el número de teléfono oficial de esa organización y llámalos directamente para preguntar sobre las llamadas.