¿Qué es, cómo funciona el vishing y por qué es peligroso?

¿Alguna vez has oído hablar del vishing? No faltarán ataques destinados a comprometer tus datos en 2023. Vishing es solo uno de los muchos ataques de ingeniería social que han surgido como resultado del alcance de la tecnología moderna. Se diferencia de otros ataques en que existe una conexión humana muy diferente y real en algún aspecto.

Te puede interesar leer: Comparación de WEP vs WPA: 5 diferencias clave

Afortunadamente, con un poco de previsión y conocimiento, como descubrirás, puedes evitar y prevenir estos ataques. Tus datos son muy valiosos, a pesar de lo que puedas pensar. Con bienes valiosos como tus datos bancarios y otros datos financieros en riesgo, vale la pena ser consciente del tipo de amenaza que representa el vishing para ti.

¿Qué es el vishing?

Vishing es la abreviatura de phishing por voz. Para los lectores que quizás no lo sepan, el phishing es un ataque de ingeniería social que se basa en correos electrónicos u otros mensajes para obtener información clave o comprometer una computadora. El phishing por voz tiene un alcance similar, pero se basa en llamadas fraudulentas destinadas a extraer información o detalles confidenciales que solo tú conocerías.

El vishing en su conjunto es extremadamente común: la FCC informó más de cuatro mil millones de llamadas automáticas por mes en 2020. Como tal, es útil estar atento. Como hemos señalado, el vishing es un ataque de ingeniería social que se diferencia de otros delitos cibernéticos. Si bien los piratas informáticos pueden depender de cosas como inyecciones de SQL y portales web comprometidos para computadoras, la ingeniería social es un estadio completamente diferente que requiere conocimientos para evitarlo.

¿Cómo funciona la ingeniería social?

La ingeniería social es una metodología de ataques que se basa en expectativas y normas sociales. Por lo general, en el caso del vishing, se otorga un cierto grado de supuesta autoridad al perpetrador. Podrían hacerse pasar por un funcionario de un banco, de las fuerzas del orden o de alguna otra organización donde exista una amenaza de repercusiones reales.

Los ataques de ingeniería social con autoridad se basan en el miedo y la ansiedad, con la esperanza de que la víctima evite el castigo. En cierto modo, es similar al ransomware, ya que un atacante busca ganancias financieras durante el curso de un ataque. Otros ataques de ingeniería social incluyen tailgating, piggybacking, mishing y phishing.

Riesgos adicionales asociados con el vishing

Los ataques de phishing por voz se han vuelto más sofisticados con la llegada de la tecnología. Si bien las llamadas telefónicas fraudulentas no son nada nuevo, en realidad no han alcanzado este alcance hasta la última década. A continuación se detallan algunos riesgos comunes que debes tener en cuenta al abordar una llamada desconocida.

Contenido relacionado: Spotify vs YouTube Music: comparación y cuál es mejor

Falsificaciones profundas

Las noticias han estado plagadas de historias sobre la IA y su impacto en la población general. Los deepfakes son un hecho preocupantemente común en los ataques de phishing de voz. Lo que esencialmente implican es un programa de inteligencia artificial destinado a imitar el tono, la cadencia y los patrones de habla de una persona normal.

Ahora bien, este podría no ser un método de ataque seguro, especialmente si no estás al tanto de ciertas personas. Dicho esto, todavía representa un riesgo inherente porque es posible que no te des cuenta de que se está produciendo un ataque si estás familiarizado con la persona que está siendo falsificada.

Dicho esto, hay ciertos avisos con mensajes de voz generados por IA. A menudo se pueden escuchar ligeras rarezas en la pronunciación y un énfasis inusual en ciertas sílabas.

Llamadas automáticas

¿Quién no recibe llamadas automáticas hoy en día? Si bien la mayoría de los usuarios las evitarán por puro instinto, aún representan un riesgo inherente. Considera el hecho de que la mayoría de las instituciones bancarias, servicios y otras utilidades dependen de asistentes de voz generados por computadora. Existe cierto grado de plausibilidad en recibir un mensaje con detalles confidenciales.

Sin embargo, una cosa a tener en cuenta es que la mayoría de los bancos, servicios públicos y otras empresas no solicitarán información confidencial proporcionada directamente al asistente de voz. Si bien la mayoría de las empresas buscan ganancias, sería una pesadilla legal solicitar información confidencial a través de un correo de voz. A menudo puedes encontrar filtros de spam para tu teléfono inteligente para ayudar a evitar las llamadas automáticas.

Gente real

Podría decirse que las personas reales son los métodos de phishing de voz más peligrosos de recibir. Hay algo decididamente diferente en hablar con un ser humano real a través de una voz de IA. Como tal, este puede atraer fácilmente a personas que no se dan cuenta de que están siendo estafadas.

Nuevamente, este es un método de ataque que requiere previsión y conocimiento. Ten en cuenta que las autoridades, los bancos, etc., no se pondrán muy agresivos por teléfono ni harán exigencias. En el caso de las empresas, existen políticas y organismos reguladores que requieren cumplimiento.

