El vishing es una forma especial de phishing. También en este caso, el objetivo es conseguir que la gente divulgue información sensible o confidencial. A diferencia del ataque de phishing «convencional», en el que las víctimas son contactadas por correo electrónico, el contacto se realiza por teléfono. De ahí el nombre de «vishing». Aquí se combinan los términos ingleses voice (voz) y phishing.
Al igual que otros métodos de phishing, el vishing también es una forma de ingeniería social. También en este caso se apela a las emociones de la persona objetivo, tanto en sentido positivo como negativo. Emociones como el miedo, la duda, la curiosidad y la vergüenza se abordan específicamente para conseguir que las personas actúen en interés de los atacantes.
¿Por qué es especialmente peligroso el vishing?
El contacto directo que resulta de la conversación telefónica puede intensificar los sentimientos de la persona afectada que acabamos de mencionar. En la confrontación directa, las personas se atreven aún menos a contradecir a la otra persona o a no acceder a sus peticiones. También son menos capaces de confiar en su propio instinto, por lo que las acciones se llevan a cabo precipitadamente.
Otra razón por la que el vishing puede ser muy lucrativo para los ciberdelincuentes es que es más probable que se crea una voz humana que un correo electrónico digital de un remitente desconocido. La conciencia de que los empleados también pueden ser engañados por teléfono aún no está muy extendida en algunos casos.
¿Dónde me encuentro con el vishing en la vida cotidiana?
Los ataques de vishing pueden afectar a cualquier empresa. Aunque -a diferencia de los ataques de phishing convencionales- no se propagan de forma dispersa y, por tanto, no se llevan a cabo a gran escala, los actores de las amenazas descuelgan cada vez más el teléfono para ponerse en contacto directo con sus víctimas potenciales. Las siguientes motivaciones están en primer plano.
Posible motivo número 1: pinchar información
Los ciberdelincuentes le llaman a usted o a uno de sus empleados, a menudo con un pretexto muy trivial. El atacante puede, por ejemplo, hacerse pasar por empleado de una organización conocida (por ejemplo, un banco), llamar en nombre de un proveedor o querer vender algo a su empresa. Las preguntas se colocan hábilmente en la conversación para que el interlocutor dé información sin vacilar ni sospechar. Las respuestas pueden ser utilizadas por el atacante para llevar a cabo ataques de spear phishing o ataques de fraude contra el CEO.
Posible motivo número 2 – manipulación telefónica
También se habla de vishing cuando los empleados llaman a un número de teléfono falso y así contactan sin sospechar con ciberdelincuentes. Imagine que tiene un problema informático y está buscando un proveedor de servicios que pueda ayudarle con el problema. Llega a una página de inicio y marca el número que allí le indican. Desgraciadamente, al otro lado del servicio no responde la asistencia esperada, sino un delincuente. Aquí le ofrecen soluciones previo pago. Puede que tenga que pagarles directamente. Sin embargo, después no obtiene el servicio que esperaba.
Posible motivo número 3 – Llamadas a la acción concretas
El siguiente ejemplo es muy directo. El atacante se pone en contacto con usted o con uno de sus empleados por teléfono y le pide que realice una acción concreta. Por ejemplo, puede exigir que se transmita cierta información, como los datos de acceso a un servicio en línea. O puede exigirse una acción concreta, como la transferencia de una suma de dinero y el pago de una supuesta factura pendiente. Si la persona duda, se la presiona o se la atrae con ofertas positivas (precios especiales, mejores condiciones).
¿Cómo reconocer el vishing?
Hoy en día es difícil detectar los ataques de phishing. Además, los ciberdelincuentes evolucionan y se profesionalizan en sus ataques. Esto también se aplica a los ataques de vishing. Para detectar los ataques de vishing, los empleados deben estar atentos. En el caso de nuevos contactos con los que no se ha tenido contacto anteriormente, es aconsejable hacer una breve búsqueda en Internet para confirmar los detalles. ¿Existe la empresa mencionada? ¿Existe la dirección indicada? ¿Puede encontrar a la persona que se puso en contacto con usted? Si su interlocutor se refiere a colegas suyos, compruebe brevemente con la persona en cuestión, si es necesario, si la situación o el intercambio tuvieron lugar realmente. Durante la entrevista también debe prevalecer un cierto escepticismo básico. No responda a preguntas que le parezcan demasiado confidenciales o detalladas. Ninguna empresa seria le pedirá contraseñas, números de bronceado, números de personal, etc.
¿Cómo pueden protegerse los empleados?
Para luchar contra los ataques de vishing y evitarlos a largo plazo, conviene sensibilizar a los empleados. Mediante una formación intensiva, puede concienciar a sus empleados de los peligros y sensibilizarlos sobre los métodos de ataque. Esto puede hacerse mediante vídeos de formación o a través de un taller en el que se ilustren las llamadas de vishing y los empleados puedan formarse sobre cómo hacer frente a este tipo de ataque.