Las fuerzas del orden están más inclinadas a programar una reunión o concertar una reunión contigo en persona, en lugar de amenazarte con arrestarte por teléfono. Las personas reales también pueden instigar cosas, haciendo que parezca que están cuidando a un familiar o un ser querido que está bajo coacción. Esto puede ser más difícil de confirmar, especialmente si tienen el nombre de la persona en cuestión.

No tiene nada de malo colgar el teléfono y contactar con tu familiar o ser querido, para al menos verificar su seguridad. Después de todo, no es probable que un ser querido necesitado solicite Bitcoin o tarjetas de regalo de PayPal por teléfono.

Te puede gustar leer sobre: CAT5 vs CAT5e: diferencias, especificaciones y comparación

Estafas comunes de vishing

Estafas comunes de vishing
Estafas comunes de vishing

A continuación se muestran algunos métodos comunes para obtener información personal mediante un ataque de vishing.

Exigir pago

Este podría ser el enfoque general más común para intentar robar datos personales. Un estafador llama con el pretexto de operar bajo un banco, servicio público o cualquier otro negocio que pueda requerir el pago por un servicio prestado.

Personalmente, normalmente no manejarás pagos por teléfono. La mayoría de las empresas te remitirán a un portal web o te enviarán un mensaje a través de un portal web seguro para que completes tu pago. Aceptar pagos por teléfono sin garantías es una violación del cumplimiento de PCI/DSS, lo que conlleva penas de cárcel y altas tarifas para cualquier empresa que incurra en dicha práctica.

Apoyo técnico

Otro método común de ataque es hacerse pasar por soporte técnico de algo. A menudo los escucharás asociados con Microsoft, Samsung o cualquier otro gigante tecnológico común. La idea básica es que alguien te está llamando para ayudarte a superar una infección de malware, ransomware o alguna otra enfermedad digital.

La mayoría de los gigantes tecnológicos no llamarán a los clientes para solucionar un problema. Incluso en entornos empresariales con contratos de soporte vigentes, no es una práctica común. Además, la mayoría de los usuarios pueden manejar su ciberseguridad en casa con algunos conocimientos básicos. Este es un método que se aprovecha más de las personas mayores, suponiendo que haya un nivel implícito de analfabetismo tecnológico.

Inscripción

La inscripción se refiere a ofrecer una especie de incentivo o beneficio a una víctima potencial. Al igual que con el soporte técnico, esta es otra vía de ataque que se aprovecha de las personas mayores. Las estafas comunes ofrecen inscripción en programas como el Seguro Social, Medicare, Medicaid y otros programas de beneficios.

Una cosa a tener en cuenta es que una persona debe iniciar el contacto con la inscripción en cualquier programa gubernamental. No es algo automático que un representante lo busque.

Métodos de prevención del vishing

Entonces, ¿cómo se previene el vishing? Hay algunos enfoques diferentes.

Evita contestar llamadas

El método más simple y eficaz para evitar el vishing es simplemente no contestar las llamadas. Si no reconoces el número, evita contestarlo. Esto te permite evaluar quién llama, especialmente si deja mensajes de voz u otros intentos de contacto.

Evita revelar información personal

Esto puede ser un hecho, pero no se proporciona información personal por teléfono. Especialmente si la persona que habla por teléfono no ha hecho nada para identificarse más allá de algunos hechos básicos que cualquiera podría falsificar. Generalmente, una empresa no requerirá tu número de cuenta u otra información muy confidencial para buscarlo.

No confíes en los números de identificación de llamadas

Es extremadamente sencillo falsificar un número de teléfono. Hay bastantes maneras de abordar esto y los atacantes vishing lo saben. Como tal, no confíes en números que te resulten familiares. En algunos casos, se ha llamado a las víctimas potenciales por sus números.

Ten en cuenta las políticas de la empresa

Es útil estar al tanto de lo que está haciendo cada empresa y cómo abordan el manejo de tus datos confidenciales. Por lo general, encontrarás pólizas en correos electrónicos periódicos o incluso puedes llamar a tu banco, compañía de servicios públicos, etc. para averiguar qué pueden y qué no pueden hacer por teléfono.

¿Es peligroso el vishing en la informática moderna?

El vishing es muy peligroso, eso es un hecho. Los ataques de ingeniería social no tienen salvaguardas como firewalls y listas blancas para evitar que ocurran. Como tal, mantente atento a la hora de contestar tus llamadas telefónicas.

Preguntas frecuentes

¿Puede un firewall prevenir un ataque de vishing?

No, el vishing requiere una llamada telefónica. Prevenir intrusiones en la red no servirá de mucho.

¿Quiénes son los más vulnerables al vishing?

Cualquiera puede ser vulnerable al vishing.

¿Es ilegal el vishing?

El vishing es altamente ilegal y las empresas que realizan llamadas automáticas se enfrentan a importantes multas y penas de cárcel.

No te vayas sin antes leer sobre: Comparación TV vs Monitor | Cómo elegir entre los dos

¿Cuál es la mejor manera de prevenir el vishing?

La mejor manera de prevenir el vishing es ignorar la mayoría de las llamadas telefónicas y sólo iniciar el contacto con las empresas por tu cuenta.

¿Es el vishing una forma de ciberdelito?

Sí, el vishing es absolutamente una forma de delito cibernético.

Deja un comentario